¶ ADと時刻同期
¶ 📌 1. 概要
Active Directory において時刻は単なる表示情報ではない。
Kerberos 認証、ドメインコントローラー間のレプリケーション、監査ログの整合性など、ドメインの中核機能は正確な時刻を前提として動作している。
時刻がずれると、正しい資格情報を入力しても認証が失敗する。
DNSが「接続先を決める基盤」であるのに対し、時刻同期は「認証を成立させる基盤」である。
¶ 🧠 2. Kerberosと時刻の関係
Kerberos 認証では、チケットに以下の情報が含まれる。
- 発行時刻
- 有効期限
- クライアント時刻
既定では、許容される時刻差は 5分以内 である。
これを超えると、チケットは無効と判定される。
¶ 🔎 認証の流れ
クライアントとDCの時計が一致していることが前提である。
¶ 🏗 3. ADにおける時刻同期構造
Active Directory では、時刻も階層構造で同期される。
¶ 同期の流れ
- フォレストルートのPDCエミュレーターが外部NTPと同期
- 他のドメインコントローラーがPDCと同期
- クライアントはログオン先DCと同期
この一方向の連鎖でドメイン全体の時刻が統一される。
¶ 👑 4. PDCエミュレーターの役割
PDCエミュレーターはFSMOロールの一つであり、ドメイン内の基準時刻サーバーとして機能する。
主な役割:
- ドメイン基準時計
- パスワード変更優先処理
- 旧環境互換機能
時刻同期においては「親時計」の役割を担う。
¶ 🌍 5. 外部NTPとの同期
PDCエミュレーターは、信頼できる外部NTPサーバーと同期する。
外部基準がない場合、内部誤差が蓄積する可能性がある。
¶ 🔎 6. よくあるトラブル
¶ ■ ログオン失敗
- クライアントの時計ずれ
- 仮想マシンでホスト同期と競合
¶ ■ レプリケーションエラー
- DC間の時刻差
- PDCが外部同期していない
¶ 🛠 7. 確認コマンド
¶ 現在の同期状態
w32tm /query /status
¶ 同期元確認
w32tm /query /source
¶ 手動同期
w32tm /resync
¶ 🧩 8. 全体イメージ
Active Directory では、
- Kerberos認証
- レプリケーション
- 監査ログ整合性
すべてが時刻に依存している。
¶ 📝 まとめ
Active Directory において時刻同期は基盤要素である。
- 許容誤差は5分以内
- PDCエミュレーターが基準
- 外部NTPとの同期が推奨
DNSと並び、
トラブル調査時に最優先で確認すべき項目が時刻同期である。