none
proxyサーバー経由でのNTP時刻修正について RRS feed

  • 質問

  • Windows Server 2012 R2 において、

    >w32tm /config /manualpeerlist:ntp.nict.jp /syncfromflags:MANUAL /update

    を実行して、「成功」が返ってきますが、

    >w32tm /query /status

    で確認しても、変更されておらず、当然時刻同期もされません。

    インターネットオプションで、proxy設定をしている事が原因なのでしょうか?

    であれば、proxyサーバー経由でのWindows Updateへの対策のように、

    >netsh winhttp import proxy source=ie

    で解決するのでしょうか?

    2017年3月7日 1:18

回答

  • チャブーンです。

    この件ですが、すでに答えは出ていますが、Windows Timeサービスではhttp経由の時刻同期はできません。したがって、Proxyでのみ外部と通信できる、というような環境では、外部と時刻同期はできません。

    どうしてもという場合NTP over HTTPの機能があるソフトウェアを使うしかありませんが、それ以外の方法としては、やはりNTP通信を許可するよう、ファイアウォールを調整するしかありません。

    外部とNTP通信を許可していない場合、たいていはドメインコントローラとは別のサーバで(Linuxサーバも含まれます)、時刻同期を外部と行っているものがある可能性が高いので、システム管理者の方に確認されてはどうでしょうか?もしサーバに該当がなくても、ネットワーク機器(ルータやスイッチ)でNTPサーバ機能を持っているものがあり、それが使われていることもありますので、ネットワーク管理者が別にいる場合、そちらにも確認されるといいと思います。

    もし社内でNTPサーバがあれば、それに対して同期を行うようにすれば、外部に出ていく必要はなくなります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク zippo38 2017年3月7日 23:28
    2017年3月7日 14:33
    モデレータ

すべての返信

  • はじめまして。

    ntp.nict.jp の名前解決ができていない可能性があるかと思います。

    nslookup ntp.nict.jp コマンドでIPアドレス(※)を特定し、w32tm /config /manualpeerlist:<IPアドレス>~ でコマンドを実行して確認するのが、1つの切り分け方法かと思います。参考になれば幸いです。

    ※133.243.238.164 等が該当

    2017年3月7日 2:14
  • 時刻同期の場合、NTP (Network Time Protocol) で通信して時刻同期を行います。

    一方、プロキシは大抵の場合 HTTP/HTTPS の通信を中継するものですので、 NTP ではプロキシを経由出来ないかと思います。(製品によっては可能なのかもしれませんが)

    もし、プロキシを経由せずに同期先サーバー (ntp.nict.jp) のグローバルIPに接続できるのであれば、他の方が言っている通り名前解決の問題が有るかもしれません。

     

    なお、フリーソフト等を用いてHTTP経由の時刻同期を行う事も可能な様ですが、自身がNTPサーバーでもない限りは、社内のNTPサーバー (プロキシが兼ねている場合も有ります) を利用するか、ドメイン参加しているのであれば、ドメインコントローラーと時刻同期するのが一般的かと思います。




    • 編集済み LapivyMVP 2017年3月7日 2:42 誤字修正、補足追記
    2017年3月7日 2:39
  • ざあますさん、ありがとうございます。

    名前解決の事は、すっかり抜けていました。
    設定出来ないサーバーは、お客様先のサーバーで、proxyがない自社のサーバーや他のお客様のサーバーでは、
    名前解決の事は気にしないでも ntp.nict.jp で設定出来ていたので、今回の問題はproxyに関係するものだと
    思い込んでいました。

    まず、ntp.nict.jp でpingが通るか確認し、通らなければ、13.243.238.164で通るか確認をしてみます。
    (おそらく、本日中には確認出来ると思います)

    2017年3月7日 2:40
  • Lapivyさん、ありがとうございます。

    問題のお客様の環境は、社外にproxyサーバーがあり、ドメインコントローラーはHyper-Vで仮想化されています。

    ドメインコントローラーは、Hyper-V(管理)サーバーとの時刻同期を設定してあるのですが、管理サーバーの
    時間がズレていくので、困っている状態です。

    フリーソフトを使用して、HTTPでの時刻同期をさせていた事もあるのですが、使用していたソフトが悪いのか、
    そのソフトがフリーズしたりして、サーバー全体に負荷が掛かる問題が発生することがあり、使用を止めました。

    そこで、Windows の機能で何とかならないかと考えた次第です。

    2017年3月7日 3:02
  • 今回 w32tm で時刻同期設定しようとしているのは、仮想のドメインコントローラーでしょうか?それともホストOS (管理サーバー)でしょうか?

    蛇足かもしれませんが、以下のタイムサービスの項目にも有る通り、仮想マシンのドメインコントローラの場合は、統合サービスによる時刻同期ではなく、w32tm による時刻同期が推奨されますので注意して下さい。(統合サービスによる時刻同期だと頻繁に時刻が変更される場合があり、それによりレプリケーションに問題が発生する場合がある為)

     

    仮想化ドメインコントローラーの展開に関する考慮事項

    https://technet.microsoft.com/ja-jp/library/dd348449(v=ws.10).aspx

    2017年3月7日 3:25
  • ご指摘、ありがとうございます。

    ホストOS(管理サーバー)で時刻同期設定するつもりでしたが、ドメインコントローラー(仮想)で
    外部NTPでの時刻同期を設定し、統合サービスの時刻同期は無効にしたいと思います。

    その際、ホストOSは、ドメインコントローラーと同期させれば良いのでしょうか?
    それとも、ホストOSも外部NTPでの時刻同期をさせれば良いのでしょうか?

    もし、ドメインコントローラーとなるならば、ドメインコントローラーにNTPサーバーの設定が必要となると思いますが、合っていますか?

    2017年3月7日 4:11
  • 環境にもよるかと思いますが、管理サーバーがネット―ワーク的に仮想のドメインコントローラーにアクセス可能であれば、ドメインコントローラーを時刻同期先にして問題無いかと思います。(ドメイン参加している場合は既定でドメインコントローラーと時刻同期します)

     

    なお、ワークグループの場合は以下の問題が有りますので注意して下さい。

     

    Windows 7 / Windows Server 2008 R2 以降のスタンドアロン環境で Windows Time サービスが自動的に起動しない

    https://support.microsoft.com/ja-jp/help/2385818/windows-time-service-doesn-t-start-automatically-on-a-workgroup-computer-that-s-running-windows-7-or-windows-server-2008-r2

     

    ドメインコントローラー (PDC) の時刻同期設定については、以下のスレッドが参考になります。ドメインコントローラーでも PDC とそれ以外では設定が異なりますので、注意して下さい。

     

    https://social.technet.microsoft.com/Forums/ja-JP/df844eaf-dc4a-48bd-8ea7-ef31db4a0e67/windows?forum=windowsserver2008ja

     

    最後になりますが、時刻同期設定(特にドメインコントローラー)については、一見簡単な様に見えて、挙動が把握し難いものですので、技術情報をよく読んで理解した上で設定する事をお奨めします。


    2017年3月7日 4:55
  • 何度も、ありがとうございます。

    ホストOSから仮想のドメインコントローラーにアクセス可能ですので、ホストOSは、ドメインコントローラーを参照させたいと思います。

    2017年3月7日 5:10
  • pingのテスト結果ですが、ntp.nict.jp と 133.243.238.164 共に通りませんでした。
    • 編集済み zippo38 2017年3月7日 5:13
    2017年3月7日 5:12
  • お客様先のネットワークとの事ですので、ファイアーウォール等で ICMP NTP (UDP123) を制限していないかや、グローバルの宛先への通信を制限していないか等を確認した方が良いかもしれません。
    2017年3月7日 9:47
  • チャブーンです。

    この件ですが、すでに答えは出ていますが、Windows Timeサービスではhttp経由の時刻同期はできません。したがって、Proxyでのみ外部と通信できる、というような環境では、外部と時刻同期はできません。

    どうしてもという場合NTP over HTTPの機能があるソフトウェアを使うしかありませんが、それ以外の方法としては、やはりNTP通信を許可するよう、ファイアウォールを調整するしかありません。

    外部とNTP通信を許可していない場合、たいていはドメインコントローラとは別のサーバで(Linuxサーバも含まれます)、時刻同期を外部と行っているものがある可能性が高いので、システム管理者の方に確認されてはどうでしょうか?もしサーバに該当がなくても、ネットワーク機器(ルータやスイッチ)でNTPサーバ機能を持っているものがあり、それが使われていることもありますので、ネットワーク管理者が別にいる場合、そちらにも確認されるといいと思います。

    もし社内でNTPサーバがあれば、それに対して同期を行うようにすれば、外部に出ていく必要はなくなります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク zippo38 2017年3月7日 23:28
    2017年3月7日 14:33
    モデレータ