適用対象: ✔️ Windows Virtual Machines
このガイドを使用して、Active Directory ドメインに属する Azure Windows Virtual Machines の時刻同期をセットアップする方法を学習します。
Active Directory Domain Services の時刻同期階層
Active Directory の時刻同期は、 PDC が外部のタイム ソースまたは NTP サーバーにアクセスできるようにすることでのみ管理する必要があります。
その後、他のすべてのドメイン コントローラーでは PDC に対して時刻を同期し、他のすべてのメンバーにより、そのメンバーの認証要求を満たすドメイン コントローラーから時刻が取得されます。
Azure でホストされている仮想マシンで Active Directory ドメインが実行されている場合は、これらの手順に従って時刻同期を適切に設定します。
注
このガイドでは、 グループ ポリシー管理 コンソールを使用して構成を実行することに重点を置いています。 コマンド プロンプトや PowerShell を使用するか、あるいはレジストリを手動で変更して、同じ結果を得ることができますが、これらの方法はこの記事では説明しません。
GPO を使用して PDC を外部 NTP ソースと同期できるようにする
PDC の現在のタイム ソースを確認するには、管理者特権のコマンド プロンプトから w32tm /query /source を実行し、後で比較するために出力をメモします。
- 開始から gpmc.msc を実行します。
- GPO を作成するフォレストとドメインを参照します。
- コンテナー "グループ ポリシー オブジェクト" に新しい GPO ("PDC 時刻同期" など) を作成します。
- 新しく作成した GPO を右クリックして編集します。
- コンピューターの構成 -> -> ->のグローバル構成設定ポリシーに移動します。
- これを Enabled に設定し、AnnounceFlags パラメーターを 5 に構成します。
- コンピューターの構成 ->Administrative Templates ->System ->Windows タイム サービス ->Time プロバイダーに移動します。
- Windows NTP クライアントの構成ポリシーをダブルクリックし、[有効] に設定し、タイム サーバーの IP アドレスまたは FQDN をポイントするようにパラメーター NTPServer を構成し、その後に
,0x9
を設定します (例:131.107.13.100,0x9
し、種類を NTP に構成します)。 その他すべてのパラメーターについては、企業のニーズに応じて既定値を使用するか、カスタム パラメーターを使用できます。 - [次の設定] ボタンをクリックし、[Windows NTP クライアントの有効化] ポリシーを [有効] に設定し、[OK] をクリックします。
- 新しく作成された GPO の [スコープ ] タブで、[ セキュリティ フィルター] に移動し、[ 認証済みユーザー ] グループを強調表示します。>[削除 ] ボタンをクリックします ->OK ->OK
- PDC ロールを保持しているドメイン コントローラーを動的に取得する WMI フィルターを作成します。
- [グループ ポリシーの管理] コンソールで [WMI フィルター] に移動し、右クリックして [新規作成] を選びます。
- [新しい WMI フィルター] ウィンドウで新しいフィルターに名前を付け (たとえば "Get PDC Emulator") - [説明] フィールドに入力し (省略可能) - [追加] ボタンをクリックします。>>
- [WMI クエリ] ウィンドウで、名前空間をそのままにし、[クエリ] テキスト ボックスに次の文字列を
Select * from Win32_ComputerSystem where DomainRole = 5
貼り付け、[OK] ボタンをクリックします。 - [新しい WMI フィルター] ウィンドウに戻って [保存] ボタンをクリックします。
- 新しく作成した GPO の [スコープ ] タブで、[ WMI フィルター] ドロップダウン メニューに移動し、以前に作成した WMI フィルターを選択し、[OK] をクリック します。
- 新しく作成された GPO の [スコープ ] タブで、[ セキュリティ フィルター] に移動し、[ 追加 ] ボタンをクリックし、[ ドメイン コントローラー ] グループを参照し、[ OK ] ボタンをクリックします。
- GPO を ドメイン コントローラー 組織単位にリンクします。
注
これらの変更がシステムに反映されるまでに最大 15 分かかることがあります。
管理者特権のコマンド プロンプトから w32tm /query /source を再実行し、構成の開始時にメモした出力と比較します。 これで、選択した NTP サーバーに設定されます。
ヒント
PDC で NTP ソースを変更するプロセスを高速化する場合は、管理者特権のコマンド プロンプトから gpupdate /force を実行し、その後に w32tm /resync /nowait を実行してから、w32tm /query /source を再実行します。出力は、上記の GPO で使用した NTP サーバーである必要があります。
注
変更が適用された後も、選択したNTPサーバーに出力ができない場合は、PDCとDCのHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider の Enabled キーで値を0に設定する必要があります。
メンバーの GPO
通常、Active Directory Domain Services の NTP は、この記事の冒頭で説明した AD DS 時間階層に従います。それ以上の構成は必要ありません。
しかし、Azure でホストされている仮想マシンには、クラウド プラットフォームによって直接適用される特定のセキュリティ設定があります。
ドメイン コントローラー以外の他のすべてのドメイン メンバーについては、レジストリを変更し、キーの [有効] で値を 0 に設定する必要 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
重要
レジストリの変更の方法を誤ると、深刻な問題が発生することがあるので注意してください。 したがって、これらの手順に慎重に従い、いくつかのテスト仮想マシンでテストし、期待される結果が得られるかどうかを確認してください。 さらに安全を考慮して、レジストリのバックアップをとってから変更を行ってください。 バックアップがあれば、問題が生じた場合でもレジストリを復元できます。 Windows レジストリをバックアップおよび復元する方法については、次の手順に従ってください。
レジストリをバックアップする
- [スタート] で「regedit.exe」と入力し、
Enter
キーを押します。 管理者パスワードまたは確認入力を求められた場合は、パスワードを入力するか、確認入力を行います。 - [レジストリ エディター] ウィンドウで、バックアップするレジストリ キーまたはサブキーを見つけてクリックします。
- [ ファイル ] メニューから [エクスポート] を選択 します。
- [ レジストリ ファイルのエクスポート ] ダイアログ ボックスで、バックアップ コピーを保存する場所を選択し、[ファイル名] フィールドにバックアップ ファイルの 名前 を入力して、[ 保存] をクリックします。
レジストリのバックアップを復元する
- [スタート] で「regedit.exe」と入力し、
Enter
キーを押します。 管理者パスワードまたは確認入力を求められた場合は、パスワードを入力するか、確認入力を行います。 - [レジストリ エディター] ウィンドウで、[ファイル] メニューから [インポート] を選択します。
- [ レジストリ ファイルのインポート ] ダイアログ ボックスで、バックアップ コピーを保存した場所を選択し、バックアップ ファイルを選択して、[ 開く] をクリックします。
GPO で VMICTimeProvider を無効にする
ドメイン メンバーが対応する Active Directory サイトのドメイン コントローラーと時刻を同期できるように、次のグループ ポリシー オブジェクトを構成します。
現在のタイム ソースを確認するには、任意のドメイン メンバーにログインし、管理者特権のコマンド プロンプトから w32tm /query /source を実行し、後で比較するために出力を書き留めます。
- ドメイン コントローラーから、gpmc.msc の実行の開始に移動します。
- GPO を作成するフォレストとドメインを参照します。
- コンテナー "グループ ポリシー オブジェクト" に新しい GPO ("クライアントの時刻同期" など) を作成します。
- 新しく作成した GPO を右クリックして編集します。
- [コンピューターの構成] ->[設定] ->[Windows の設定] -> [レジストリ] を右クリックし ->新規 ->レジストリ項目を選択します。
- [ 新しいレジストリのプロパティ] ウィンドウで、次の値を設定します。
- アクション:更新
- ハイブ:HKEY_LOCAL_MACHINE
- キー パス: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider に移動します
- 値名 に 有効 と入力する
- 値の型: REG_DWORD
- 値データの場合: 型 0
- その他すべてのパラメーターで既定値を使用し、[OK] をクリックします。
- GPO を、メンバーが配置されている組織単位にリンクします。
- ドメイン メンバーに 対してグループ ポリシーの更新 を待機または手動で強制します。
ドメイン メンバーに戻り、管理者特権のコマンド プロンプトから w32tm /query /source を再実行し、構成の開始時にメモした出力と比較します。 これで、メンバーの認証要求を満たすドメイン コントローラーに設定されます。
次のステップ
以下は、時刻同期に関する詳細のリンクです。