Windows には、Kerberos 認証プロトコルで必要な W32Time というタイム サービス ツールが含まれています。この Windows タイム サービスの目的は、Microsoft Windows 2000 以降を実行している組織内のすべてのコンピュータで、確実に共通の時刻が使用されるようにすることです。

Windows タイム サービスでは、権限を制御する階層的な関係を使用し、ループを許可しないことにより、共通の時刻が使用されることを保証します。Windows ベースのコンピュータでは、デフォルトで以下の階層構造が使用されます。

•	すべてのクライアント デスクトップ コンピュータは、認証ドメイン コントローラを入力方向のタイム パートナーに指名します。
•	すべてのメンバ サーバーは、クライアント デスクトップ コンピュータと同じ手順を実行します。
•	ドメイン内のすべてのドメイン コントローラは、プライマリ ドメイン コントローラ (PDC) 操作マスタを入力方向のタイム パートナーに指名します。
•	すべての PDC 操作マスタは、ドメインの階層構造に従って入力方向のタイム パートナーを選択します。

階層構造に従って、フォレストのルートにある PDC 操作マスタが、組織に対して権限を持つタイム サーバーになります。権限のあるタイム サーバーはハードウェア ソースから時刻を取得するように構成することを強くお勧めします。権限のあるタイム サーバーがインターネット上のタイム ソースと同期するように構成した場合、認証は行われません。また、サーバーおよびスタンドアロン クライアントでの時刻の修正幅の設定を小さくすることをお勧めします。これらの推奨事項に従うことにより、ドメインにおける時刻の正確性およびセキュリティ上の安全性が向上します。

先頭へ戻る

内部のハードウェア クロックを使用するように Windows タイム サービスを構成する

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

外部のタイム ソースを使用せずに PDC マスタを構成するには、PDC マスタのアナウンス フラグを変更します。PDC マスタとは、ドメインのフォレスト ルートの PDC マスタの役割を持っているサーバーです。この構成を行うと、PDC マスタは自身を信頼できるタイム ソースであるとアナウンスし、組み込みの CMOS (Complementary Metal Oxide Semiconductor) クロックが使用されます。内部のハードウェア クロックを使用するように PDC マスタを構成するには、以下の手順を実行します。

1.	[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedit と入力し、[OK] をクリックします。
2.	次のレジストリ サブキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3.	右側のウィンドウで [AnnounceFlags] を右クリックし、[修正] をクリックします。
4.	[DWORD 値の編集] ダイアログ ボックスの [値のデータ] ボックスに A と入力し、[OK] をクリックします。
5.	レジストリ エディタを終了します。
6.	コマンド プロンプトで次のコマンドを入力し、Enter キーを押して、Windows タイム サービスを再起動します。 net stop w32time && net start w32time

注 : PDC マスタが、PDC マスタ自身と同期しないように構成する必要があります。PDC マスタが自身と同期するように構成されていると、アプリケーション ログに次のイベントが出力されます。

タイム プロバイダ NtpClient は到達できないか、現在 192.168.1.1 (ntp.m|0x0|192.168.1.1:123->192.168.1.1:123) から有効な時間データを受信中です。

タイム プロバイダ NtpClient: 手動で構成されたピア 192.168.1.1 に 8 回連絡しましたが、有効な応答を受信しませんでした。このピアをタイム ソースとして破棄し、NtpClient はこの DNS 名で新しいピアを発見しようとします。

1 つまたは複数のタイム ソースから時間を取得するようにタイム プロバイダ NtpClient は構成されていますが、どのソースも現在アクセスすることはできません。ソースへのアクセスの試行は、あと 960 分間実行されません。NtpClient が正しい時間を参照できるソースがありません。

PDC マスタが外部のタイム ソースを使用せずに実行されている場合、次のイベントがアプリケーション ログに出力されます。

タイム プロバイダ NtpClient: このコンピュータは、ドメイン階層を使ってタイムソースを決定するように構成されていますが、フォレストのルートにあるドメイン用の PDC エミュレータであるため、ドメイン階層のその上にはタイム ソースとして使用するコンピュータがありません。ルート ドメインの信頼できるタイム サービスを構成するか、または手動で PDC を構成して外部のタイム ソースと同期させることをお勧めします。そうでない場合、このコンピュータはドメイン階層内の権限のあるタイム ソースとして機能します。外部のタイム ソースが構成できない場合、またこのコンピュータで使用できない場合は、NtpClient を無効にすることをお勧めします。

このメッセージは、外部のタイム ソースを使用するように注意を促すためのものであり、無視しても問題ありません。

先頭へ戻る

外部のタイム ソースを使用するように Windows タイム サービスを構成する

外部のタイム ソースと同期するように内部のタイム サーバーを構成するには、以下の手順を実行します。

1.	次の手順を実行して、サーバーの種類を NTP に変更します。 a. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedit と入力し、[OK] をクリックします。 b. 次のレジストリ サブキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type c. 右側のウィンドウで [Type] を右クリックし、[修正] をクリックします。 d. [文字列の編集] ダイアログ ボックスの [値のデータ] ボックスに NTP と入力し、[OK] をクリックします。
2.	次の手順を実行して、AnnounceFlags を 5 に設定します。 a. 次のレジストリ サブキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags b. 右側のウィンドウで [AnnounceFlags] を右クリックし、[修正] をクリックします。 c. [DWORD 値の編集] ダイアログ ボックスの [値のデータ] ボックスに 5 と入力し、[OK] をクリックします。
3.	次の手順を実行して、NTPServer を有効にします。 a. 次のレジストリ サブキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer b. 右側のウィンドウで [Enabled] を右クリックし、[修正] をクリックします。 c. [DWORD 値の編集] ダイアログ ボックスの [値のデータ] ボックスに 1 と入力し、[OK] をクリックします。
4.	次の手順を実行して、タイム ソースを指定します。 a. 次のレジストリ サブキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer b. 右側のウィンドウで [NtpServer] を右クリックし、[修正] をクリックします。 c. [文字列の編集] ダイアログ ボックスの [値のデータ] ボックスに Peers と入力し、[OK] をクリックします。 注 : Peers には、コンピュータでタイム スタンプの取得先とするピアの一覧をスペースで区切って指定します。一覧内の DNS 名は重複しないようにしてください。各 DNS 名の末尾には ,0x1 を追加する必要があります。各 DNS 名の末尾に ,0x1 を追加しない場合、手順 5. での変更が有効になりません。
5.	次の手順を実行して、同期間隔を指定します。 a. 次のレジストリ サブキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval b. 右側のウィンドウで [SpecialPollInterval] を右クリックし、[修正] をクリックします。 c. [DWORD 値の編集] ダイアログ ボックスの [値のデータ] ボックスに TimeInSeconds と入力し、[OK] をクリックします。 注 : TimeInSeconds には、同期間隔を秒単位で指定します。推奨値は 900 (10 進数) です。この値を使用すると、15 分ごとに同期を行うようにタイム サーバーが構成されます。
6.	次の手順を実行して、時刻の修正に関する設定を構成します。 a. 次のレジストリ サブキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection b. 右側のウィンドウで [MaxPosPhaseCorrection] を右クリックし、[修正] をクリックします。 c. [DWORD 値の編集] ダイアログ ボックスで、[表記] の [10 進] をクリックします。 d. [DWORD 値の編集] ダイアログ ボックスの [値のデータ] ボックスに TimeInSeconds と入力し、[OK] をクリックします。 注 : TimeInSeconds には、3600 (1 時間)、1800 (30 分) など、適切な値を指定します。選択する値は、同期間隔、ネットワークの状態および外部のタイム ソースによって異なります。 e. 次のレジストリ サブキーを見つけてクリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection f. 右側のウィンドウで [MaxNegPhaseCorrection] を右クリックし、[修正] をクリックします。 g. [DWORD 値の編集] ダイアログ ボックスで、[表記] の [10 進] をクリックします。 h. [DWORD 値の編集] ダイアログ ボックスの [値のデータ] ボックスに TimeInSeconds と入力し、[OK] をクリックします。 注 : TimeInSeconds には、3600 (1 時間)、1800 (30 分) など、適切な値を指定します。選択する値は、同期間隔、ネットワークの状態および外部のタイム ソースによって異なります。
7.	レジストリ エディタを終了します。
8.	コマンド プロンプトで次のコマンドを入力し、Enter キーを押して、Windows タイム サービスを再起動します。 net stop w32time && net start w32time

先頭へ戻る

トラブルシューティング

Windows タイム サービスが正しく機能するためには、ネットワーク インフラストラクチャが正常に機能している必要があります。Windows タイム サービスに関する一般的な問題には、次のようなものがあります。

•	ゲートウェイの停止など、TCP/IP 接続に問題があります。
•	名前解決サービスが正常に機能しません。
•	ネットワークで大きな遅延が発生します (特に、待ち時間の長い WAN リンクを経由して同期している場合)。
•	Windows タイム サービスにより不正確なタイム ソースとの同期が試行されます。

ネットワーク関連の問題のトラブルシューティングには、Netdiag.exe ユーティリティを使用することをお勧めします。Netdiag.exe は Windows Server 2003 サポート ツール パッケージに含まれています。Netdiag.exe で使用できるコマンド ライン パラメータの一覧については、ツールのヘルプを参照してください。それでも問題を解決できない場合は、Windows タイム サービスのデバッグ ログを有効にすることができます。デバッグ ログには詳細な情報を含めることができるため、Windows タイム サービスのデバッグ ログを有効にするときには、Microsoft Product Support Services に問い合わせることをお勧めします。

Microsoft Product Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web ページを参照してください。 注 : Microsoft Support 担当者が、特定の更新プログラムを適用することにより問題が解決されると判断した場合、まれに通常サポート依頼にかかる料金が免除されることがあります。ただし、特定の更新プログラムの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。

先頭へ戻る

NTP は、異なる種類のパケットをサポートしています。通常、NTP クライアントと SNTP (Simple Network Time Protocol) クライアントは、クライアント モードの要求パケットを NTP サーバーに送信します。NTP サーバーは、サーバー モードのパケットで応答します。クライアント モードのパケットの代わりに対称アクティブ モードのパケットを NTP サーバーに送信するように W32time サービスを構成するには、コマンド プロンプトで次のコマンドを入力します。 注 : W32time が対称アクティブ モードのパケットではなく、標準のクライアント要求を送信するように強制するには、0x8 フラグを使用します。NTP サーバーは、こうした標準のクライアント要求に対し、通常の応答を返します。

先頭へ戻る

信頼できるタイム ソースの構成

信頼できるタイム ソースとして構成されたコンピュータは、Windows タイム サービスのルートとして設定されます。Windows タイム サービスのルートは、ドメインに対して権限を持つサーバーであり、通常、外部の NTP サーバーまたはハードウェア デバイスから時刻を取得するように構成されます。特定のタイム サーバーを信頼できるタイム ソースとして構成して、ドメイン階層全体に時刻を転送する方法を最適化することができます。ドメイン コントローラが信頼できるタイム ソースとして構成されている場合、ネットワークへのログオン時に Net Logon サービスがそのドメイン コントローラを信頼できるタイム ソースとしてアナウンスします。他のドメイン コントローラは、同期するタイム ソースを検索するとき、信頼できるソースが利用可能な場合には、信頼できるソースを最初に選択します。

先頭へ戻る

手動指定の同期

手動指定の同期では、コンピュータで時刻の取得先とするピアを指定することができます。ピアは 1 つのみ指定することも、一覧として複数指定することもできます。コンピュータがドメインに参加していない場合、指定したタイム ソースと同期するように手動で構成する必要があります。ドメインに参加しているコンピュータでは、デフォルトでドメイン階層から同期するように構成されています。手動指定の同期は、ドメインのフォレスト ルート、またはドメインに参加していないコンピュータで特に役立ちます。外部の NTP サーバーを手動で指定して、ドメインに対して権限を持つコンピュータと同期することにより、信頼できる時刻を使用できます。ただし、ドメインにおける時刻の正確性およびセキュリティ上の安全性が高いのは、ドメインに対して権限を持つコンピュータをハードウェア クロックと同期するように構成する方法です。

ハードウェアのタイム ソースがない場合、W32time の種類は NTP として構成されます。レジストリ値の MaxPosPhaseCorrection と MaxNegPhaseCorrection の設定を変更する必要があります。タイム ソース、ネットワークの状態、セキュリティの要件によっても異なりますが、推奨する値は 15 分以下です。この要件は、時刻の同期を行うサブネットでフォレスト ルートのタイム ソースとして構成された、すべての信頼できるタイム ソースにも適用されます。これらのレジストリ値の詳細については、この資料の「Windows タイム サービスのレジストリ値」を参照してください。

注 : 手動指定のタイム ソースは、特定のタイム プロバイダが指定されていない限り、認証が行われません。このため、これらのタイム ソースは攻撃を受けやすくなります。また、認証を行うドメイン コントローラではなく、手動指定のソースとコンピュータが同期を行っている場合、2 台のコンピュータ間で同期が取れなくなる場合があります。この状況では、Kerberos 認証が失敗し、プリンタやファイルの共有など、ネットワーク認証が必要な他の操作も失敗する可能性があります。フォレスト ルートのみが外部のソースと同期を取るように構成されている場合、フォレスト内の他のコンピュータはすべて互いに同期の取れた状態になります。この構成では、再生攻撃を受けにくくなります。

先頭へ戻る

利用可能なすべての同期メカニズム

利用可能なすべての同期メカニズムを使用するというオプションは、ネットワーク上のユーザーにとって最も役に立つ同期方法です。この方法では、ドメイン階層との同期が可能になるだけでなく、ドメイン階層が利用できなくなった場合に、構成に応じて別のタイム ソースを提供することもできます。クライアントがドメイン階層と時刻を同期できない場合、タイム ソースは、NtpServer の設定で指定されたタイム ソースに自動的に切り替わります。ほとんどの場合、この同期方法で、クライアントに正確な時刻を提供することができます。

先頭へ戻る

Windows タイム サービスのレジストリ値

次のレジストリ値は、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ の下にあります。

レジストリ値	MaxPosPhaseCorrection
パス	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
説明	サービスによってシステムの時刻を最大何秒進めるかを指定します。サービスによってこの値より大きな修正が必要と判断された場合は、イベントが記録されます。値が 0xFFFFFFFF の場合は時刻が常に修正されます。ドメインのメンバのデフォルト値は 0xFFFFFFFF です。スタンドアロンのクライアントおよびサーバーのデフォルト値は 54,000 (15 時間) です。

レジストリ値	MaxNegPhaseCorrection
パス	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
説明	サービスによってシステムの時刻を最大何秒遅らせるかを指定します。サービスによってこの値より大きな修正が必要と判断された場合、時刻は修正されず、イベントが記録されます。この値が -1 の場合は時刻が常に修正されます。ドメインのメンバのデフォルト値は 0xFFFFFFFF です。スタンドアロンのクライアントおよびサーバーのデフォルト値は 54,000 (15 時間) です。

レジストリ値	MaxPollInterval
パス	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
説明	システムの最大同期間隔の秒数を、2 を底とする対数で指定します。システムはスケジュールされた間隔に従って同期を行う必要がありますが、必要な場合はプロバイダによってサンプリングの作成を拒否できます。ドメインのメンバのデフォルト値は 10 (2^10 = 1,024 秒) です。スタンドアロンのクライアントとサーバーのデフォルト値は 15 (2^15 = 32,768 秒) です。

レジストリ値	SpecialPollInterval
パス	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
説明	手動のピアのための特別な同期間隔を秒単位で指定します。特別な同期間隔を使用するための 0x1 フラグが有効な場合、W32Time はオペレーティング システムによって決定される同期間隔ではなく、この同期間隔を使用します。ドメインのメンバのデフォルト値は 3,600 です。スタンドアロンのクライアントおよびサーバーのデフォルト値は 604,800 です。

レジストリ値	MaxAllowedPhaseOffset
パス	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
説明	W32Time がクロック レートを使用してコンピュータの時計を調整するときの最大修正幅を秒単位で指定します。修正幅がこの値より大きい場合、W32Time はコンピュータの時計を直接設定します。ドメイン メンバのデフォルト値は 300 です。スタンドアロン クライアントおよびサーバーのデフォルト値は 1 です。

先頭へ戻る

Windows タイム サービスの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。 Windows Server 2003 ベースのフォレストでの Windows タイム サービスの詳細については、以下のマイクロソフト Web サイトを参照してください。

http://technet2.microsoft.com/windowsserver/en/library/a0fcd250-e5f7-41b3-b0e8-240f8236e2101033.mspx

先頭へ戻る