none
グループポリシーのソフトウェア配布と時刻同期について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows2003のActiveDirectory管理をしております。

    Windows2003のActiveDirectory環境にて3台のドメインコントローラを構成しています。
    サーバ時刻が実時刻より40分ほど遅れており運用に支障があるため実時刻に修正したいとの
    要望があります。ドメインに参加するクライアントはサーバの時刻と同期されているため
    40分遅れた状態で同期されています。
    グループポリシーのソフトウェア配布でMSIアプリケーションを
    配布しており時刻を修正することにより不具合が出るのではないかと懸念しております。
    以下の事項について教えてください。

    (1)既にインストールされているアプリケーションが削除されたりしないか。
    (2)時刻修正するに当たり踏むべき手順はあるか。
       全クライアントが起動中に実施すべきor起動前に実施すべきなど。
    (3)サーバでの時刻修正後にクライアントで同期されるタイミングは。
    (4)インテリミラーで配布失敗する事例に時刻ズレがあるがどの程度のずれか。
       5分程度のズレが問題ないのであれば毎日5分ずつずらせば影響が出ないのではと考えています。

    2010年10月14日 6:03
    |

回答

  • Question
    サインインして投票
    2
    サインインして投票

    チャブーンです。

    分かる範囲でお答えします。

    (1) インストール済みのアプリケーションは削除されません。これは「ドメインにログオンできなかったら、既存のアプリを削除する」というしくみ自体がIntelli Mirrorには用意されてないからです。ただし、ドメインから離脱(ワークグループに参加)したマシンからアプリケーションを削除するしくみはあります(設定を有効にしないとそうなりません)。

    (2)時刻修正を行う場合、まずドメインコントローラの「PDCエミュレータ」の時刻を変更してください。それ以外のドメインコントローラは自動的にPDCエミュレータにあわせますが、念のため再起動した方がいいでしょう。ただしドメインコントローラ上やメンバサーバ等に、「なんらかのサーバアプリケーション」が載っている場合そのアプリケーションが大きく時刻を変更して問題が起こらないかどうか、事前調査が必要です。PDCエミュレータの時刻を変更する、については、したのページを参照下さい。

    http://support.microsoft.com/kb/816042/ja

    (3) クライアントが時刻同期するタイミングは、すでに起動しているクライアントは、時刻同期の状況に依存する(だんだん同期間隔が長くなる)ので、一概には言えません。ですが、確実に同期するのは「コンピュータの起動時」です。

    (4) (ほかの方からの指摘どおり) Kerberos の既定では 5 分です。ですが、Windowsの標準的な環境であれば、実質上「クライアント側の時刻がドメインコントローラより10時間進んでいる」という状態が発生しない限り、「おおむね」問題は起こらないでしょう。「絶対に間違いのない方法」がお知りになりたいというなら、MSの有償サポートに確認いただくのが確実です。

    ちなみに、「ちょっとだけ進んだ時刻をゆっくり戻す」機能はWindowsの時刻同期システム(Windows Timeサービス)にはありますが(既定は300秒以内です)、「遅れている時刻をゆっくり戻す」機能はありません(すべてStepモードです)。なのでNTPでいうところのSlew機能は、限定的な実装だと考えられた方がいいでしょう。

    あと、時刻を大きく変更する場合、「(イベントログとか含め)記録されるログ類」の時刻自体が変わりますので、社内監査上(情報の記録の観点から)問題は起こらないですか?心当たりがおありになるなら、社内のしかるべき部署にご確認いただいた方がいいかもしれません。

    2010年10月19日 3:19
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    試験問題作成委員会さんのご回答の通り、既定値は5分です。下記の資料は機械翻訳なので微妙に言葉ズレていますが「コンピュータの時計の同期の最長トレランス」が定義されていなければ5分です。下記の資料の名前にもある通り、ずれがこれ以上大きくてもKerberosのチケットをもらえることがないことないのですが、あくまでも例外として文章が出るほど原則てきにはあり得ないことだとお考えください。

    「Kerberos チケットは、クライアントとドメイン コントローラーの時刻の時間の差が「コンピューターの時計の同期の最長トレランス」値より大きい場合でも、発行されます。」
    http://support.microsoft.com/kb/956627/ja

    既定値は5分といっても、当日いない方や誤差も含めて2分程度でゆっくり合わせに行ったことがあります。
    このときも数日間出張者がログインできなくなるため、その人たちには手で時刻を同期してもらいました。
    数分のずれであれば、徐々に同期されていきます(仕組み上、いきなりではなく少しずつ同期されていきます。RDPなどで並べて時計を表示していると、頑張って同期させていく姿に少しなごみます^^;)
    ドメインに所属しているPCであれば、基本的ににドメインと同期を取るようになっているはずですが、念のためw32tm /monitor /computers:<Target IP Adr>などでご確認ください。

    (1)既存アプリが削除されることはなかったはず(未検証(削除された経験がありません。運が良かっただけかも。)。仕組みから考えると、グループポリシー自体が読めないため、何か作業が行われることはないと思います。)
    (2)基本的に、クライアントもサーバー同様に40分遅れているのであれば、サーバと同期がとれているとおもいますが、念のため数台確認することをお勧めします。また、w32tm /monitor でどのドメインコントローラが時刻同期の親玉かを明確化しておいてください。
    (3)(2)で正しく設定されていれば、設定後からすぐに同期が始まります。瞬時に変えたい場合は試験問題作成委員会さんご紹介のサイトにしたがって、w32tm /resync /rediscoverで強制してください
    (4)既定値は5分。グループポリシーで変更可能。5分以上ずれると認証機構そのものがおかしくなるのでインテリミラー以前の問題になる。
    #それでも2分で実行したのは、AD以外のKerberos認証を使っているサーバとの影響を調べるのが面倒だったから。

     

    2010年10月15日 3:33
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    kerberos認証においては時刻ズレが5分以上あると正常な認証が行われなくなりますのでソフトウェア配布も機能しません。

    私が、DCを実時刻に合わせた方法はの投稿を見てください。ただし、DCの時刻を実時刻に合わせるとクライアントがドメインに認証されなくなりますので、したの資料にあるようにクライアントでローカルアドミンでログオンしてコマンドプロンプトより

    C:\> w32tm /config /update /syncfromflags:domhier

    と叩いていかないといけないと思います。業務に支障が出ないよう休日などに検証してください。

    http://itpro.nikkeibp.co.jp/article/COLUMN/20060907/247402/

    http://www.atmarkit.co.jp/fwin2k/operation/winntp02/winntp02_02.html

     

    訂正

    DCの時刻を実時刻に合わせた場合、40分時刻がずれたクライアントでもドメインに認証されますね。

    したがって、クライアントでローカルアドミンでログオンしてコマンドプロンプトより

    C:\> w32tm /config /update /syncfromflags:domhier

    の作業は不要です。

    瞬時にクライアントの時刻を変えたい場合、クライアントでドメインにログオンしているユーザーでしたのコマンドを叩くだけです。

    C:\>w32tm /resync

     

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2010年10月14日 12:26
    |
  • Question
    サインインして投票
    1
    サインインして投票

    試験問題作成委員会さんのご回答の通り、既定値は5分です。下記の資料は機械翻訳なので微妙に言葉ズレていますが「コンピュータの時計の同期の最長トレランス」が定義されていなければ5分です。下記の資料の名前にもある通り、ずれがこれ以上大きくてもKerberosのチケットをもらえることがないことないのですが、あくまでも例外として文章が出るほど原則てきにはあり得ないことだとお考えください。

    「Kerberos チケットは、クライアントとドメイン コントローラーの時刻の時間の差が「コンピューターの時計の同期の最長トレランス」値より大きい場合でも、発行されます。」
    http://support.microsoft.com/kb/956627/ja

    既定値は5分といっても、当日いない方や誤差も含めて2分程度でゆっくり合わせに行ったことがあります。
    このときも数日間出張者がログインできなくなるため、その人たちには手で時刻を同期してもらいました。
    数分のずれであれば、徐々に同期されていきます(仕組み上、いきなりではなく少しずつ同期されていきます。RDPなどで並べて時計を表示していると、頑張って同期させていく姿に少しなごみます^^;)
    ドメインに所属しているPCであれば、基本的ににドメインと同期を取るようになっているはずですが、念のためw32tm /monitor /computers:<Target IP Adr>などでご確認ください。

    (1)既存アプリが削除されることはなかったはず(未検証(削除された経験がありません。運が良かっただけかも。)。仕組みから考えると、グループポリシー自体が読めないため、何か作業が行われることはないと思います。)
    (2)基本的に、クライアントもサーバー同様に40分遅れているのであれば、サーバと同期がとれているとおもいますが、念のため数台確認することをお勧めします。また、w32tm /monitor でどのドメインコントローラが時刻同期の親玉かを明確化しておいてください。
    (3)(2)で正しく設定されていれば、設定後からすぐに同期が始まります。瞬時に変えたい場合は試験問題作成委員会さんご紹介のサイトにしたがって、w32tm /resync /rediscoverで強制してください
    (4)既定値は5分。グループポリシーで変更可能。5分以上ずれると認証機構そのものがおかしくなるのでインテリミラー以前の問題になる。
    #それでも2分で実行したのは、AD以外のKerberos認証を使っているサーバとの影響を調べるのが面倒だったから。

     

    2010年10月15日 3:33
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    Chuki 様

    2分毎に実行した際にはどのようなタイミングで実行したのでしょうか?(クライアント起動中?全クライアント停止後?)

    親玉のドメインコントローラを探して2分ずつ運用時間内に(一般的には日中)変更したいと考えています。

    私も既存アプリは削除されないはずとは思っていますが検証する手段がなく困っていました。

     

    ※補足します。

    今回の質問はクライアントとサーバの時刻が同期されていないのではなく、同期はされています。インターネットに接続されていない

    閉鎖されたネットワークのドメイン内のクライアントとサーバが実時刻とずれているため合わせたいです。

     

     

    2010年10月17日 23:26
    |
  • Question
    サインインして投票
    1
    サインインして投票

    >私も既存アプリは削除されないはずとは思っていますが検証する手段がなく困っていました。

    念のためですが、残念ながら、私は消えないかどうかは保証できませんし、テスト環境を立てて検証する手間をしなくても良いなんて保証はまったくしかねることは予めご承知ください。(たんに行ったことがあるというだけで、それが正しい方法かどうかも分かりません。)

    やったことがあるのは、就業時間開始前、あまり人がこないような時間でバッチ処理にかからない時間に2分進めるバッチを動かしていました。

    >運用時間内に(一般的には日中)変更したい

    今回は、時刻を進めるということですので、遅らすことよりはインパクトが少ないと思いますが、私にはその勇気がありません。

    2010年10月18日 1:44
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    http://support.microsoft.com/kb/816042/ja

    申し訳ありませんが、ご質問のケースではうえのKBが根拠となると思いますが結局自己責任となってしまいます。無償の匿名掲示板サイトでの正確な回答は難しいと思いますので別の識者よりの回答を待たれるか、もし急がれるのであればMSの有償サポートのお世話になった方がよいと思います。

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2010年10月18日 11:34
    |
  • Question
    サインインして投票
    2
    サインインして投票

    チャブーンです。

    分かる範囲でお答えします。

    (1) インストール済みのアプリケーションは削除されません。これは「ドメインにログオンできなかったら、既存のアプリを削除する」というしくみ自体がIntelli Mirrorには用意されてないからです。ただし、ドメインから離脱(ワークグループに参加)したマシンからアプリケーションを削除するしくみはあります(設定を有効にしないとそうなりません)。

    (2)時刻修正を行う場合、まずドメインコントローラの「PDCエミュレータ」の時刻を変更してください。それ以外のドメインコントローラは自動的にPDCエミュレータにあわせますが、念のため再起動した方がいいでしょう。ただしドメインコントローラ上やメンバサーバ等に、「なんらかのサーバアプリケーション」が載っている場合そのアプリケーションが大きく時刻を変更して問題が起こらないかどうか、事前調査が必要です。PDCエミュレータの時刻を変更する、については、したのページを参照下さい。

    http://support.microsoft.com/kb/816042/ja

    (3) クライアントが時刻同期するタイミングは、すでに起動しているクライアントは、時刻同期の状況に依存する(だんだん同期間隔が長くなる)ので、一概には言えません。ですが、確実に同期するのは「コンピュータの起動時」です。

    (4) (ほかの方からの指摘どおり) Kerberos の既定では 5 分です。ですが、Windowsの標準的な環境であれば、実質上「クライアント側の時刻がドメインコントローラより10時間進んでいる」という状態が発生しない限り、「おおむね」問題は起こらないでしょう。「絶対に間違いのない方法」がお知りになりたいというなら、MSの有償サポートに確認いただくのが確実です。

    ちなみに、「ちょっとだけ進んだ時刻をゆっくり戻す」機能はWindowsの時刻同期システム(Windows Timeサービス)にはありますが(既定は300秒以内です)、「遅れている時刻をゆっくり戻す」機能はありません(すべてStepモードです)。なのでNTPでいうところのSlew機能は、限定的な実装だと考えられた方がいいでしょう。

    あと、時刻を大きく変更する場合、「(イベントログとか含め)記録されるログ類」の時刻自体が変わりますので、社内監査上(情報の記録の観点から)問題は起こらないですか?心当たりがおありになるなら、社内のしかるべき部署にご確認いただいた方がいいかもしれません。

    2010年10月19日 3:19
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    みなさん、様々なアドバイス誠にありがとうございます。

    みなさんに案内いただいた内容は有用な情報ではないかと思いましたので、勝手ながら [回答としてマーク] を付けさせていただきました。

    もしよろしければ、その後の経緯などお知らせいただければと思います。


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年10月28日 8:28
    |
    モデレータ