Come posso sincronizzare l'orario tra le istanze aggiunte a un dominio Windows e Microsoft AD gestito da AWS?

5 minuti di lettura

Desidero utilizzare le policy di gruppo per configurare la sincronizzazione dell'orario per le macchine Microsoft Windows nel Servizio di directory AWS per Microsoft Active Directory.

Breve descrizione

Le macchine Windows potrebbero avere un server Network Time Protocol (NTP) preimpostato nel registro prima che venga aggiunto al dominio Microsoft AD gestito da AWS. Le macchine Windows sincronizzano automaticamente l'orario con tutti i meccanismi disponibili quando vengono aggiunte al dominio. Tuttavia, se i server NTP di origine hanno orari diversi, questa configurazione può causare problemi relativi allo sfalsamento dell'orario.

In questo esempio, il parametro NtpServer è precompilato con 169.254.169.123,0x9 prima che l'istanza si unisca al dominio Microsoft AD gestito da AWS. Tuttavia, il parametro Tipo cambia in AllSync dopo l'aggiunta al dominio. Questa modifica della configurazione potrebbe causare uno sfalsamento dell'orario.

Prima dell'aggiunta al dominio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Dopo l'aggiunta al dominio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Soluzione

Come best practice, usa i controller di dominio per assicurarti che le macchine aggiunte al dominio Windows sincronizzino l'orario tramite la gerarchia del dominio Microsoft AD gestito da AWS. Per ulteriori informazioni, consulta Funzionamento del servizio Ora di Windows e Strumenti e impostazioni del servizio Ora di Windows sul sito Web Microsoft.

Prerequisiti

Assicurati di essere in possesso di questi prerequisiti:

Installa gli strumenti di amministrazione di Active Directory su un'istanza Amazon Elastic Compute Cloud (Amazon EC2) aggiunta al dominio.

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools, . . . }

Verifica che l'istanza EC2 sia aggiunta al dominio Microsoft AD gestito da AWS per il quale desideri configurare una gerarchia di dominio per la sincronizzazione temporale. Per ulteriori informazioni, consulta Aggiungere manualmente un'istanza di Windows.

Configurazione della gerarchia temporale del dominio Microsoft AD gestito da AWS

Utilizza le impostazioni della Policy di gruppo per sincronizzare l'orario nella gerarchia del dominio Microsoft AD gestito da AWS:

Usa Remote Desktop Protocol (RDP) per accedere all'istanza EC2. Quindi imposta l'utente del dominio come amministratore. Per ulteriori informazioni, consulta Connessione all'istanza Windows con il protocollo RDP.
Esegui GPMC.msc per aprire la console di gestione delle policy di gruppo.
Scegli Domini, quindi scegli [Domain Name], [Directory NetBIOS name], Computer.
Scegli Computer, quindi scegli Crea un GPO in questo dominio e collegalo qui:
Nota: I computer devono trovarsi nell'unità organizzativa (OU) o in altre unità organizzative all'interno della stessa gerarchia.
Assegna un nome al GPO. Ad esempio, potresti usare Domhier Time Syn. Quindi, scegli OK.
Scegli il GPO che hai appena creato, quindi scegli Modifica.
Scegli Configurazione computer, quindi scegli Modelli amministrativi, ** Sistema**, Servizio WindowsTime, Provider di orario.
Scegli Abilita client Windows NTP, quindi seleziona Abilitato.
Scegli OK.
Scegli Configura client NTP.
Seleziona Abilitato, quindi modifica questi parametri:
In Tipo, inserisci NT5DS.
In SpecialPoolInterval inserisci 900.
Scegli OK.

Verifica che l'istanza EC2 utilizzi la gerarchia di sincronizzazione temporale

Completa questi passaggi per confermare che il controller di dominio stia sincronizzando l'orario tramite la gerarchia del dominio Microsoft AD gestito da AWS.

Per ulteriori informazioni, consulta Policy di gruppo: procedure di risoluzione dei problemi di base per principianti sul sito Web Microsoft.

Utilizza l'istanza della sezione precedente per forzare l'aggiornamento delle policy del dominio. Apri un prompt di Windows PowerShell come prompt con privilegi elevati o come amministratore, quindi esegui questo comando:

PS C:\> gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

Verifica che NT5DS sia installato.

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: NT5DS (Policy)

Scopri forzatamente la fonte dell'orario:

PS C:\> w32tm /resync /rediscover
Sending resync command to local computer
The command completed successfully.

Identifica il server di sincronizzazione per l'istanza. In questo esempio, IP-C61301F5 è la fonte dell'orario.

PS C:\>  w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -23 (119.209ns per tick)
Root Delay: 0.0017265s
Root Dispersion: 0.2926529s
ReferenceId: 0xAC1F0DC6 (source IP:  172.31.13.198)
Last Successful Sync Time: 4/18/2023 12:45:37 PM
Source: IP-C61301F5.corp.example.com
Poll Interval: 7 (128s)

Conferma che il server sia un controller di dominio:

PS C:\> Get-ADDomainController -Filter * | select name
name
----
IP-C61301F5
IP-C6130214

Nota: Il controller di dominio che sincronizza l'orario potrebbe cambiare durante la configurazione. La modifica non causa problemi con la sincronizzazione dell'orario.

Controlla la sincronizzazione dell'orario tra l'istanza e il controller di dominio. Idealmente, la differenza di orario è il più vicino possibile allo zero. Per ulteriori informazioni, consulta W32tm sul sito Web Microsoft.

PS C:\> w32tm /stripchart /computer:IP-C61301F5.corp.example.com /samples:3
Tracking IP-C61301F5.corp.example.com [172.31.13.198:123].
Collecting 3 samples.
The current time is 4/18/2023 12:43:11 PM.
12:43:11, d:+00.0010085s o:-00.0012111s  [                           *                           ]
12:43:13, d:+00.0015748s o:-00.0011228s  [                           *                           ]
12:43:15, error: 0x80072733

Informazioni correlate

Come posso risolvere i problemi di orario con la mia istanza EC2 per Windows?

Impostare l'orario per un'istanza di Windows

Impostazioni NTP (Network Time Protocol) predefinite per le AMI Windows Amazon

Argomenti

Sicurezza, identità e conformità

Tag

AWS Directory Service

Lingua

Italiano

AWS UFFICIALEAggiornata 6 mesi fa

Contenuto pertinente

Come posso risolvere i problemi di autenticazione Windows di RDS per SQL Server con Microsoft AD gestito da AWS?
AWS UFFICIALEAggiornata un anno fa
Come posso impostare una relazione di trust tra due domini Microsoft AD gestito da AWS?
AWS UFFICIALEAggiornata 10 mesi fa
Perché non posso unire la mia istanza EC2 Windows a una directory Microsoft AD gestita da AWS?
AWS UFFICIALEAggiornata 9 mesi fa
In che modo posso consentire agli utenti del dominio l'accesso RDP a un'istanza EC2 Windows utilizzando policy di gruppo in Microsoft AD gestito da AWS o Simple AD?
AWS UFFICIALEAggiornata 2 anni fa