[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
誰も回答しないので、MVP氏がオーソドックスに回答しいてる。
(質問)
フォレスト間信頼構築後、両方ドメインコントローラの時刻が違っていたらどのような影響が出る?
はじめまして、××××と申します。
A社(a.local)とB社(b.local)がフォレスト間信頼(フォレスト機能レベルW2003以上で双方向または一方向)を結び、その設定が正常に完了したとします。
仮にA社(a.local)のドメインコントローラの時刻がB社(b.local)のドメインコントローラの時刻と違っていた場合、
1.どのような影響がでるのでしょうか?
例えば、時刻の差が大きい場合、エンドユーザはログオンできなくなる?
フォレスト間信頼を先に設定した方が優先となって、優先側の時刻を使用する?(そんなことはないと思いますが)
2.時刻が違っていた場合、どのくらいの時間が許容されるのでしょうか?
それとも全く気にする必要がないのでしょうか?
どうかご教示よろしくお願い致します。
----------------------------
(回答)
○○○○です。
まず、フォレスト間信頼が行われる場合、最終的には認証先ドメインのドメインコントローラと認証を受けるクライアントが、フォレストをまたいで kerberos 認証を行うということになります。この話は「異なるフォレストのリソースにアクセスする」資料に書いてありますね。
となると、認証先のドメインコントローラとクライアント間で時刻がずれている場合、kerberos 認証に失敗する可能性があります。Windows の初期設定で時刻のずれが許されるのは 5 分間までになっています(この設定は変更できますが、詳細は検索で探してみてください)。
ところで、Windows では「Kerberos 認証で時刻がずれすぎてしまったときに、どんな動作をするか」ということは、「かくあるべき」といった定義や考察を行っていないようです。リクツ上は、kerberos 認証の必要条件 (時刻がずれすぎていたら認証しない) は全てに当てはまるべきですが、実際には、Windows クライアントがドメインコントローラにログオン認証する際、クライアントの時刻が多少ずれすぎていても、クライアントは "ドメインコントローラの時刻が正しい" ものとして認証を行う挙動があります (Linux クライアントではこういう挙動はありません) 。
ですから、「Kerberos 認証で時刻がずれすぎてしまったときに、どんな動作をするか」をご自身で知りたい場合、スタディケースに応じてご自身で検証いただく以外に、情報を得ることはムリだと思います。
普通は、時刻がずれすぎている = kerberos 認証が失敗する可能性が高い、という判断から、「時刻がずれたらどうなるか」という話しより、「時刻をずらさないように工夫する」、方に力を注ぐ、システム管理者が多いのではないでしょうか。
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア