Windows には、Kerberos 認証プロトコルで使用されるタイム サービス ツールである W32Time が含まれています。Kerberos では、タイム サービス ツールの実行は必要ありません。タイム サービス ツールをオフにしても、関連するコンピュータ間の時間差を最大許容範囲内に維持すれば、Kerberos を動作させることができます。または、タイム サービス ツールをオフにし、サードパーティ製のタイム サービスをインストールすることもできます。
タイム サービス ツールの目的は、Microsoft Windows 2000 またはそれ以降のバージョンを実行している組織内のすべてのコンピュータで共通の時刻が使用されるようにすることです。
共通の時刻が適切に設定されるように、タイム サービスでは権限を制御する階層関係が使用されます。また、タイム サービスではループの構成は許可されません。Windows ベースのコンピュータでは、デフォルトで以下の階層が使用されます。
| • |
すべてのクライアント デスクトップ コンピュータは、認証ドメイン コントローラを入力方向のタイム パートナーに指定します。
|
| • |
すべてのメンバ サーバーは、クライアント デスクトップ コンピュータと同じ手順に従います。
|
| • |
ドメイン内のすべてのドメイン コントローラは、プライマリ ドメイン コントローラ (PDC) 操作マスタを入力方向のタイム パートナーに指定します。
|
| • |
すべての PDC 操作マスタは、ドメインの階層構造に従って入力方向のタイム パートナーを選択しますが、階層番号付けに基づいて、親ドメイン コントローラを使用することもできます。
|
この階層構造では、フォレストのルートにある PDC 操作マスタが、組織に対して権限を持つタイム サーバーになります。権限のあるタイム サーバーがハードウェア ソースから時刻を取得するように構成することを強くお勧めします。権限のあるタイム サーバーがインターネットのタイム ソースと同期するように構成した場合、認証は行われません。また、サーバーおよびスタンドアロン クライアントでの時刻の修正幅の設定を小さくすることをお勧めします。これらの構成を行うことで、ドメインの時刻がさらに正確になります。
先頭へ戻る
Microsoft Windows XP Professional および Microsoft Windows Server 2003 (すべてのエディション)
ドメイン サーバー
フォレストのルート PDC (権限のあるタイム サーバー)
権限のあるタイム サーバーの時刻は、ハードウェアから供給されるように構成することを強くお勧めします。権限のあるタイム サーバーがインターネット上のタイム ソースと同期するように構成した場合、認証は行われません。レジストリ値 MaxPosPhaseCorrection および MaxNegPhaseCorrection の設定を変更する必要があります。これらのレジストリ値はどちらも、デフォルトで 0xFFFFFFFF (時刻の変更をすべて受け付ける) に設定されています。推奨される値は、タイム ソース、ネットワークの状態、およびセキュリティの要件に応じて、900 (15 分) またはそれ以下です。この値は、同期間隔によっても異なります。レジストリ値 MaxPollInterval を 10 以下に設定するか、SpecialPollInterval を 3,600 (1 時間) 以下に設定することをお勧めします。これらのレジストリ値の詳細については、この資料の「Windows Server 2003 および Windows XP のタイム サービスのレジストリ キー」を参照してください。
ドメイン コントローラおよびドメイン内のメンバ サーバー
レジストリ値 MaxPosPhaseCorrection および MaxNegPhaseCorrection はデフォルトで 0xFFFFFFFF (時刻の変更をすべて受け付ける) に設定されています。このデフォルト値で問題ありません。しかし、ドメイン内のセキュリティを強化して、操作上のミスからシステムを保護する必要があります。使用環境の要件に応じて、デフォルト値をそのまま使用しても、値を変更してもかまいません。
スタンドアロン クライアント
レジストリ値 MaxPosPhaseCorrection および MaxNegPhaseCorrection はデフォルトで 54,000 (15 時間) に設定されています。セキュリティ上の理由から、この値を小さくすることをお勧めします。推奨される値は、タイム ソース、ネットワークの状態、同期間隔、およびセキュリティの要件に応じて、3,600 (1 時間) またはそれ以下です。
Windows Server 2003 および Windows XP のタイム サービスのレジストリ キー
|
レジストリ値
| MaxPosPhaseCorrection |
|
パス
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
|
注
|
サービスによってシステムの時刻を最大何秒進めるかを指定します。サービスによってこの値より大きな修正が必要と判断された場合は、イベントが記録されます。値が 0xFFFFFFFF の場合は時刻が常に修正されます。ドメインのメンバのデフォルト値は 0xFFFFFFFF です。スタンドアロンのクライアントおよびサーバーのデフォルト値は 54,000 秒 (15 時間) です。
|
|
レジストリ値
| MaxNegPhaseCorrection |
|
パス
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
|
注
|
サービスによってシステムの時刻を最大何秒遅らせるかを指定します。サービスによってこの値より大きな修正が必要と判断された場合、時刻は修正されず、イベントが記録されます。この値が -1 の場合は時刻が常に修正されます。ドメインのメンバのデフォルト値は 0xFFFFFFFF です。スタンドアロンのクライアントおよびサーバーのデフォルト値は 54,000 秒 (15 時間) です。
|
|
レジストリ値
| MaxPollInterval |
|
パス
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
|
注
|
システムの最大同期間隔の秒数を、2 を底とする対数で指定します。システムはスケジュールされた間隔に従って同期を行う必要がありますが、必要な場合はプロバイダによってサンプリングの作成を拒否できます。ドメインのメンバのデフォルト値は 10 (2^10 = 1024 秒) です。スタンドアロンのクライアントとサーバーのデフォルト値は 15 (2^15 = 32,768 秒) です。
|
|
レジストリ値
| SpecialPollInterval |
|
パス
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
|
注
|
手動のピアのための特別な同期間隔を秒単位で指定します。特別な同期間隔を使用するための 0x1 フラグが有効な場合、W32Time はオペレーティング システムによって決定される同期間隔ではなく、この同期間隔を使用します。ドメインのメンバのデフォルト値は 3,600 です。スタンドアロンのクライアントおよびサーバーのデフォルト値は 604,800 です。
|
Windows Server 2003 ベースのフォレストでの Windows タイム サービスの詳細については、以下の Web サイトを参照してください。
先頭へ戻る
Windows 2000 Service Pack 4 (SP4) (すべてのエディション)
ドメイン サーバー
フォレストのルート PDC (権限のあるタイム サーバー)
権限のあるタイム サーバーがハードウェア ソースから時刻を取得するように構成することを強くお勧めします。権限のあるタイム サーバーがインターネット上のタイム ソースと同期するように構成した場合、手動での認証は行われません。レジストリ値 MaxAllowedClockErrInSecs の設定を追加または変更する必要があります。デフォルト値は 43,200 (12 時間) です。タイム ソース、ネットワークの状態、およびセキュリティの要件に応じて、この値を 900 (15 分) またはそれ以下に変更することをお勧めします。この値は、同期間隔によっても異なります。同期間隔を 1 時間 (Period = 24) に設定することをお勧めします。このレジストリ値の詳細については、この資料の「Windows 2000 Server SP4 のレジストリ キー」を参照してください。
ドメイン コントローラおよびドメイン内のメンバ サーバー
同期の種類は NT5DS です。タイム サービスはドメイン階層から同期を行い、時刻の変更をすべて受け付けます。NT5DS では時刻の変更幅を考慮することなく時刻の変更がすべて受け付けられるため、時刻の同期を行うサブネット内に、フォレスト ルートの信頼できるタイム ソースを確立することが非常に重要です。
スタンドアロン クライアント
レジストリ値 MaxAllowedClockErrInSecs のデフォルト値は 43,200 (12 時間) です。セキュリティ上の理由から、この値を小さくすることをお勧めします (このレジストリ値が存在しない場合は追加します)。タイム ソース、ネットワークの状態、同期間隔、およびセキュリティの要件に応じて、この値を 3,600 (1 時間) またはそれ以下に設定します。
Windows 2000 Server SP4 のレジストリ キー
|
レジストリ値
| MaxAllowedClockErrInSecs |
|
パス
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters |
|
注
|
システム クロックの変更を最大何秒まで許可するかを指定します。この値より大きな変更が試みられたときは、クロックの修正は行われず、イベントが記録されます。これは、疑わしいタイムスタンプの変更からシステムを保護するのに役立ちます。ドメイン メンバのデフォルト値は 43,200 です。
|
先頭へ戻る