[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
KB816042の「内部のハードウェアクロックを使用するように Windows タイムサービスを構成する」の方法は 「つづきはこちら」より
(質問)
グループポリシーのソフトウェア配布と時刻同期について
Windows2003のActiveDirectory管理をしております。
Windows2003のActiveDirectory環境にて3台のドメインコントローラを構成しています。
サーバ時刻が実時刻より40分ほど遅れており運用に支障があるため実時刻に修正したいとの
要望があります。ドメインに参加するクライアントはサーバの時刻と同期されているため
40分遅れた状態で同期されています。
グループポリシーのソフトウェア配布でMSIアプリケーションを
配布しており時刻を修正することにより不具合が出るのではないかと懸念しております。
以下の事項について教えてください。
(1)既にインストールされているアプリケーションが削除されたりしないか。
(2)時刻修正するに当たり踏むべき手順はあるか。
全クライアントが起動中に実施すべきor起動前に実施すべきなど。
(3)サーバでの時刻修正後にクライアントで同期されるタイミングは。
(4)インテリミラーで配布失敗する事例に時刻ズレがあるがどの程度のずれか。
5分程度のズレが問題ないのであれば毎日5分ずつずらせば影響が出ないのではと考えています。
-----------------------------
(質問・続)
○○○○ 様
2分毎に実行した際にはどのようなタイミングで実行したのでしょうか?(クライアント起動中?全クライアント停止後?)
親玉のドメインコントローラを探して2分ずつ運用時間内に(一般的には日中)変更したいと考えています。
私も既存アプリは削除されないはずとは思っていますが検証する手段がなく困っていました。
※補足します。
今回の質問はクライアントとサーバの時刻が同期されていないのではなく、同期はされています。インターネットに接続されていない閉鎖されたネットワークのドメイン内のクライアントとサーバが実時刻とずれているため合わせたいです。
-----------------------------
(回答)
××××です。
分かる範囲でお答えします。
(1) インストール済みのアプリケーションは削除されません。これは「ドメインにログオンできなかったら、既存のアプリを削除する」というしくみ自体がIntelli Mirrorには用意されてないからです。ただし、ドメインから離脱(ワークグループに参加)したマシンからアプリケーションを削除するしくみはあります(設定を有効にしないとそうなりません)。
(2)時刻修正を行う場合、まずドメインコントローラの「PDCエミュレータ」の時刻を変更してください。それ以外のドメインコントローラは自動的にPDCエミュレータにあわせますが、念のため再起動した方がいいでしょう。ただしドメインコントローラ上やメンバサーバ等に、「なんらかのサーバアプリケーション」が載っている場合そのアプリケーションが大きく時刻を変更して問題が起こらないかどうか、事前調査が必要です。PDCエミュレータの時刻を変更する、については、したのページを参照下さい。
http://support.microsoft.com/kb/816042/ja
(3) クライアントが時刻同期するタイミングは、すでに起動しているクライアントは、時刻同期の状況に依存する(だんだん同期間隔が長くなる)ので、一概には言えません。ですが、確実に同期するのは「コンピュータの起動時」です。
(4) (ほかの方からの指摘どおり) Kerberos の既定では 5 分です。ですが、Windowsの標準的な環境であれば、実質上「クライアント側の時刻がドメインコントローラより10時間進んでいる」という状態が発生しない限り、「おおむね」問題は起こらないでしょう。「絶対に間違いのない方法」がお知りになりたいというなら、MSの有償サポートに確認いただくのが確実です。
ちなみに、「ちょっとだけ進んだ時刻をゆっくり戻す」機能はWindowsの時刻同期システム(Windows Timeサービス)にはありますが(既定は300秒以内です)、「遅れている時刻をゆっくり戻す」機能はありません(すべてStepモードです)。なのでNTPでいうところのSlew機能は、限定的な実装だと考えられた方がいいでしょう。
あと、時刻を大きく変更する場合、「(イベントログとか含め)記録されるログ類」の時刻自体が変わりますので、社内監査上(情報の記録の観点から)問題は起こらないですか?心当たりがおありになるなら、社内のしかるべき部署にご確認いただいた方がいいかもしれません。
トラブルシューティングにはSNTP値の確認、デバッグログの採取、BIOS、CMOSのチェックなどであろうか。
(質問)
Hyper-V2.0の環境でWindows2008の時刻が遅れる
1.環境
・ハードDELL PowerEdgeT310-新規購入4台
・物理OS:Windows2008R2sp1 Hyper-V2.0
・ゲストOSは、
Windows2003sp2(32Bits)-本番のみ
Windows2008R2sp1(64Bits)-テストのみ
2.状況
物理ホスト(Windows2008)の時計が1時間に90秒遅れるため、すべての仮想ゲスト(Windows2003)の時刻が同期されて全体が遅れている。
昨年導入した物理ホスト(Windows2008)でも、遅れを確認したが、AD2003と時刻の同期しているため、気付かなかった。
3.応急処置
物理ホストと仮想ゲストの時刻の同期設定をOFFし、仮想ゲストの時計は正常になったが、物理ホストの時計は、1日で36分(想定18時間/月)も遅れ、Windowsサーバとしては使い物にならない。
4.検証結果
・DELLサーバのBIOSレベルでの時計は正常
・物理ホストと仮想ゲストの時刻の同期設定をOFFすると、仮想ゲスト(Windows2003)の時計は正常になる
以下は、時刻の同期設定をOFF状態
・仮想ゲスト(Windows2003)をすべて停止すると、物理ホスト(Windows2008)の時計は正常になる
・テストで仮想ゲスト(Windows2008)1台のみを起動しても、ホスト/ゲスト共、時計は正常
・仮想ゲスト(Windows2003)を1台でも起動すると、時計が遅れ始めた
5.推定原因
ハードやWindows2008単体では正常で、Windows2003の仮想ゲストを起動すると、物理ホストWindows2008(Hyper-V)の時計が遅れるようである。
6.要望
Windows2008(Hyper-V)の時刻の遅れの改善をお願いしたい
------------------------------------
(質問・続)
助言ありがとうございます。
今回、問題にしているのは、Windows2003の仮想ゲストを起動すると、物理ホストWindows2008(Hyper-V)の時計が遅れ始める事です。
Time-Service(900秒間毎)による、時刻修正方法が問題ではなく、時計が数秒間でみるみるうちに遅れて行く事です。
ハードメーカとの検証活動や不具合の原因の切り分け等、かなりの工数を掛けて不具合の要因を絞りました。
なぜ、物理ホストと仮想ゲストの時刻の同期設定をOFFすると、仮想ゲスト(Windows2003)の時計は正常になるのか?
なぜ、物理ホストと仮想ゲストの時刻の同期設定をOFFしても、物理ホスト(Windows2008)の時計のみが遅れるのか?
なぜ、仮想ゲスト(Windows2003)をすべて停止すると、物理ホスト(Windows2008)の時計は正常になるのか?
なぜ、仮想ゲスト(Windows2008)1台のみを起動しても、ホスト/ゲスト共、時計は正常なのか?
なぜ、仮想ゲスト(Windows2003)を1台でも起動すると、物理ホスト(Windows2008)の時計が遅れ始めるのか?
弊社と同様に、Windows2008(Hyper-V)で仮想ゲスト(Windows2003)を導入しているユーザの皆様、同様の現象が出ていませんか?
仮想マシンの時刻同期機能を無効にする(Hyper-V編)
http://www.atmarkit.co.jp/fwin2k/win2ktips/1107hvsync/hvsync.html
>w32tm /query /configurationで表示される値の意味(Vista以上は管理者コマンドプロンプトで使用可)
Windows Server 2008 で時刻同期を設定する (NTP)
http://www.geocities.jp/gronlijus/skill/windows/windows-ntp.html
(MSページ)
http://technet.microsoft.com/ja-jp/library/cc731790(WS.10).aspx
レジストリ値の確認
コマンドプロンプトで
>w32tm /monitor
と叩いてみるかシステムログの
ソース(S):W32Time
イベントID:35
を確認。
Vista以上は管理者コマンドプロンプトで
>w32tm /query /peers
>w32tm /query /status
と叩く
システムログのソース(S):Time-Serviceを確認。
グループポリシーで設定するなら時刻がずれるコンピュータを一時的にOUにまとめて
「コンピューターの構成-管理用テンプレート-システム-Windows タイムサービス-タイムプロバイダー」
でグループポリシーを一旦適用して再度結果を確認。
(参考ページ)
http://www.upken.jp/kb/ActiveDirectoryCheckList.html
コンピュータの時刻がずれる場合、デバッグログを取って解析する。
Windows タイム サービスのデバッグ ログを有効にする方法
http://support.microsoft.com/kb/816043/ja
または管理者コマンドプロンプトを立ち上げ
>w32tm /debug /enable /file:C:\Windows\debug\w32time.log /size:10000000 /
entries:0-116
と叩くとC:\Windows\debug\w32time.log にログが保存される。
----------------------------------
ワークグループ(スタンドアロン)環境のWindows 7、Windows Server 2008 R2は
Windows Timeサービスが自動起動しなくなりTime Synchronizationタスクでサービスを起動するようになっている。Time Synchronizationタスクはデォフルトで毎週日曜日の午前1時に、Windows Timeサービスを起動し時刻同期を行う。
Windows 7 および Windows Server 2008 R2 のスタンドアロン環境で Windows Time サービスが自動的に起動しない
http://support.microsoft.com/kb/2385818/ja
うえのMS KBにシステム起動時から、Windows Timeサービスを自動起動させる3つの方法が記載されている。
そのタスク定義を好きなように変更する手もある。
既存のタスクを変更する
http://technet.microsoft.com/ja-jp/library/cc766442.aspx
----------------------------------
Web検索して調べたところ、したのプログと富士通のPDFに情報があった。
Server 2008 R2(X64機)の製造メーカーでWindows Server 2003やWindows 2000 ServerのゲストOSが起動している時でもホストOS側の時刻が狂わないような最新のBIOSが使えるようにしていただくのが一番であるが、現時点ではBIOSの設定変更やレジストリの編集などでしのぐしかないようである。
Hyper-VのゲストOSの時間が遅れる場合がある原因を考察する-MCTの憂鬱
もうひとつはしたの富士通のPDFのP17~P18参照。
http://primeserver.fujitsu.com/primergy/technical/construct/pdf/win2008r2-hyperv-note.pdf
ワークグループ環境のサーバー時刻同期は難しい。
(質問)
時刻同期用バッチについて
Windows2003Serverをワークグループ環境で運用しています。
NTP先はインターネット先になるのですが
OS起動時に
w32tm /resync
コマンドを走らせ(スタートアップ)、時刻同期させたいと考えています。
上記コマンドをバッチ化して、ローカル(ドメイン環境のWindowsXP)で実行すると、時刻同期をせず
何度も上記コマンドが実行され続けてしまう状況となってしまっています。
(Dosプロンプト上で画面が流れ続けているような状態です)
環境が違う為に発生しているかもしれませんが、どなたか、適切なコマンドラインをご教授いただけないでしょうか。
情報不足かもしれませんが、宜しくお願い致します。
(回答)
○○○○です。
「ワークグループ環境の」Windows Srever 2003では、実はコンピュータの起動時毎に時刻同期を行うわけではありません。SpecialPollTimeRemainingというレジストリを起動時にチェックして(コンピュータの再起動に関係なく)「前回の同期時間からSpecialPollIntervalレジストリに設定された秒数たったら」時刻同期するよう、動作するのです。
うえに対するいちばん簡単な方法は、(うえの)SpecialPollIntervalレジストリで時刻同期しないよう、設定を変えることです。
これはw32tm /config /update /manualpeerlist:<NTPサーバ> /syncfromflags:manualコマンドを1回だけ手動で実行することです。こうすることで、コンピュータの起動時ごとに時刻同期を行うようになります。あとは[日付と時刻の設定]-[インターネット時刻]のところは触れないようにします(ここをいじると設定が以前のものに戻ることがあります)。
どうしてもワークグループ環境のままいきたい、というなら、ローカルポリシーの「シャットダウンスクリプト」で次のようなバッチファイルを設定するといいかもしれません。
net stop w32time
reg add HKLM\SYSTEM\CurrentControlSet\services\W32Time\TimeProviders\NtpClient /v SpecialPollTimeRemaining /t REG_MULTI_SZ /d "" /f
シャットダウン時にSpecialPollTimeRemainingを空に再設定することで、コンピュータの再起動時には必ず時刻同期を行うようになるはずです。
(参考:Windows Server 2008ワークグループ環境の時刻同期)
(質問1)
ドメイン参加している端末の時刻同期設定
【構成】
・Windows Server 2003 SE R2 SP2 (ドメインコントローラー)
・Windows XP professional
【事象】
ドメインに参加しているPCを別のドメインに参加させたところ時刻同期が行われなかった。イベントログには以下の内容のエラーが出力されていた。
・ソース:W32Time
・イベントID:17
・メッセージ
タイムプロバイダNtpClient手動で構成されたピア'time.windows.com.0x1'のDNS参照中に予期しないエラーが発生しました。960分後に再試行します。
【質問内容】
①ドメインに参加時,以下レジストリ情報が書き換わると認識しておりますが正しいでしょうか。
\My Computer\・・・\W32Time\Parameters
Name:Type Data:NT5DS
不具合のPCは、Dataの値が「AllSync」,「NoSync」とPC毎にまちまちの設定でした。
②①が正しい場合,書き換わらない場合の原因としてどのようなことが考えられるでしょうか。
③この状態でドメインコントローラと時刻同期をさせる方法として、単に、レジストリを修正するのみの対処で宜しいでしょうか。
(回答1)
○○○○です。
momo-ttb さんの質問に、「素で答える」範囲でお答えします(役に立たない内容があるかもしれません)。
(1) ドメインに参加しているクライアントがドメインコントローラから時刻同期するには、このレジストリ値の変更が必要です。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
値の名前:Type が "NT5DS" になっていること
(2)うえのレジストリ値が "NoSync" などになっていたから、という可能性はありえますが、わからないので、ちゃんと調べないとだめでしょう。具体的なケースを作成して、検証してみるとか。ちゃんと調べたいなら、MS の有償サポートに問い合わせたほうがいいように思います。
(3)(1)のレジストリ値を変更したら、"Windows Time" サービスを再起動させてください。普通はそれで大丈夫なはずですよ。
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/a217ccb2-e59f-4d79-97f0-6c060cf9b6c7
(質問2)
AD環境の時刻同期設定(Allsync)について
初めまして。
検索したのですが、同じ質問がなかったようなので、質問させていただきます。
AD環境(wind2008R2)にて、時刻同期設定を行っています。
PDC:win2008R2
ドメイン参加している機器:win2008R2、winXPSP1
機器導入後、ドメイン参加している機器の時刻同期設定(※)を見たところ、
NT5DSになっているもの、Allsync になっているものがありました。
※HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
値の名前:Type
通常、端末、サーバの時刻同期設定はデフォルトで、
NTPになっていて、ドメイン参加すると、
NT5DSに変わるとの認識ですが、何故 Allsync になるのでしょうか。
当然ですが、レジストリを直接変更したりしていません。
ご存知の方がいらっしゃいましたら、教えてください。
(回答2)
すでにお答えされていますが、わかる範囲で回答するとしたらしたの資料よりコマンドでも設定できるようなのでキーワードでWeb検してみられるか、過去ログなどを調べてみてください。
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040414/13/
http://www.monyo.com/technical/windows/27.html
レジストリ
HKEY_LOCAL_MACHINEのSYSTEM\CurrentControlSet\Services\W32Time\Parameters
値の名前:NTPServer
に2つ以上のNTPサーバーが登録されていませんか。
通常は、
time.windows.com,0x1
time.windows.com,0x9(Vistaや7の場合)
コマンドプロンプトでしたのコマンドを叩いてみるか、
>w32tm /monitor
(Vista以上は管理者コマンドプロンプトで >w32tm /query /configuration と叩いても分かります。)
システムログのソース(S):W32Time(Vista以上はソース(S):Time-Service)を確認してください。
外部のNTPサーバーとドメイン・コントローラの両方と時刻を同期する場合
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
値の名前:Type
が" Allsync " である。
ドメイン階層(PDCエミュレータ)と時刻同期させるには
クライアントでAdmin権限あるユーザでログオンしてコマンドプロンプト(または管理者コマンドプロンプト)で
>w32tm /config /syncfromflags:DOMHIER
と叩いてTimeサービスを再起動したら
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
値の名前:Type
が"NT5DS" になる。
(MS KB)
Windows Time サービスにおける時刻同期の仕組み
文書番号: 2722681 -
(参考ブログ)
http://d.hatena.ne.jp/Spiral/20110310/1327558925
http://uso59634.blog63.fc2.com/blog-entry-10.html
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/9c394d61-32b8-49e9-8d58-bd4dc6087101
誰も回答しないので、MVP氏がオーソドックスに回答しいてる。
(質問)
フォレスト間信頼構築後、両方ドメインコントローラの時刻が違っていたらどのような影響が出る?
はじめまして、××××と申します。
A社(a.local)とB社(b.local)がフォレスト間信頼(フォレスト機能レベルW2003以上で双方向または一方向)を結び、その設定が正常に完了したとします。
仮にA社(a.local)のドメインコントローラの時刻がB社(b.local)のドメインコントローラの時刻と違っていた場合、
1.どのような影響がでるのでしょうか?
例えば、時刻の差が大きい場合、エンドユーザはログオンできなくなる?
フォレスト間信頼を先に設定した方が優先となって、優先側の時刻を使用する?(そんなことはないと思いますが)
2.時刻が違っていた場合、どのくらいの時間が許容されるのでしょうか?
それとも全く気にする必要がないのでしょうか?
どうかご教示よろしくお願い致します。
----------------------------
(回答)
○○○○です。
まず、フォレスト間信頼が行われる場合、最終的には認証先ドメインのドメインコントローラと認証を受けるクライアントが、フォレストをまたいで kerberos 認証を行うということになります。この話は「異なるフォレストのリソースにアクセスする」資料に書いてありますね。
となると、認証先のドメインコントローラとクライアント間で時刻がずれている場合、kerberos 認証に失敗する可能性があります。Windows の初期設定で時刻のずれが許されるのは 5 分間までになっています(この設定は変更できますが、詳細は検索で探してみてください)。
ところで、Windows では「Kerberos 認証で時刻がずれすぎてしまったときに、どんな動作をするか」ということは、「かくあるべき」といった定義や考察を行っていないようです。リクツ上は、kerberos 認証の必要条件 (時刻がずれすぎていたら認証しない) は全てに当てはまるべきですが、実際には、Windows クライアントがドメインコントローラにログオン認証する際、クライアントの時刻が多少ずれすぎていても、クライアントは "ドメインコントローラの時刻が正しい" ものとして認証を行う挙動があります (Linux クライアントではこういう挙動はありません) 。
ですから、「Kerberos 認証で時刻がずれすぎてしまったときに、どんな動作をするか」をご自身で知りたい場合、スタディケースに応じてご自身で検証いただく以外に、情報を得ることはムリだと思います。
普通は、時刻がずれすぎている = kerberos 認証が失敗する可能性が高い、という判断から、「時刻がずれたらどうなるか」という話しより、「時刻をずらさないように工夫する」、方に力を注ぐ、システム管理者が多いのではないでしょうか。
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア