Windows Server 2003 e 2008 - Problemi di sincronizzazione orario, accesso alle share e logon in ambiente virtuale

  • Article

Problema

Può capitare che l’utente non possa accedere alle share di un file server con Windows Server 2003, ma vale anche per 2008 e 2008 R2, con il seguente errore: “Impossibile accedere a \\Share. L’utente potrebbe non disporre dell’autorizzazione necessaria per l’utilizzo della risorsa di rete. Per l’autorizzazione di accesso, contattare l’amminitratore del server.” e poi continua “L’orologio del server non è sincronizzato con l’orogologio del controller di dominio primario”.

image

Se un administrator prova a loggarsi sul server che presenta il problema, riceve questo errore “The current time on this computer and the current time on the network are different. For more information about Date/Time Properties, see Help and Support. To log on, Contact your system administrator.”

image

 

Causa

L’orario del server non è sincronizzato correttamente con quello dei Domain Controller. Questo causa problemi di autenticazione in quanto Kerberos riesce a gestire una differenza di tempo non superiore ai 5 minuti.

Il motivo per cui l’orario non è sincronizzato correttamente in questo caso è dovuto al fatto che il server gira in ambiente virtuale.

In ambiente VMware è presente un servizio di Time Synchronization che ha il compito di sincronizzare l’orario di tutte le macchine virtuali con l’orario impostato sull’host e questo va in contrasto con il servizio W32Time che invece sincronizza l’orario del server con I Domain Controller per far funzionare correttamente Kerberos.

Soluzione

Ci sono 2 comandi disponibili in Windows per avere i dettagli dello stato dell’orario nel server:

  • Net time – che è obsoleto
  • W32tm – utilizzato correntemente

Il seguente comando permette di ottenere il nome del Domain Controller utilizzato per sincronizzarsi e la differenza di tempo che è attualmente presente sul server:

W32tm /monitor

E’ possibile impostare il DC corretto, tramite il seguente comando:

W32tm /config /computer: <NomeDC> /update

Se la sincronizzazione è necessaria con un server esterno alla rete locale, si deve impostare il server su un Domain Controller e non in un member server altrimenti ci possono essere I problemi ripotarti all’inizio.

Per quanto riguarda il force dei VMware tools per la sincronizzazione dell’orario nei guest, è disponibile un articolo che indicate le best practices in ambiente Windows Server, in cui è indicato di disabilitare questo servizio:

Timekeeping best practices for Windows

When using w32time or NTP in the guest, disable VMware Tools periodic time synchronization

Questo articolo illustra come disabilitare completamente la Time Syncronization:

Disabling Time Synchronization

Per maggiori informazioni, potete approfondire i dettagli nel post Windows Time Service di Domenico Costa.

Daniele Maso
Senior Support Engineer
Microsoft Enterprise Platform Support