次の方法で共有

推奨 - 権限のあるタイム ソースを使用してルート PDC を構成し、広範囲に及ぶ時刻のずれを回避する

  • [アーティクル]

これを検討する理由とは

ルート PDC エミュレーターは、ネットワーク タイム プロトコル (NTP) サーバーを使用するように設定されていません。 Windows の機能やネットワーク機能の多くは、ネットワーク経由での高度な時刻の同期に依存しています。 時刻の同期に失敗すると、さまざまな問題、特にログオンの障害が発生する可能性があります。 時刻のずれが生じると、Kerberos 認証や、クレーム ベースのシングル サインオンが失敗する場合があります。

カスタマーエンジニアが問題を説明する動画を見る

コンテキストおよびベストプラクティス

既定では、ドメインのすべてのコンピューターとデバイスがドメイン階層を利用してシステム時間と同期します。 ドメイン メンバーはドメイン コントローラーと時間を同期し、ドメイン コントローラーは PDC エミュレーターを実行するドメイン コントローラーと時間を同期します。 フォレスト ルート ドメインの PDC エミュレーターはドメイン階層の最上位にあるため、このドメイン コントローラーの時刻がドメイン階層と同期されるように構成する処理は無効です。 Windows タイム サービスは W32Time イベント ソースから Windows イベント ログにイベント ID 12 を書き込むことで、この状態を警告します。

状況によっては、PDC エミュレーターは自身の時刻を BIOS クロックから取得しますが、 このアプローチには欠点があります。 日付と時刻が PDC エミュレーター BIOS で正確に設定されていないと、ドメイン全体の日付と時刻の設定が不正確になります。 さらに、PDC エミュレーターがオフラインになると、ドメイン メンバーは時刻を同期できません。 それよりも、PDC エミュレーターの時刻が、外部タイム ソースと直接同期されるように構成するこをお勧めします。 また、ドメイン内の他のデバイスの時刻が外部タイム サービスと同期されるように構成し、内部タイム サーバーを代替タイム ソースとして使用するように PDC エミュレーターを構成することもできます。

権限のある外部タイム ソースはインターネットに接続しているサービスで、通常は政府、科学、教育機関によって保守されます。このサービスにより、ネットワーク タイム プロトコル (NTP) を使用して、システム時刻を同期させることができます。 たとえば、NIST は全米のさまざまな場所でタイム サーバーを提供します。

推奨される対応

PDCE ロールを保持するドメイン コントローラーを構成し、時刻を同期させるために NTP サーバーを使用するには、次のような複数の方法があります。

コマンド ラインを使用して時刻同期を構成するには、次の手順を実行します。

PDC エミュレーターで管理コマンド プロンプトを開き、次のコマンドを使用します。

w32tm.exe /config /syncfromflags:manual /manualpeerlist:131.107.13.100,0x8 /reliable:yes /update

w32tm.exe /config /update

Note

例の IP アドレスは、ワシントン州レドモンドにある Microsoft のアメリカ国立標準技術研究所 (NIST) タイム サーバーです。 この IP アドレスを適切なタイム サービスに置き換えます。

PDC エミュレーターを編集するレジストリを介して時刻同期を構成するには、次の手順を実行します。

  1. レジストリ エディター (regedit.exe) を開きます。

  2. 次のレジストリ キーに移動します。HKLM\System\CurrentControlSet\Services\W32Time\Parameters

  3. 特定の NTP ソースを使用するには、[種類] の値を「NTP」に変更します。

  4. NtpServer 値を変更して、時刻を同期する NTP サーバーを含め、その後に 0x8 を続けます (例: 131.107.13.100,0x8)。 複数の NTP サーバーは、スペースで区切る必要があります (例: 131.107.13.100,0x8 24.56.178.140,0x8)

  5. 管理コマンド プロンプトを開き、次のコマンドを実行します。w32tm /config /update

グループ ポリシーを使用して時刻同期を構成するには、次の手順を実行します。

  1. [グループ ポリシー管理コンソール] を開きます

  2. 新しい GPO を作成します。

  3. GPO を開き、[コンピューターの設定]、>[管理用テンプレート]、>[システム]、>[Windows タイム サービス]、>[タイム プロバイダー] の順に移動します

  4. [Windows NTP クライアントを構成する] をダブルクリックします。

  5. 状態を [有効] に設定します。

  6. [種類][NTP] に設定します。

  7. タイム サーバーの IP アドレスを指すように NTPServer を構成し、その後に 0x8 を指定します。 たとえば、131.107.13.100,0x8 などです。

  8. グループ ポリシー エディターを閉じます。

  9. グループ ポリシー管理コンソールの [セキュリティ フィルター処理] ウィンドウで、新しく作成したポリシーの [認証されたユーザー] を削除し、PDC エミュレーターのロールを持つマシンを追加します。

  10. GPO をドメイン コントローラー OU にリンクします。

Note

Windows タイムのグループ ポリシー設定は、レジストリ パス HKLM\Software\Policies\Microsoft\W32time に書き込まれます。

トラブルシューティングを行う方法

Windows タイム サービスの現在の構成を確認するには、管理者特権でのコマンド プロンプトで次のコマンドを使用します。

w32tm /query /configuration

時刻の同期の現在のソースを確認するには、次のコマンドを使用します。

w32tm /query /source

詳細情報

NIST インターネット タイム サービスの詳細については、「NIST インターネット タイム サービス (ITS)」を参照してください。

Windows タイム サービスの詳細については、「Windows タイム サービスの仕組み」を参照してください。