Il discostamento degli orologi tra il client e KDC è oltre la soglia di tolleranza, l’autenticazione semplicemente viene rifiutata. E’ quindi molto importante fare in modo che all’interno della rete i vari sistemi abbiano tutti la stessa data e ora.
Fortunatamente Windows Server 2008 e 2012 viene incontro a questa esigenza tramite Windows Time Service (W32Time) che è un servizio con il compito di mantenere gli orologi sincronizzati nei computer della rete utilizzando il protocollo SNTP.
PDC come server NTP
In una topologia di rete basata su Active Directory, W32Time sincronizza gli orologi della forest utilizzando una relazione gerarchica che inizia dal PDC Emulator nella root domain della forest, considerato per la AD forest lo stratum 2 del time source.
Se il PDC è sincronizzato tramite un Internet time server o un orologio atomico, questi ultimi sono considerati nella gerarchia W32Time stratum 1 del time source.
Quindi il computer che deve essere configurato come NTP server in Active Directory deve essere il domain controller che ricopre il ruolo di PDC Emulator.
Configurazione del server
La configurazione viene fatta direttamente nel registry di Windows tramite il Registry Editor.
Una volta avviato il Registry Editor tramite il comando regedit, identificare la voce di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Cliccare con il tasto destro del mouse la voce AnnounceFlags e quindi Modify.
Nel campo Value data digitare 5 e successivamente click su OK.
Per abilitare il server NTP, posizionarsi sulla voce di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
Cliccare con il tasto destro del mouse la voce Enabled e quindi Modify.
Nel campo Value data digitare 1 e successivamente OK.
Per impostare con quali server NTP esterni il nostro sistema deve sincronizzarsi, selezionare la voce di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Cliccare con il tasto destro del mouse la voce NtpServer e quindi Modify
Nel campo Value data impostare il DNS name del/i server NTP con i quali effettuare la sincronizzazione seguiti da ,0×1 per ogni valore DNS impostato. Cliccare poi OK.
Per impostare il valore di time correction o modificare i parametri di default secondo le proprie esigenze, posizionarsi nella chiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Dopo aver chiuso il Registry Editor, l’ultima operazione da effettuare è il riavvio del servizio W32Time dal Command Prompt tramite il comando seguente:
C:\> net stop w32time && net start w32time
Per fare in modo di avviare il servizio ad ogni reboot del server, impostare lo Startup type del servizio W32Time in Automatic.
Poichè il servizio utilizza la porta UDP 123 per il suo funzionamento, è necessario aprire la porta nel firewall di Windows.