none
PDC以外のドメインコントローラの時刻同期の設定について

    質問

  • AD環境で時刻同期の設定を行おうとしております。
    構成は下記の通りです。

    [サーバ構成]
    ・ドメインコントローラー1(PDCサービス有効)
    ・ドメインコントローラー2
    ・その他ドメインメンバー


    [時刻同期先]
    ・ドメインコントローラー1:外部のNTPサーバ
    ・ドメインコントローラー2:ドメインコントローラー1
    ・ドメインメンバー:ドメインコントローラー1、または2


    [設定詳細]

    値①
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\
    Parameters
    Type

    ドメインコントローラー1:NTP
    ドメインコントローラー2:NT5DS ※デフォルト

    値②
    NtpServer
    ドメインコントローラー1:外部タイムサーバ1,0x1 外部タイムサーバ1,
    0x1
    ドメインコントローラー2:time.windows.com,0x1 ※デフォルト

    値③
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\
    Config
    AnnounceFlages

    ドメインコントローラー1:5(10進数)
    ドメインコントローラー2:5(10進数)


    [事象]
    上記設定をしたところ、ドメインコントローラー2からドメインコント
    ローラ1への時刻同期ができなくなりました。

    以下、出力されたエラーメッセージ

     ・ タイムソースとして使うドメインコントローラを見つけることができませんでした。15分後に再試行します

     ・ 1つまたは複数のタイムソースから時間を取得するようにタイムプロバイダNtpClientは構成されていますが、どのソースも現在アクセスすることはできません。ソースへのアクセスの試行は、あと15分間実行されません。NtpClientが正しい時間を参照できるソースがありません。

     

    [確認]
    上記[設定詳細]にある3つの値を複数パターンで検証したところ、以下
    の制約があるのではないかと考えています。

    1.同一ドメイン内に、"AnnounceFlages"が5のサーバを複数立ててはな
    らない。
    2.TYPEが"NTP"の場合、"NtpServer"に同期可能なサーバの記述が必要に
    なる。

    1、2で認識正しいでしょうか。
    また、ドメイン環境内で設定する推奨値などありますか。

    2010年8月2日 7:22

回答

  • k_yuko26 さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    少しうろ覚えですが、"AnnounceFlages" を 5 に設定した場合には下記のような動作になったはずです。

    ・"Type" が "NTP" の場合 : 指定された NTP サーバーと同期する。NTP サーバーと通信が出来ない場合には内部のハードウェア クロックを使用する。
    ・"Type" が "NT5DS" の場合 : 内部のハードウェア クロックを使用する。


    その他の設定とも関係してきますので、必ずしも 「"AnnounceFlages"が5のサーバを複数立ててはならない」 というわけではないと思われます。
    (ちょっとした設定ミスで、問題が発生する可能性は高くなるかもしれませんが、、、)

    - 参考情報
    Windows Server で権限のあるタイム サーバーを構成する方法
    http://support.microsoft.com/kb/816042/ja

     

    "W32Time\Parameters" 内の "NtpServer" については、他の NTP サーバーと同期させたい場合には、"Type" を "NTP" もしくは "AllSync" に設定して、同期させたい NTP サーバーのホスト名や IP アドレスを指定してください。
    逆に、他の NTP サーバーと同期させたくない場合には空白にするような設定方法も考えられます。

    - 参考情報
    NTPの設定状況確認について(メンバーサーバ側)
    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/056466c5-1559-4961-85ff-0ebac9acc8b8

    Active Directory 環境における時刻同期
    http://www.atmarkit.co.jp/fwin2k/operation/winntp01/winntp01_03.html

    ネットワーク内に基準となるNTPサーバを導入する
    http://www.atmarkit.co.jp/fwin2k/operation/winntp03/winntp03_01.html

     

    ドメイン環境での推奨値については、その環境や構成によって変わってくると思いますが、シンプルな環境であれば、ルートの PDC エミュレーターの DC を信頼できる NTP サーバーと同期するように設定して、その他の端末はデフォルトのままでも良いような気もします。


    それでは、こちらの情報が少しでもお役にたてれば幸いです。
    (もし認識に間違いがあればご指摘ください)

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク k_yuko26 2010年8月9日 8:57
    2010年8月5日 8:56
    モデレータ

すべての返信

  • k_yuko26 さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    少しうろ覚えですが、"AnnounceFlages" を 5 に設定した場合には下記のような動作になったはずです。

    ・"Type" が "NTP" の場合 : 指定された NTP サーバーと同期する。NTP サーバーと通信が出来ない場合には内部のハードウェア クロックを使用する。
    ・"Type" が "NT5DS" の場合 : 内部のハードウェア クロックを使用する。


    その他の設定とも関係してきますので、必ずしも 「"AnnounceFlages"が5のサーバを複数立ててはならない」 というわけではないと思われます。
    (ちょっとした設定ミスで、問題が発生する可能性は高くなるかもしれませんが、、、)

    - 参考情報
    Windows Server で権限のあるタイム サーバーを構成する方法
    http://support.microsoft.com/kb/816042/ja

     

    "W32Time\Parameters" 内の "NtpServer" については、他の NTP サーバーと同期させたい場合には、"Type" を "NTP" もしくは "AllSync" に設定して、同期させたい NTP サーバーのホスト名や IP アドレスを指定してください。
    逆に、他の NTP サーバーと同期させたくない場合には空白にするような設定方法も考えられます。

    - 参考情報
    NTPの設定状況確認について(メンバーサーバ側)
    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/056466c5-1559-4961-85ff-0ebac9acc8b8

    Active Directory 環境における時刻同期
    http://www.atmarkit.co.jp/fwin2k/operation/winntp01/winntp01_03.html

    ネットワーク内に基準となるNTPサーバを導入する
    http://www.atmarkit.co.jp/fwin2k/operation/winntp03/winntp03_01.html

     

    ドメイン環境での推奨値については、その環境や構成によって変わってくると思いますが、シンプルな環境であれば、ルートの PDC エミュレーターの DC を信頼できる NTP サーバーと同期するように設定して、その他の端末はデフォルトのままでも良いような気もします。


    それでは、こちらの情報が少しでもお役にたてれば幸いです。
    (もし認識に間違いがあればご指摘ください)

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク k_yuko26 2010年8月9日 8:57
    2010年8月5日 8:56
    モデレータ
  • フォーラムオペレーター 三沢様

    ご回答ありがとうございました。

    ご回答頂きました内容とリンクを参照し、以下のように考えました。問題ないかご意見をお願いいたします。

    【PDCエミュレータ(ドメインコントローラー1)】

    外部のNTPサーバと同期させるため、以下の設定にする。

    値①
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\
    Parameters
    Type

    ドメインコントローラー1:NTP

    値②
    NtpServer
    ドメインコントローラー1:外部タイムサーバ1,0x1 外部タイムサーバ1,
    0x1


    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\
    Config
    AnnounceFlages

    ドメインコントローラー1:5(10進数)

     

    【ドメインコントローラ2】

    外部のNTPサーバと通信させず、ドメインの階層に従ってPDCエミュレータと同期させるため、以下の設定とする。

    値①
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\
    Parameters
    Type

    ドメインコントローラー2:NT5DS

    値②
    NtpServer
    time.windows.com,0x1 ※デフォルト(この値は使用されない)


    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\
    Config
    AnnounceFlages

    ドメインコントローラー2:10(10進数)

    申し訳ありませんが、ご回答よろしくお願い致します。

    2010年8月6日 6:53
  • k_yuko26 さん、こんにちは。
    ご返信ありがとうございます。

    ルートの PDC エミュレーターの DC は外部の NTP サーバーと同期するようにして、その他の DC・ドメインメンバーはデフォルトでの設定という事ですね。

    特にその設定で問題ないと思われますが、"最適な設定" は環境ごとに異なると思われますので、まずはその設定で様子を見ていただき、必要であれば設定の見直しを行っていただければと思います。


    コマンドで設定する場合は下記のリンクなどが参考になりそうです。

    - 参考情報
    Windows タイム サービスを構成する
    http://technet.microsoft.com/ja-jp/library/cc731191(WS.10).aspx


    それでは、少しでも k_yuko26 さんのお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク k_yuko26 2010年8月9日 7:23
    • 回答としてマークされていない k_yuko26 2010年8月9日 8:57
    2010年8月9日 6:41
    モデレータ
  • フォーラムオペレーター 三沢様

    k_yuko26です。

    ご回答ありがとうございました。

    なかなかピンポイントでヒットする情報がなく困っていましたが、

    三沢様が言われるように、とりあえずこの設定を行い、様子を見ることにします。

    いろいろ情報を、ありがとうございました。助かりました。

    2010年8月9日 7:28