Azure で Active Directory Windows Virtual Machines の時間メカニズムを構成する

  • [アーティクル]

適用対象: ✔️ Windows Virtual Machines

このガイドを使用して、Active Directory ドメインに属する Azure Windows Virtual Machines の時刻同期をセットアップする方法を学習します。

Active Directory Domain Services の時刻同期階層

Active Directory の時刻同期を管理するには、必ず PDC が外部タイム ソースまたは NTP サーバーにアクセスできるようにします。

その後、他のすべてのドメイン コントローラーでは PDC に対して時刻を同期し、他のすべてのメンバーにより、そのメンバーの認証要求を満たすドメイン コントローラーから時刻が取得されます。

Azure でホストされている仮想マシンで Active Directory ドメインが実行されている場合は、これらの手順に従って時刻同期を適切に設定します。

Note

このガイドでは、[グループ ポリシーの管理] コンソールを使用して構成を実行することに重点を置いています。 コマンド プロンプトや PowerShell を使用するか、あるいはレジストリを手動で変更して、同じ結果を得ることができますが、これらの方法はこの記事では説明しません。

GPO を使用して PDC を外部 NTP ソースと同期できるようにする

PDC の現在のタイム ソースを確認するには、管理者特権のコマンド プロンプトから w32tm /query /source を実行し、出力をメモして後で比較します。

  1. [スタート] から、gpmc.msc を実行します。
  2. GPO を作成するフォレストとドメインを参照します。
  3. コンテナー "グループ ポリシー オブジェクト" に新しい GPO ("PDC 時刻同期" など) を作成します。
  4. 新しく作成した GPO を右クリックして編集します。
  5. [Computer Configuration] (コンピューターの構成) ->[Administrative Templates] (管理用テンプレート) ->[システム] ->[Windows Time Service] (Windows タイム サービス)[Global Configuration Settings] (グローバル構成設定) ポリシーに移動します。
  6. それを [有効済み] に設定し、AnnounceFlags パラメーターを 5 に構成します。
  7. [コンピューターの構成] ->[管理用テンプレート] ->[システム] ->[Windows タイム サービス] ->[タイム プロバイダー] の順に移動します。
  8. [Windows NTP クライアントの構成] ポリシーをダブルクリックして [有効] に設定し、タイム サーバーの IP アドレスまたは FQDN の後に ,0x9 を付けたもの (たとえば、131.107.13.100,0x9) を指すようにパラメーター NTPServer を構成し、[種類]NTP に構成します。 その他すべてのパラメーターについては、企業のニーズに応じて既定値を使用するか、カスタム パラメーターを使用できます。
  9. [次の設定] ボタンをクリックし、[Windows NTP クライアントの有効化] ポリシーを [有効] に設定し、[OK] をクリックします
  10. 新しく作成された GPO の [スコープ] タブで、[セキュリティ フィルター処理] に移動し、[認証済みユーザー] グループを選び -> [削除] ボタン -> [OK] -> [OK] の順にクリックします
  11. PDC ロールを保持しているドメイン コントローラーを動的に取得する WMI フィルターを作成します。
    • [グループ ポリシーの管理] コンソールで [WMI フィルター] に移動し、右クリックして [新規作成] を選びます。
    • [新しい WMI フィルター] ウィンドウで新しいフィルターに名前を付け (たとえば "Get PDC Emulator") -> [説明] フィールドに入力し (省略可能) -> [追加] ボタンをクリックします。
    • [WMI クエリ] ウィンドウで [名前空間] をそのままにして、[クエリ] テキスト ボックスに Select * from Win32_ComputerSystem where DomainRole = 5 という文字列を貼り付け、[OK] ボタンをクリックします。
    • [新しい WMI フィルター] ウィンドウに戻って [保存] ボタンをクリックします。
  12. 新しく作成した GPO の [スコープ] タブで [WMI フィルター処理] ドロップダウン メニューを開き、以前に作成した WMI フィルターを選んで [OK] をクリックします。
  13. 新しく作成した GPO の [スコープ] タブで [セキュリティ フィルター処理] に移動し、[追加] ボタンをクリックして [ドメイン コントローラー] グループを参照して [OK] ボタンをクリックします。
  14. GPO をドメイン コントローラー組織単位にリンクします。

Note

これらの変更がシステムに反映されるまでに最大 15 分かかることがあります。

管理者特権のコマンド プロンプトから w32tm /query /source を再実行し、この出力を、構成の開始時にメモしたものと比較します。 これで、選択した NTP サーバーに設定されます。

ヒント

PDC で NTP ソースを変更するプロセスを高速化する場合は、管理者特権のコマンド プロンプトから gpupdate /force を実行し、その後に w32tm /resync /nowait を実行してから、w32tm /query /source を再実行します。そうすると、出力が上記の GPO で使用した NTP サーバーとなるはずです。

メンバーの GPO

通常、Active Directory Domain Services の NTP は、この記事の冒頭で説明した AD DS 時間階層に従います。それ以上の構成は必要ありません。

しかし、Azure でホストされている仮想マシンには、クラウド プラットフォームによって直接適用される特定のセキュリティ設定があります。

ドメイン コントローラー以外の他のすべてのドメイン メンバーの場合は、レジストリを変更し、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider の下の Enabled キーで値を 0 に設定する必要があります

重要

レジストリの変更の方法を誤ると、深刻な問題が発生することがあるので注意してください。 したがって、これらの手順に慎重に従い、いくつかのテスト仮想マシンでテストし、期待される結果が得られるかどうかを確認してください。 さらに安全を考慮して、レジストリのバックアップをとってから変更を行ってください。 バックアップがあれば、問題が生じた場合でもレジストリを復元できます。 Windows レジストリをバックアップおよび復元する方法については、次の手順に従ってください。

レジストリをバックアップする

  1. [スタート] から、「regedit.exe」と入力して Enter キーを押します。 管理者パスワードまたは確認入力を求められた場合は、パスワードを入力するか、確認入力を行います。
  2. [レジストリ エディター] ウィンドウで、バックアップするレジストリ キーまたはサブキーを見つけてクリックします。
  3. [ファイル] メニューから、[エクスポート] を選択します。
  4. [レジストリ ファイルのエクスポート] ダイアログ ボックスで、バックアップ コピーを保存する場所を選択し、[ファイル名] フィールドにバックアップ ファイルの名前を入力してから、[保存] をクリックします。

レジストリのバックアップを復元する

  1. [スタート] から、「regedit.exe」と入力して Enter キーを押します。 管理者パスワードまたは確認入力を求められた場合は、パスワードを入力するか、確認入力を行います。
  2. [レジストリ エディター] ウィンドウの [ファイル] メニューから [インポート] を選択します。
  3. [レジストリ ファイルのインポート] ダイアログ ボックスで、バックアップ コピーを保存した場所を選び、バックアップ ファイルを選択して [開く] をクリックします。

GPO で VMICTimeProvider を無効にする

ドメイン メンバーが対応する Active Directory サイトのドメイン コントローラーと時刻を同期できるように、次のグループ ポリシー オブジェクトを構成します。

現在のタイム ソースを確認するには、任意のドメイン メンバーにログインし、管理者特権のコマンド プロンプトから w32tm /query /source を実行し、後で比較するために出力をメモしておきます。

  1. ドメイン コントローラーから [スタート] に移動し、gpmc.msc を実行します。
  2. GPO を作成するフォレストとドメインを参照します。
  3. コンテナー "グループ ポリシー オブジェクト" に新しい GPO ("クライアントの時刻同期" など) を作成します。
  4. 新しく作成した GPO を右クリックして編集します。
  5. [コンピューターの構成] ->[基本設定] ->[Windows の設定] の順に移動し、>[レジストリ] を右クリックし、>[新規] ->[レジストリ項目] に移動します
  6. [新しいレジストリのプロパティ] ウィンドウで、次の値を設定します。
    • アクション:更新
    • ハイブ:HKEY_LOCAL_MACHINE
    • キーのパス: SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider を参照します
    • [値の名前] で、「Enabled」と入力します
    • 値の型: REG_DWORD
    • 値のデータ: 「0」と入力します
  7. その他のすべてのパラメーターについては、既定値を使用し、[OK] をクリックします
  8. GPO を、メンバーが配置されている組織単位にリンクします。
  9. 待機するか、ドメイン メンバーに対してグループ ポリシーの更新を手動で強制します。

ドメイン メンバーに戻り、管理者特権のコマンド プロンプトから w32tm /query /source を再実行し、この出力を、構成の開始時にメモしたものと比較します。 これで、メンバーの認証要求を満たすドメイン コントローラーに設定されます。

次のステップ

以下は、時刻同期に関する詳細のリンクです。