Pregunta Servidor de Windows y AD: deshabilita la sincronización de tiempo en el inicio de sesión


Tengo un dominio de MS AD con algunos servidores de aplicaciones que ejecutan Windows Server 2012 R2. La aplicación tiene requisitos especiales: el cambio de hora entre su base de datos y los servidores de la aplicación debe ser inferior a 5 segundos. Si hay una diferencia de tiempo de 2 segundos o más, la aplicación configurará la hora de la máquina manualmente. Si hay más de 5 o 10 segundos (no recuerdo), la aplicación simplemente no se carga.

Traté de confiar en los mecanismos de sincronización de tiempo de Active Directory como normalmente lo hago, pero no funciona aquí. Necesita ser más "preciso".

Así que mi pregunta es ... conociendo los riesgos de tener una des-sincronización de tiempo entre los controladores de dominio y el servidor de aplicaciones, ¿es posible desactivar la sincronización de tiempo de Windows en el inicio de sesión en un dominio de Active Directory?


0


origen


Exigir una diferencia de tiempo inferior a 5 segundos es en realidad un requisito bastante común, en lo que respecta a los sistemas distribuidos ... Pero me sorprende que la sincronización de tiempo de AD no proporcione eso, ¿no usa NTPv4, que debería ser capaz de proporcionar precisión de segundo segundo? ¿Se sincronizan ambos servidores con el mismo controlador de dominio? ¿Están todas tus CC sincronizadas? - grawity
Por lo general, todos los sistemas deben sincronizarse <1 seg suponiendo que los servidores de tiempo estén configurados correctamente. Mira esto support.microsoft.com/en-us/help/816042/... también docs.microsoft.com/en-us/windows-server/networking/... - Jeff F.
La sincronización de tiempo en un dominio es precisa. Lo que tienes es un problema en otro lado. Sospecho que está ejecutando máquinas virtuales y tiene las configuraciones de reloj incorrectas en la configuración de la VM que hacen que el sistema host interfiera con la hora del sistema invitado. Asegúrese de que el sistema host también esté sincronizado con una fuente de tiempo común y / o juegue con la configuración de host / reloj de invitado. - Appleoddity
El asunto es ... La aplicación en sí utiliza la función SQL NOW () para obtener la fecha y hora del servidor de la base de datos. Si hay una diferencia de 2 segundos o más entre la hora del servidor de aplicaciones y la hora de la base de datos, entonces la aplicación fuerza un cambio de hora. Sí, estamos utilizando máquinas virtuales que se ejecutan en Azure. AD proporciona sincronización de tiempo, pero el tiempo devuelto por el servidor SQL puede no ser exactamente el mismo que el tiempo del servidor AD, incluso si el SQL se está ejecutando en el dominio. Es por eso que quiero desactivar la sincronización de tiempo en el inicio de sesión ... Tendremos cambio de hora, pero debe ser de menos de 5 minutos de todos modos. - Remi Serriere


Respuestas:


Windows AD necesita marcas de tiempo para conflictos de replicación de AD y para la autenticación de Kerberos. Kerberos los usa para proteger contra ataques de reproducción, donde un paquete de autenticación se intercepta en la red y luego se reenvía para autenticarse en nombre del remitente original.

Si la diferencia entre la hora local y la marca de tiempo es demasiado grande, se rechaza la solicitud de autenticación y falla la autenticación de Kerberos. Establecer el sesgo de tiempo demasiado alto crea un mayor riesgo de ataques de repetición. La configuración predeterminada es de cinco minutos.

Sin el tiempo sincronizado entre los controladores de dominio y los servidores, no sería posible completar la autenticación. Por lo tanto, deshabilitar la sincronización horaria de Windows en el inicio de sesión en un dominio de Active Directory puede causar problemas significativos para la autenticación.


0



No estás equivocado, pero AD requiere que el reloj esté dentro 5 minutos por esta pregunta (superuser.com/questions/395966/...) El solicitante tiene la intención de que el reloj esté dentro 5 segundos. Su preocupación no es un riesgo que enfrentarán. - Slartibartfast