Windows ServerとAD-ログオン時の時刻同期を無効にする

0

Windows Server 2012 R2をすべて実行しているいくつかのアプリケーションサーバーでMS ADドメインがあります。アプリケーションには特別な要件があります。データベースとアプリサーバー間の時間シフトは5秒未満でなければなりません。2秒以上の時間差がある場合、アプリケーションはマシン時間を手動で設定します。5秒または10秒以上ある場合(覚えていない場合)、アプリは単に読み込まれません。

通常どおりActive Directoryの時刻同期メカニズムに依存しようとしましたが、ここでは機能しません。より「正確」である必要があります。

だから私の質問は...ドメインコントローラーとアプリサーバー間で時間の非同期化のリスクを知っているので、Active Directoryドメインへのログオン時にWindowsの時間同期を無効にすることは可能ですか?

windows  active-directory  ntp 
レミ・セリエール
ソース
5秒未満の時間差を要求することは、分散システムに関する限り、実際には非常に一般的な要件です...しかし、AD時間同期がそれを提供しないことに驚いています– NTPv4を使用しないので、秒未満の精度を提供しますか?両方のサーバーが同じドメインコントローラーに対して同期していますか?すべてのDCが同期していますか?
-grawity
通常、タイムサーバーが適切に設定されていると仮定して、すべてのシステムを1秒未満で同期する必要があります。これをチェックしてくださいsupport.microsoft.com/en-us/help/816042/...をまたdocs.microsoft.com/en-us/windows-server/networking/...
ジェフ・F.
ドメインの時刻同期は正確です。あなたが持っているのは他の場所の問題です。仮想マシンを実行していて、VM設定のクロック設定が間違っているため、ホストシステムがゲストシステムの時間を妨害していると思われます。また、ホストシステムが共通のタイムソースと同期していること、および/またはホスト/ゲストクロック設定で再生していることを確認してください。
-Appleoddity
問題は...アプリケーション自体がSQL NOW()関数を使用して、データベースサーバーの日付と時刻を取得することです。アプリサーバー時間とデータベース時間に2秒以上の差がある場合、アプリケーションは時間の変更を強制します。はい、Azureで実行されている仮想マシンを使用しています。ADは時刻同期を提供しますが、SQLサーバーによって返される時刻は、SQLがドメインで実行されている場合でも、ADサーバーの時刻と正確に一致しない場合があります。ログイン時の時刻同期を無効にしたいのはそのためです...タイムシフトはありますが、とにかく5分未満でなければなりません。
レミセリエール

回答:

0

Windows ADでは、ADレプリケーションの競合およびKerberos認証のためにタイムスタンプが必要です。Kerberosは、これらを使用して、リプレイ攻撃から保護します。この場合、認証パケットはネットワーク上でインターセプトされ、元の送信者に代わって認証するために後で再送信されます。

現地時間とタイムスタンプの差が大きすぎる場合、認証要求は拒否され、Kerberos認証は失敗します。時間スキューの設定が高すぎると、リプレイ攻撃のリスクが高くなります。デフォルト設定は5分です。

ドメインコントローラとサーバー間で時間を同期させなければ、認証を完了することはできません。そのため、Active Directoryドメインでのログオン時のWindows時間同期を無効にすると、認証に重大な問題が発生する可能性があります。

デイジー周
ソース
間違いではありませんが、ADではこの質問ごとにクロックが5分以内である必要がありますsuperuser.com/questions/395966/…)。リクエスターはクロックが5秒以内にあることを意図します。あなたの懸念は、彼らが直面するリスクではありません。
-Slartibartfast
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.