Ora esatta per Windows Server 2016

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Il servizio Ora di Windows è un componente che usa un modello di plug-in per i provider di sincronizzazione dell'ora client e server. Sono disponibili due provider client incorporati in Windows e tre plug-in di terze parti. Un provider usa NTP (RFC 1305) o MS NTP per sincronizzare l'ora di sistema locale su un server di riferimento conforme a NTP e/o MS-NTP. L'altro provider è per Hyper-V e sincronizza le macchine virtuali (VM) all'host Hyper-V. Quando sono presenti più provider, Windows seleziona il provider migliore usando prima il livello di strato, quindi il ritardo di base, la dispersione di base e infine l'offset temporale.

Nota

Per una rapida panoramica del servizio Ora di Windows, guarda questo video di panoramica generale.

In questo argomento, discutiamo questi temi in relazione alla possibilità di abilitare l'ora esatta.

• Miglioramenti
• Misure
• Procedure consigliate

Importante

Puoi scaricare un supplemento a cui viene fatto riferimento nell'articolo relativo all'ora esatta di Windows 2016 qui. Questo documento fornisce informazioni più dettagliate sulle metodologie di test e misurazione.

Nota

Il modello di plug-in del provider di tempo di Windows è documentato su TechNet.

Gerarchia dei domini

Le configurazioni di dominio e autonoma funzionano in modo diverso.

• I membri del dominio utilizzano un protocollo NTP protetto che utilizza l'autenticazione per garantire la sicurezza e l'autenticità del riferimento all'ora. I membri del dominio si sincronizzano con un orologio principale determinato dalla gerarchia di domini e un sistema di punteggio. In un dominio è presente un livello gerarchico di strati temporali in base al quale ogni controller di dominio punta a un controller di dominio padre con uno strato temporale più accurato. La gerarchia si risolve nel PDC o in un DC nella foresta radice, o in un DC con il flag di dominio GTIMESERV, che indica un Buon Time Server per il dominio. Vedere la sezione "Specifica un servizio locale Ora affidabile tramite GTIMESERV" riportata di seguito.

• Computer autonomi sono configurati per utilizzare time.windows.com per impostazione predefinita. Questo nome viene risolto dal server DNS, che deve fare riferimento a una risorsa di proprietà di Microsoft. Come tutti i riferimenti di tempo in modalità remota, interruzioni della rete possono impedire la sincronizzazione. I carichi di traffico di rete e i percorsi di rete asimmetrici possono ridurre la precisione della sincronizzazione temporale. Per verificare l'accuratezza di 1 ms, non è possibile fare affidamento su origini di ora remote.

Poiché gli utenti guest di Hyper-V disporranno di almeno due provider di tempo di Windows tra cui scegliere: l’ora dell’host e l’NTP, potresti osservare comportamenti diversi con Dominio o Autonomo durante l'esecuzione come guest.

Nota

Per altre informazioni sulla gerarchia di domini e sul sistema di punteggio, vedere il post del blog "What is Windows Time Service?" (Che cos'è il servizio Ora di Windows?)

Nota

Strato è un concetto utilizzato nei provider NTP e Hyper-V e il suo valore indica la posizione degli orologi nella gerarchia. Lo strato 1 è riservato all'orologio di livello più alto, mentre lo strato 0 è riservato all'hardware, considerato come accurato e con poco o nessun ritardo. Gli strati 2 comunicano con i server dello strato 1, gli strati 3 con gli strati 2 e così via. Mentre un strato inferiore indica spesso un orologio più accurato, è possibile trovare le discrepanze. Inoltre, W32time accetta solo tempo dallo strato 15 o inferiore. Per visualizzare lo strato di un client, utilizzare w32tm /query /status.

Fattori critici per l'ora esatta

In ogni caso per ora esatta, esistono tre fattori importanti:

1. Orologio di sorgente stabile - l'orologio di sorgente nel tuo dominio deve essere stabile e accurato. Questo significa di solito installare un dispositivo GPS o puntare a una fonte Strato 1, tenendo conto del punto #3. L'analogia dice che, se si dispone di due barche in acqua e si sta tentando di misurare l'altitudine di una rispetto all'altra, l'accuratezza è massima se la barca di partenza è molto stabile e non si muove. Lo stesso vale per l'ora e, se l'orologio di origine non è stabile, l'intera catena di orologi sincronizzati viene interessata e ingrandita in ogni fase. Deve inoltre essere accessibile, poiché eventuali interruzioni di connessione interferirebbero con la sincronizzazione dell'ora. Infine, deve essere protetto. Se il riferimento dell'ora non viene gestito correttamente oppure è gestito da un'entità potenzialmente dannosa, è possibile che il dominio sia esposto ad attacchi basati sul tempo.
2. Orologio client stabile - Un orologio client stabile assicura che il naturale sfasamento dell'oscillatore sia contenibile. NTP utilizza diversi campioni da diversi server NTP per condizionare e disciplinare l'orologio del computer locale. Non modifica direttamente le modifiche temporali, bensì rallenta o accelera il clock locale in modo da avvicinarsi rapidamente al tempo esatto e mantenersi accurato tra le richieste NTP. Tuttavia, se l'oscillatore del clock del computer client non è stabile, potrebbero verificarsi più fluttuazioni tra le regolazioni e gli algoritmi usati da Windows per regolare l'orologio non funzionano in modo accurato. In alcuni casi, gli aggiornamenti del firmware potrebbero essere necessari per l'ora esatta.
3. Comunicazione simmetrica NTP - è fondamentale che la connessione per la comunicazione NTP sia simmetrica. NTP usa i calcoli per regolare l'ora in cui presuppone che il percorso di rete sia simmetrico. Se il percorso che il pacchetto NTP compie verso il server impiega un tempo diverso per il ritorno, l'accuratezza ne risente. Ad esempio, è possibile modificare il percorso a causa di modifiche nella topologia di rete, oppure quando i pacchetti vengono inoltrati tramite dispositivi dotati di interfacce a velocità diverse.

Per i dispositivi di alimentazione a batteria, sia per dispositivi mobili e portatile, è necessario considerare diverse strategie. Secondo la nostra raccomandazione, mantenere l'ora esatta richiede che l'orologio sia regolato una volta al secondo, il che si correla alla frequenza di aggiornamento dell'orologio. Queste impostazioni utilizzeranno più energia del previsto e possono interferire con le modalità di risparmio energetico disponibili in Windows per questi dispositivi. I dispositivi a batteria hanno anche alcune modalità di risparmio energico che arrestano l'esecuzione di tutte le applicazioni, interferendo con la possibilità di W32time di disciplinare l'orologio e mantenere l'ora esatta. Inoltre, gli orologi nei dispositivi mobili non sono molto precisi sin dall'inizio. Le condizioni ambientali influiscono sulla precisione dell'orologio e un dispositivo mobile può passare da una condizione ambientale all'altra, il che può interferire con la sua capacità di mantenere accuratamente il tempo. Pertanto, Microsoft non raccomanda di configurare i dispositivi portatili alimentati a batteria con impostazioni di alta accuratezza.

Perché è importante ora?

Esistono molte ragioni diverse per cui potresti avere bisogno di un tempo accurato. Il caso tipico per Windows è Kerberos, che richiede 5 minuti di accuratezza tra il client e server. Tuttavia, esistono molte altre aree che possono essere influenzate dall'accuratezza del tempo, comprese:

• Regolamenti governativi come:
  • accuratezza di 50 ms per FINRA negli Stati Uniti
  • 1 millisecond ESMA (MiFID II) nell'Unione europea.
• Algoritmi di crittografia
• Sistemi distribuiti come Cluster/SQL/Exchange e di database di documenti
• Blockchain framework per le transazioni bitcoin
• I log distribuiti e l'analisi delle minacce
• Replica di AD
• PCI (Settore delle Carte di Pagamento), attualmente accuratezza di 1 secondo

Altri riferimenti

• Miglioramenti dell'accuratezza dell'ora per Windows Server 2016