今回は、ドメインコントローラー間の時刻同期の仕組みと同期状態を確認する方法についてまとめてみました。他にも時刻同期の設定や同期方式など色々ありますが、別途まとめていけたらと思ってます。
Active Directory ドメインの時刻同期について
Active Directory ドメインでは、ドメインに参加しているコンピューターの時刻が同期されていることを前提としてコンピューターの認証を行っています。
そのため、ドメインコントローラーの時刻と 5 分以上のズレがある場合、ログインの認証に失敗してしまうため、コンピューターの時刻は非常に重要となります。
この時刻同期は、NT5DS という階層型の構造に基づいて行われます。そのため、コンピューターはドメインに参加するだけでドメインコントローラーより時刻同期が行われ、ドメイン全体として時刻が一致するような仕組みとなります。
ドメインコントローラーの時刻同期について
ドメインコントローラーは、PDC エミューレーターの役割を保持するドメインコントローラーの時刻を正としており、その他のドメインコントローラーは、NT5DS により PDC エミュレーターから時刻の同期を行います。
そのため、PDC 以外のドメインコントローラーについても、特に設定を必要とせずに階層型の時刻同期が行われるようになります。
※構成によりますが、ドメインコントローラーがそれぞれ時刻同期元を参照する場合もあります。
この際、実際にドメインコントローラー間で時刻の同期ができているか、時間のズレがないかを「w32tm」コマンドを使って確認することができます。
ドメインコントローラーの時刻同期を確認する[w32tm /monitor]
ドメインコントローラーの時刻同期状態を確認するには「w32tm /monitor」コマンドを使います。
ドメインコントローラーに対して、このコマンドを実行することでドメイン内に存在するドメインコントローラーの時刻同期状態をまとめて確認することができます。
※管理者として実行した cmd もしくは PowerShell で実行します。
コマンド例
w32tm /monitor
コマンド実行例
PS C:\Users\Administrator> w32tm /monitor AD01.contoso.com *** PDC ***[[****:****:****:****:****:******]:123]: ICMP: 0ms 遅延 NTP: +0.0000000s AD01.contoso.com の時刻からのオフセット RefID: **.**.**.**.rev.sfr.net [**.**.**.**] 階層: 3 AD02.contoso.com [[****:****:****:****:****:******]:123]: ICMP: 0ms 遅延 NTP: +0.0123456s AD01.contoso.com の時刻からのオフセット RefID: **.**.**.**.rev.sfr.net [**.**.**.**] 階層: 3 PS C:\Users\Administrator>
このように、コマンドを実行すると他のドメインコントローラーの時刻同期状態を確認することができます。
PDC エミュレーター以外のドメインコントローラーの “NTP” と表示されている箇所で「0.~」となっていれば、時刻同期のズレは 1 秒以下という判断となります。