Windows Server e AD - Desativar sincronização de horário no logon

0

Eu tenho um domínio do MS AD com alguns servidores de aplicativos todos executando o Windows Server 2012 R2. O aplicativo tem requisitos especiais: o horário entre o banco de dados e os servidores de aplicativos deve ser inferior a 5 segundos. Se houver uma diferença horária de 2 segundos ou mais, o aplicativo definirá a hora da máquina manualmente. Se houver mais de 5 ou 10 segundos (não lembro), o aplicativo simplesmente não carrega.

Tentei confiar nos mecanismos de sincronização de horário do Active Directory, como normalmente faço, mas não funciona aqui. Precisa ser mais "preciso".

Portanto, minha pergunta é ... conhecendo os riscos de ter uma sincronização de tempo entre controladores de domínio e servidor de aplicativos, é possível desativar a sincronização de horário do Windows no logon em um domínio do Active Directory?

windows active-directory ntp Remi Serriere
fonte
Exigir uma diferença de tempo abaixo de 5 segundos é realmente um requisito bastante comum, no que diz respeito aos sistemas distribuídos ... Mas estou surpreso que a sincronização de horário do AD não forneça isso - ele não usa o NTPv4, que deve ser capaz de fornecer precisão de segundos? Os dois servidores são sincronizados com o mesmo controlador de domínio? Todos os seus CCs estão sincronizados?
grawity
Normalmente, todos os sistemas devem ser sincronizados <1s, assumindo que os servidores de horário estejam configurados corretamente. Verificar isso support.microsoft.com/en-us/help/816042/... Também docs.microsoft.com/en-us/windows-server/networking/...
Jeff F.
A sincronização da hora em um domínio é precisa. O que você tem é um problema em outro lugar. Suspeito que você esteja executando máquinas virtuais e que suas configurações de relógio estejam incorretas nas configurações da VM, o que faz com que o sistema host interfira na hora do sistema convidado. Verifique se o sistema host também está sincronizado com uma fonte de horário comum e / ou reproduz com as configurações do relógio host / convidado.
Appleoddity 31/07/1918
A questão é ... O próprio aplicativo usa a função SQL NOW () para obter a data e a hora do servidor de banco de dados. Se houver uma diferença de 2 segundos ou mais entre a hora do servidor de aplicativos e a hora do banco de dados, o aplicativo força uma alteração de hora. Sim, estamos usando máquinas virtuais em execução no Azure. O AD fornece sincronização de horário, mas o horário retornado pelo servidor SQL pode não ser exatamente o mesmo que o horário do servidor AD, mesmo se o SQL estiver em execução no domínio. É por isso que desejo desabilitar a sincronização de horário no login ... Teremos mudança de horário, mas deve demorar menos de 5 minutos.
Remi Serriere

Respostas:

0

O Windows AD precisa de carimbos de data / hora para conflitos de replicação do AD e autenticação Kerberos. O Kerberos os usa para se proteger contra ataques de repetição - em que um pacote de autenticação é interceptado na rede e reenviado posteriormente para autenticação no nome do remetente original.

Se a diferença entre a hora local e o carimbo de data / hora for muito grande, a solicitação de autenticação será rejeitada e a autenticação Kerberos falhará. Definir o tempo muito alto cria um risco maior de ataques de repetição. A configuração padrão é cinco minutos.

Sem o momento sincronizado entre controladores de domínio e servidores, não seria possível concluir a autenticação. Portanto, desabilitar a sincronização da hora do Windows no logon em um domínio do Active Directory pode causar problemas significativos para autenticação.

Daisy Zhou
fonte
Você não está errado, mas o AD exige que o relógio esteja dentro de 5 minutos para esta pergunta ( superuser.com/questions/395966/… ). O solicitante pretende que o relógio esteja dentro de 5 segundos . Sua preocupação não é um risco que eles enfrentarão.
Slartibartfast