AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

Windows ドメインに参加しているインスタンスと AWS Managed Microsoft AD の間で時刻を同期する方法を教えてください。

所要時間3分
0

グループポリシーを使用して、AWS Directory Service for Microsoft Active Directory 全体の Microsoft Windows マシンの時刻同期を設定したいと考えています。

簡単な説明

Windows マシンには、AWS Managed Microsoft AD ドメインに参加する前にレジストリで事前設定された Network Time Protocol (NTP) サーバーがある場合があります。ドメインに参加すると、Windows マシンは、ドメイン内で利用可能なすべてのメカニズムと自動的に時刻を同期します。ただし、ソース NTP サーバーの時刻が異なる場合、この設定により、タイムスキュー関連の問題が発生する可能性があります。

次の例では、インスタンスが AWS Managed Microsoft AD ドメインに参加する前に、NtpServer パラメータに 169.254.169.123,0x9 があらかじめ入力されています。ただし、ドメインに参加すると、Type パラメータは AllSync に変わります。設定中のこの変更により、タイムスキューが発生する可能性があります。

ドメイン参加前:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

ドメイン参加後:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

解決策

ベストプラクティスとして、ドメインコントローラーを使用して、Windows ドメインに参加しているマシンが AWS Managed Microsoft AD ドメイン階層を介して時刻を同期するようにします。詳細については、Microsoft Web サイトの「Windows タイムサービスのしくみ」 と「Windows タイムサービスのツールと設定」をご参照ください。

前提条件

以下の前提条件を満たしているかどうかご確認ください。

  • ドメインに参加している Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに Active Directory 管理ツールをインストールします。
PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools, . . . }
  • EC2 インスタンスが、時刻同期ドメイン階層を設定する AWS Managed Microsoft AD ドメインに参加しているかを確認します。詳細については、「Windows インスタンスを手動で結合させる」をご参照ください。

AWS Managed AD ドメインの時刻階層を設定する

[グループポリシー] の設定を使用して、AWS Managed AD ドメイン階層の時刻を同期します。

  1. Remote Desktop Protocol (RDP) を使用して EC2 インスタンスにログインします。次に、ドメインユーザーを管理者に設定します。詳細については、「RDP を使用した Windows インスタンスへの接続」をご参照ください。
  2. GPMC.msc を実行して、Group Policy Management コンソールを開きます。
  3. [ドメイン] を選択し、[ドメイン名 ], [ディレクトリ NetBIOS 名 ][コンピュータ] を選択します。
  4. [コンピュータ] をクリックし、[このドメインに GPO を作成しこちらにリンク] を選択します。
    **注:**コンピュータオブジェクトは、組織単位 (OU) または同じ階層内の他の OU の下にある必要があります。
  5. GPO に名前を付けます。たとえば、Domhier Time Syn などを使用します。次に、[OK] を選択します。
  6. 先ほど作成した GPO を選択し、[編集] を選択します。
  7. [コンピュータの構成] を選択し、[管理テンプレート][システム][WindowsTime サービス][タイムプロバイダー] を選択します。
  8. [Windows NTP クライアントを有効にする] を選択し、[有効] を選択します。
  9. [OK] を選択します。
  10. [NTP クライアントを設定] を選択します。
  11. [有効] を選択し、次のパラメータを変更します。
    [タイプ] で、 NT5DS と入力します。
    [SpecialPoolInterval] で、900 と入力します。
  12. [OK] を選択します。

EC2 インスタンスが時刻同期階層を使用しているかどうかを確認する

次のステップを実行して、ドメインコントローラーが AWS Managed Microsoft AD ドメイン階層を通じて時刻を同期しているかを確認します。

詳細については、Microsoft の Web サイトの「グループポリシー: 初心者向けの基本的なトラブルシューティングのステップ」をご参照ください。

  1. 前のセクションのインスタンスを使用して、ドメインポリシーを強制的に更新します。昇格されたプロンプトまたは管理者として Windows PowerShell プロンプトを開き、次のコマンドを実行します。

    PS C:\> gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

  2. NT5DS が設定されていることを確認します。

    PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: NT5DS (Policy)

  3. タイムソースを強制的に検出します。

    PS C:\> w32tm /resync /rediscover
Sending resync command to local computer
The command completed successfully.

  4. インスタンスの同期サーバーを指定します。次の例では、IP-C61301F5 がタイムソースです。

    PS C:\>  w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -23 (119.209ns per tick)
Root Delay: 0.0017265s
Root Dispersion: 0.2926529s
ReferenceId: 0xAC1F0DC6 (source IP:  172.31.13.198)
Last Successful Sync Time: 4/18/2023 12:45:37 PM
Source: IP-C61301F5.corp.example.com
Poll Interval: 7 (128s)

  5. サーバーがドメインコントローラーであることを確認します。

    PS C:\> Get-ADDomainController -Filter * | select name
name
----
IP-C61301F5
IP-C6130214

    **注:**時刻を同期しているドメインコントローラーは、設定中に変更される可能性があります。この変更によって時刻同期の問題が発生することはありません。

  6. インスタンスとドメインコントローラーの間の時刻同期を確認します。時刻の差は可能な限りゼロに近いことが理想的です。詳細については、Microsoft の Web サイトの「W32tm」をご参照ください。

    PS C:\> w32tm /stripchart /computer:IP-C61301F5.corp.example.com /samples:3
Tracking IP-C61301F5.corp.example.com [172.31.13.198:123].
Collecting 3 samples.
The current time is 4/18/2023 12:43:11 PM.
12:43:11, d:+00.0010085s o:-00.0012111s  [                           *                           ]
12:43:13, d:+00.0015748s o:-00.0011228s  [                           *                           ]
12:43:15, error: 0x80072733

関連情報

EC2 Windows インスタンスの時間に関する問題のトラブルシューティング方法を教えてください。

Windows インスタンスの時刻の設定

Amazon Windows AMI のデフォルト Network Time Protocol (NTP) 設定

トピック
セキュリティ、アイデンティティ、コンプライアンス
タグ
AWS Directory Service
言語
日本語
AWS公式
AWS公式更新しました 6ヶ月前
コメントはありません

関連するコンテンツ