none
フォレスト間信頼構築後、両方ドメインコントローラの時刻が違っていたらどのような影響が出る? RRS feed

  • 質問

  • はじめまして、kitasanstarと申します。
    A社(a.local)とB社(b.local)がフォレスト間信頼(フォレスト機能レベルW2003以上で双方向または一方向)を結び、その設定が正常に完了したとします。
    仮にA社(a.local)のドメインコントローラの時刻がB社(b.local)のドメインコントローラの時刻と違っていた場合、
    1.どのような影響がでるのでしょうか?
     例えば、時刻の差が大きい場合、エンドユーザはログオンできなくなる?
     フォレスト間信頼を先に設定した方が優先となって、優先側の時刻を使用する?(そんなことはないと思いますが)
    2.時刻が違っていた場合、どのくらいの時間が許容されるのでしょうか?
     それとも全く気にする必要がないのでしょうか?

    どうかご教示よろしくお願い致します。

    2009年11月27日 7:47

回答

  • チャブーンです。

    まず、フォレスト間信頼が行われる場合、最終的には認証先ドメインのドメインコントローラと認証を受けるクライアントが、フォレストをまたいで kerberos 認証を行うということになります。この話は「異なるフォレストのリソースにアクセスする」資料に書いてありますね。

    となると、認証先のドメインコントローラとクライアント間で時刻がずれている場合、kerberos 認証に失敗する可能性があります。Windows の初期設定で時刻のずれが許されるのは 5 分間までになっています(この設定は変更できますが、詳細は検索で探してみてください)。

    ところで、Windows では「Kerberos 認証で時刻がずれすぎてしまったときに、どんな動作をするか」ということは、「かくあるべき」といった定義や考察を行っていないようです。リクツ上は、kerberos 認証の必要条件 (時刻がずれすぎていたら認証しない) は全てに当てはまるべきですが、実際には、Windows クライアントがドメインコントローラにログオン認証する際、クライアントの時刻が多少ずれすぎていても、クライアントは "ドメインコントローラの時刻が正しい" ものとして認証を行う挙動があります (Linux クライアントではこういう挙動はありません) 。

    ですから、「Kerberos 認証で時刻がずれすぎてしまったときに、どんな動作をするか」をご自身で知りたい場合、スタディケースに応じてご自身で検証いただく以外に、情報を得ることはムリだと思います。

    普通は、時刻がずれすぎている = kerberos 認証が失敗する可能性が高い、という判断から、「時刻がずれたらどうなるか」という話しより、「時刻をずらさないように工夫する」、方に力を注ぐ、システム管理者が多いのではないでしょうか。
    2009年12月3日 3:39
    モデレータ

すべての返信

  • チャブーンです。

    まず、フォレスト間信頼が行われる場合、最終的には認証先ドメインのドメインコントローラと認証を受けるクライアントが、フォレストをまたいで kerberos 認証を行うということになります。この話は「異なるフォレストのリソースにアクセスする」資料に書いてありますね。

    となると、認証先のドメインコントローラとクライアント間で時刻がずれている場合、kerberos 認証に失敗する可能性があります。Windows の初期設定で時刻のずれが許されるのは 5 分間までになっています(この設定は変更できますが、詳細は検索で探してみてください)。

    ところで、Windows では「Kerberos 認証で時刻がずれすぎてしまったときに、どんな動作をするか」ということは、「かくあるべき」といった定義や考察を行っていないようです。リクツ上は、kerberos 認証の必要条件 (時刻がずれすぎていたら認証しない) は全てに当てはまるべきですが、実際には、Windows クライアントがドメインコントローラにログオン認証する際、クライアントの時刻が多少ずれすぎていても、クライアントは "ドメインコントローラの時刻が正しい" ものとして認証を行う挙動があります (Linux クライアントではこういう挙動はありません) 。

    ですから、「Kerberos 認証で時刻がずれすぎてしまったときに、どんな動作をするか」をご自身で知りたい場合、スタディケースに応じてご自身で検証いただく以外に、情報を得ることはムリだと思います。

    普通は、時刻がずれすぎている = kerberos 認証が失敗する可能性が高い、という判断から、「時刻がずれたらどうなるか」という話しより、「時刻をずらさないように工夫する」、方に力を注ぐ、システム管理者が多いのではないでしょうか。
    2009年12月3日 3:39
    モデレータ
  • こんにちは、フォーラムオペレーターの三沢健二です。

    チャブーン さん、アドバイスありがとうございます。

    何らかの問題が発生するような気はしますが、明確な回答は難しいと思われますので、チャブーン さんに案内いただいたように出来るだけ時刻がずれないような運用を行っていただければと思います。

    それでは、案内いただいた内容が有用な情報と思われましたので、私の方で [回答としてマーク] を付けさせていただきました。


    今後とも TechNet フォーラムをよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2009年12月18日 4:51
    モデレータ