none
Active Directoryの時刻変更について RRS feed

  • 質問

  • 外部NTPサーバと同期していないドメイン環境の時計あわせについて
    お伺いしたいことがございます。

    単一ドメイン環境にて、外部NTPサーバとは時刻同期させていない環境がございます。
    ドメイン全体の時刻がずれてきてしまったので、修正をしようと考えておりますが、
    Active Directoryサーバの時刻を現在の時刻より30分前に変更して、クライアントのログイン等に問題は発生しないでしょうか。
    ※ドメインに参加している機器のアプリケーションのことは考えないという前提です。
    また、kerberosポリシーの「コンピュータの時計の同期の最長トレランス」はデフォルトの5分、
    「チケットの最長有効期間」もデフォルトの600分となっております。

    尚、ADで時刻を設定後、クライアントはWindows Timeサービスにてデフォルトの1時間でADと同期するかと思います。
    ※ログインしていない端末は同期できないため「w32tm /resync」コマンドで同期させようと考えております。

    ログインできなくなるなどの問題がないかが非常に不安であるため、
    ご教示いただければと思います。


    よろしくお願いいたします。


    2009年7月12日 6:31

回答

すべての返信

  • あちらの掲示板にもありますが、

     

    >Active Directory 環境下では kerberos 認証が使われると言うことで、クライアントPC

    >のシステム日付が5分以上ずれていると認証されない

     

    したのページの解説も読んでみてください。

    http://itpro.nikkeibp.co.jp/free/NT/QUIZ/20050804/165895/

     

    w32tm /resync」コマンドについてはしたに解説があります。

    http://itpro.nikkeibp.co.jp/article/COLUMN/20080207/293293/

     

    ドメインコントローラの時刻をタイムサーバと同期させる方法についてはしたのページにあります。

    http://www.windows-world.jp/faq/-/69369.html

     

    Active Directoryサーバの時刻を現在の時刻より××分ずらすことは個人的にはお勧めできません。また識者よりの回答も待っみてください。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2009年7月12日 10:15
  • 試験問題作成委員会様

    ご返信ありがとうございます。
    やはり5分以上ずれると認証ができなくなるということですね。

    非常に不安ではありますが、いつかやらないといけないことなので…。

    尚、検証環境で確認いたしましたが、すぐに同期コマンドを実行すれば特に問題は発生しませんでした。
    ※ADの時刻を変更してもすぐにログオンできなくなることはありませんでした。(これはログオンキャッシュのためでしょうか…)
    また、ログオンしていた端末については、1時間経過後に同期することも確認いたしました。


    30分程度時間を進めた場合、戻した場合とも問題はなかったので、
    AD変更後にクライアント全てで時刻同期コマンドを実行する方向で検討しようと思います。

    参考ページとても勉強になりました。ありがとうございました。

    2009年7月17日 10:14
  • こんにちは、フォーラムオペレーターの三沢健二です。

     

    試験問題作成委員会 さん、回答ありがとうございました!

     

    cirque さん、本番環境で時刻同期は無事完了しましたか?

    cirque さんの現在の状況が気になるところですが、試験問題作成委員会 さんの回答が参考になったのではないかと思いましたので、ひとまず、私の方で [回答としてマーク] を付けさせていただきました。

    もし不適当であると思われた場合は、遠慮なくチェックを解除してくださいね。

     

     

    すでにご存じの通り、既定ではドメインコントローラーとクライアントの時刻が 5 分以上ずれている場合には、Kerberos 認証に失敗します。

    ただ、一度失敗しても、クライアントの方で時刻を修正してリトライするはずなので、ログオン自体にはそれほど影響はないかもしれません。

     

     

    それでは、また何かありましたら TechNet フォーラムをぜひご利用ください!

    今後ともよろしくお願いします。

     

    ______________________________________

    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

     

     

    2009年7月24日 4:26
    モデレータ