Windows Server и AD - отключение синхронизации времени при входе в систему

360
Remi Serriere

У меня есть домен MS AD с некоторыми серверами приложений под управлением Windows Server 2012 R2. К приложению предъявляются особые требования: сдвиг времени между базой данных и серверами приложений должен составлять менее 5 секунд. Если разница во времени составляет 2 секунды или более, приложение установит время машины вручную. Если есть более 5 или 10 секунд (не помню), приложение просто не загружается.

Я пытался полагаться на механизмы синхронизации времени Active Directory, как обычно, но здесь это не работает. Это должно быть более "точным".

Итак, мой вопрос ... зная риски, связанные с отсутствием синхронизации времени между контроллерами домена и сервером приложений, возможно ли отключить синхронизацию времени Windows при входе в домен Active Directory?

0
Требование разницы во времени ниже 5 секунд на самом деле является довольно распространенным требованием для распределенных систем ... Но я удивлен, что синхронизация времени AD не обеспечивает этого - не использует ли он NTPv4, который должен быть в состоянии обеспечить точность до секунды? Синхронизируются ли оба ваших сервера с одним контроллером домена? Все ваши DC синхронизированы? grawity 5 лет назад 0
Как правило, все системы должны быть синхронизированы <1 сек, при условии, что серверы времени установлены правильно. Проверьте это https://support.microsoft.com/en-us/help/816042/how-to-configure-an-authoritative-time-server-in-windows-server Также https://docs.microsoft.com / EN-US / окна-сервер / сеть / окно время-сервис / как-то-окна-тайм-сервис-работ Jeff F. 5 лет назад 0
Синхронизация времени в домене является точной. То, что у вас есть, является проблемой в другом месте. Я подозреваю, что вы используете виртуальные машины, и у вас неверные настройки часов в настройках виртуальной машины, что приводит к тому, что хост-система мешает времени гостевой системы. Убедитесь, что хост-система также синхронизирована с общим источником времени и / или поиграйте с настройками часов хоста / гостя. Appleoddity 5 лет назад 0
Дело в том ... Приложение само использует функцию SQL NOW () для получения даты и времени сервера базы данных. Если между временем сервера приложений и базой данных есть разница в 2 секунды или более, то приложение вызывает изменение времени. Да, мы используем виртуальные машины, работающие на Azure. AD обеспечивает синхронизацию времени, но время, возвращаемое сервером SQL, может не совпадать со временем сервера AD, даже если SQL работает в домене. Вот почему я хочу отключить синхронизацию времени при входе в систему ... У нас будет сдвиг времени, но он все равно должен быть меньше 5 минут. Remi Serriere 5 лет назад 0

1 ответ на вопрос

0
Daisy Zhou

Windows AD нужны временные метки для конфликтов репликации AD и для аутентификации Kerberos. Kerberos использует их для защиты от атак воспроизведения, когда пакет аутентификации перехватывается в сети, а затем повторно отправляется для аутентификации от имени исходного отправителя.

Если разница между местным временем и отметкой времени слишком велика, запрос на проверку подлинности отклоняется и проверка подлинности Kerberos не выполняется. Слишком высокое значение времени повышает риск повторных атак. Значение по умолчанию составляет пять минут.

Без синхронизации между контроллерами домена и серверами было бы невозможно завершить проверку подлинности. Поэтому отключение синхронизации времени Windows при входе в домен Active Directory может привести к значительным проблемам при проверке подлинности.

Вы не ошибаетесь, но AD требует, чтобы часы были в пределах _5 минут_ на этот вопрос (https://superuser.com/questions/395966/how-inaccurate-must-the-clocks-time-be-for-ntlm- требования-к-быть отказано, в связи к-й). Запрашивающая сторона предполагает, что часы находятся в пределах _5 секунд_. Ваша забота не та опасность, с которой они столкнутся. Slartibartfast 5 лет назад 0

Похожие вопросы