内部のハードウェアクロックを使用するように Windows タイムサービスを構成する

KB816042の「内部のハードウェアクロックを使用するように Windows タイムサービスを構成する」の方法は　「つづきはこちら」より

（質問）

グループポリシーのソフトウェア配布と時刻同期について

 

Windows2003のActiveDirectory管理をしております。

 

Windows2003のActiveDirectory環境にて3台のドメインコントローラを構成しています。

サーバ時刻が実時刻より40分ほど遅れており運用に支障があるため実時刻に修正したいとの

要望があります。ドメインに参加するクライアントはサーバの時刻と同期されているため

40分遅れた状態で同期されています。

グループポリシーのソフトウェア配布でMSIアプリケーションを

配布しており時刻を修正することにより不具合が出るのではないかと懸念しております。

以下の事項について教えてください。

 

（１）既にインストールされているアプリケーションが削除されたりしないか。

（２）時刻修正するに当たり踏むべき手順はあるか。

全クライアントが起動中に実施すべきor起動前に実施すべきなど。

（３）サーバでの時刻修正後にクライアントで同期されるタイミングは。

（４）インテリミラーで配布失敗する事例に時刻ズレがあるがどの程度のずれか。

５分程度のズレが問題ないのであれば毎日5分ずつずらせば影響が出ないのではと考えています。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 
（質問・続）

○○○○　様

2分毎に実行した際にはどのようなタイミングで実行したのでしょうか？（クライアント起動中？全クライアント停止後？）

親玉のドメインコントローラを探して2分ずつ運用時間内に（一般的には日中）変更したいと考えています。

私も既存アプリは削除されないはずとは思っていますが検証する手段がなく困っていました。

 

※補足します。

今回の質問はクライアントとサーバの時刻が同期されていないのではなく、同期はされています。インターネットに接続されていない閉鎖されたネットワークのドメイン内のクライアントとサーバが実時刻とずれているため合わせたいです。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 

（回答）

××××です。

 

分かる範囲でお答えします。

 

(1) インストール済みのアプリケーションは削除されません。これは「ドメインにログオンできなかったら、既存のアプリを削除する」というしくみ自体がIntelli Mirrorには用意されてないからです。ただし、ドメインから離脱(ワークグループに参加)したマシンからアプリケーションを削除するしくみはあります(設定を有効にしないとそうなりません)。

 

(2)時刻修正を行う場合、まずドメインコントローラの「PDCエミュレータ」の時刻を変更してください。それ以外のドメインコントローラは自動的にPDCエミュレータにあわせますが、念のため再起動した方がいいでしょう。ただしドメインコントローラ上やメンバサーバ等に、「なんらかのサーバアプリケーション」が載っている場合そのアプリケーションが大きく時刻を変更して問題が起こらないかどうか、事前調査が必要です。PDCエミュレータの時刻を変更する、については、したのページを参照下さい。

 

http://support.microsoft.com/kb/816042/ja

 

(3) クライアントが時刻同期するタイミングは、すでに起動しているクライアントは、時刻同期の状況に依存する(だんだん同期間隔が長くなる)ので、一概には言えません。ですが、確実に同期するのは「コンピュータの起動時」です。

 

(4) (ほかの方からの指摘どおり) Kerberos の既定では 5 分です。ですが、Windowsの標準的な環境であれば、実質上「クライアント側の時刻がドメインコントローラより10時間進んでいる」という状態が発生しない限り、「おおむね」問題は起こらないでしょう。「絶対に間違いのない方法」がお知りになりたいというなら、MSの有償サポートに確認いただくのが確実です。

 

ちなみに、「ちょっとだけ進んだ時刻をゆっくり戻す」機能はWindowsの時刻同期システム(Windows Timeサービス)にはありますが(既定は300秒以内です)、「遅れている時刻をゆっくり戻す」機能はありません(すべてStepモードです)。なのでNTPでいうところのSlew機能は、限定的な実装だと考えられた方がいいでしょう。

 

あと、時刻を大きく変更する場合、「(イベントログとか含め)記録されるログ類」の時刻自体が変わりますので、社内監査上(情報の記録の観点から)問題は起こらないですか？心当たりがおありになるなら、社内のしかるべき部署にご確認いただいた方がいいかもしれません。
 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/e23755c4-76d2-4395-b887-dd58eb38073a

（質問）
ドメコンの時刻を手動で変更

ドメコン：2台　
Windows2008R2
インターネットへも接続されずタイムサーバも無い環境なので
ドメコンを手動で時報に合わせクライアントはそれに従わせようとしています。
自分の認識ではPDCエミュ（FSMO)が親になるのでそれを時報に合わせればよいと思ってたのですが
15分～30分経つと元の時刻に戻ってしまいます。というか２台目のドメコンに合わされます。
試しに2台目のドメコンを時報にあわせると、FSMOはこれに合わされます。
これは正しい動きなのでしょうか？
同じ構成の別の環境で試しても同じ症状でした。
ただ、別の方が構築されたものなのでもしかしたら特別な設定がしてあるかもしれません。
 
（回答のフィードバック）
○○○○さん返信ありがとうございます。
ご教示いただいた方法を実施したあとw32tm /monitorで確認しましたが変化はありましたが不自然な状態でした。いろいろ試したところ次の方法でうまくいくようです。最初の状態によるのかもしれません。
レジストリ変更
①FSMO(PDCエミュ)
AnnounceFlags=0x5
Type=AllSync
　　　　　NTP
キー： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Config
値の名前：LocalClockDispersion
値：0x0
   非FSMO
AnnounceFlags=0xa
Type=NT5DS
②WindowsTimeサービスリスタート
③w32tm /resync /rediscover
おかげで問題が解決しました。
ありがとうございました。

(@IT資料)
内部クロックに同期させる方法
http://www.atmarkit.co.jp/fwin2k/operation/winntp202/winntp202_02.html

外部NTPサーバに参照できない環境の場合、PDCエミュレータのCMOSクロックに同期させることで、自分自身をStratum 1のNTPサーバとして構成することができる。

PDCエミュレータにて管理者コマンドプロンプトで
>w32tm /config /update /manualpeerlist:"" /syncfromflags:manual /reliable:YES /localclockdispersion:0
と叩き、
Windows Timeサービスを再起動
>w32tm /query /status
で確認。

文書番号: 816042 -
Windows Server で権限のあるタイム サーバーを構成する方法
文書番号: 314054 -
Windows XP で権限のあるタイム サーバーを構成する方法

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/6ad187b8-a013-4a93-91a9-0b31aaf580eb