ドメインコントローラーの時刻の修正についてご相談させて下さい。
現在オフライン環境で運用しているActive Directoryドメインコントローラーの時刻がずれており修正を検討しております。
サーバーとクライアント間での時刻ずれはログイントラブルに起因するものと考えており事前検証を行いました。
検証環境にて意図的に時間をずらしログインを試みたところ、大きな時間のずれがあってもログインが出来てしまいました。
ログイン出来るに越した事は無いのですが、運用環境で時刻修正をした際にトラブルになりたくないため、「なぜログイン出来たのか」についてご意見を頂ければと思っております。
今回試した環境と内容は下記の通りです。
【環境】
・サーバー:Hyper-V 仮想環境 Windows Server 2012R2
・クライアント:Hyper-V 仮想環境 Windows 8.1 Enterprise
・Hyper-Vの設定より、統合サービスの時刻同期は両ホストともオフにしています。
・Default Domain Policy > アカウントポリシー内のコンピューターの時計の動機の最長トレランス:5分(デフォルト)
・Default Domain Policy > アカウントポリシー内のサービスチケットの最長有効期間:600分(デフォルト)
・Default Domain Policy > ローカルポリシー内の対話型ログオン:キャッシュする過去のログオン数:0ログオン
【検証内容】
・クライアントOSの時刻取得元を確認(w32tm /query /source)→ドメインコントローラー
・クライアントOSをシャットダウンした状態で、サーバーの時計をずらす。(30分、12時間、1年で試しました)
時刻をずらした状態でクライアントOSをログインさせ、ログイン出来るかを確認する。
結果、1年ずらしてもログインは出来てしまいました。
イベントログ上は時刻ずれの警告が出ていましたが、その後すぐに時計の修正がされドメインコントローラーと時刻同期されています。
個人的には、ポリシー設定にある5分 or 600分以上の時刻ずれでログインが出来なくなると思ったのですが…。
以上よろしくお願い致します。
