アカウント名:
パスワード:
こんなに大きくずれていたら、普通は無視されるから平気でしょ?
Windows Server(2003 SP2)のADで影響がありました。特定のDCのみ時刻が大幅にずれ、そのDCでKerberos認証が失敗してくれました。。。※イベントログのディレクトリ サービス でNTDS Replication のエラー(イベントID:2042)が頻発します。
修正方法は・時刻がズレたと思われるDCを確認(イベントログの日付がおかしくなるはず)・他のDCでrepadmin ツールを使って該当DCの確認、DC情報の消去を行う・正常なDCからrepadmin ツールで複製を実施・念のためFile Replication Service を立ち上げ直して、DC間で同期が取れているか確認する・(可能であれば)再起動を行い、問題がないことを確認するで何とか回復できました。
で、問題は時刻が大幅にズレることです。どうやらWindows系ではレジストリを変更しない限り、デフォルトでどこまでも変更(!)するようです。。。
時刻が大きく変更されないように Windows タイム サービスを構成する方法http://support.microsoft.com/kb/884776/ja [microsoft.com]によると、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ConfigのMaxPosPhaseCorrectionMaxNegPhaseCorrectionの値を 0xFFFFFFFF から 0x0002a300(48時間)とするのが推奨されています。
以上、今回トホホ経験値を積んだ管理者のたわごとでした…
あれ?MaxNegPhaseCorrectionとかってデフォルトで無効でしたっけ?まぁうちだとxntpなunixサーバー立ち上げて自宅の機器はそこに向けてるので影響は皆無でしたが
ほとんどの使ってる人は直接見てるだろうしなぁ
デフォルトで有効になってます。times.windows.comがズレたら…怖いですね
そういえばMacのデフォルト、 time.asia.apple.com が2時間ぐらいずれた事件もありましたね。そのときは、 jp.pool.ntp.org にかえましたけど。
# 未だにfukuoka-uとか候補に出してくるのはどこのディストロだ
MaxPosPhaseCorrection・MaxNegPhaseCorrectionが48時間になってるのってWindows2008からなんですね
Windows7は設定&未設定のどっちに振られたんだろう
手元のWindows7で、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Configを見るとMaxNegPhaseCorrection:0xd2f0(54000)MaxPosPhaseCorrection:0xd2f0(54000)となってますね。変えた覚えはないので、多分これがデフォルト値だと思います。
Windows7(ドメイン未参加)でレジストリを確認してみました。こちらは 0x0000d2f0(540000)となっており、15時間しか許していないようですね。確認していませんが、2008R2もそうなっているかと思われます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
問題ない (スコア:0)
こんなに大きくずれていたら、普通は無視されるから平気でしょ?
Re:問題ある(デフォルトでは) (スコア:5, 参考になる)
Windows Server(2003 SP2)のADで影響がありました。
特定のDCのみ時刻が大幅にずれ、そのDCでKerberos認証が失敗してくれました。。。
※イベントログのディレクトリ サービス でNTDS Replication のエラー(イベントID:2042)が頻発します。
修正方法は
・時刻がズレたと思われるDCを確認(イベントログの日付がおかしくなるはず)
・他のDCでrepadmin ツールを使って該当DCの確認、DC情報の消去を行う
・正常なDCからrepadmin ツールで複製を実施
・念のためFile Replication Service を立ち上げ直して、DC間で同期が取れているか確認する
・(可能であれば)再起動を行い、問題がないことを確認する
で何とか回復できました。
で、問題は時刻が大幅にズレることです。
どうやらWindows系ではレジストリを変更しない限り、デフォルトでどこまでも変更(!)するようです。。。
時刻が大きく変更されないように Windows タイム サービスを構成する方法
http://support.microsoft.com/kb/884776/ja [microsoft.com]
によると、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
の
MaxPosPhaseCorrection
MaxNegPhaseCorrection
の値を 0xFFFFFFFF から 0x0002a300(48時間)とするのが推奨されています。
以上、今回トホホ経験値を積んだ管理者のたわごとでした…
Re:問題ある(デフォルトでは) (スコア:2)
Re:問題ある(デフォルトでは) (スコア:1)
あれ?MaxNegPhaseCorrectionとかってデフォルトで無効でしたっけ?
まぁうちだとxntpなunixサーバー立ち上げて自宅の機器は
そこに向けてるので影響は皆無でしたが
ほとんどの使ってる人は直接見てるだろうしなぁ
Re: (スコア:0)
デフォルトで有効になってます。
times.windows.comがズレたら…怖いですね
Re: (スコア:0)
Re: (スコア:0)
そういえばMacのデフォルト、 time.asia.apple.com が2時間ぐらいずれた事件もありましたね。
そのときは、 jp.pool.ntp.org にかえましたけど。
# 未だにfukuoka-uとか候補に出してくるのはどこのディストロだ
Re:問題ある(デフォルトでは) (スコア:1)
MaxPosPhaseCorrection・MaxNegPhaseCorrectionが48時間になってるのって
Windows2008からなんですね
Windows7は設定&未設定のどっちに振られたんだろう
Re:問題ある(デフォルトでは) (スコア:2)
手元のWindows7で、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Configを見ると
MaxNegPhaseCorrection:0xd2f0(54000)
MaxPosPhaseCorrection:0xd2f0(54000)
となってますね。変えた覚えはないので、多分これがデフォルト値だと思います。
Re: (スコア:0)
Windows7(ドメイン未参加)でレジストリを確認してみました。
こちらは 0x0000d2f0(540000)となっており、15時間しか許していないようですね。
確認していませんが、2008R2もそうなっているかと思われます。
Re: (スコア:0)
そんなログがイベントビュアーに残ってました。
ADだとクライアントPCがサーバーの時間と同期してくれるという便利な機能があるので
ファイルの更新履歴は変になるし、gmailの認証日付がおかしいとか言われるし、PCの日付見てるアプリは動きがおかしいし、酷い目にあいました。