Windows Time サービス

ここでは、以下の情報を示します。

  • Windows Time サービスの利点

  • Windows Time サービスはインターネット上のサイトとどのように通信するか

  • Windows Time サービスを制御してインターネットとの間で行き来する情報の流れを制限する方法

  • 構成を完了した Windows Time サービスの監視とトラブルシューティング

トピック

Windows Time サービスの利点と目的
概要 : 管理を強化している環境内での Windows Time サービスの使用
Windows Time サービスはインターネット上のサイトとどのように通信するか
Windows Time サービスを制御してインターネットとの間で行き来する情報の流れを制限する
Windows Time サービスの構成設定値
手順 : Windows Time サービスを構成する
関連するドキュメントとリンク

Windows Time サービスの利点と目的

Microsoft Windows 2000 Service Pack 4 (SP4) のコンポーネントの多くは、時刻が正確で、同期がとれていることを前提に動作します。たとえば、すべてのコンピュータ上でクロックが正しい時刻に同期されていなければ、ログオン要求が Windows 2000 の認証を受けるときに、それらの要求が正当なものであっても侵入の試行とみなされ、結果としてユーザー アクセスが拒否される可能性があります。

エンタープライズ内の異なるコンピュータ上で発生するイベントを互いに関連付けるには、時刻の同期がとれていなければなりません。すべてのコンピュータのクロックが同期されていれば、複数のコンピュータ上で順に発生するイベントを正しく分析できます。Windows Time サービスは、ローカル コンピュータをネットワーク上のほかのコンピュータと自動的に同期して、組織内のセキュリティとパフォーマンスを向上させます。

概要 : 管理を強化している環境内での Windows Time サービスの使用

コンピュータには、クロックが内蔵されています。このクロックが正確な時刻を示し続けていれば、日付や時刻を必要条件とする機能を正しく実行できます。複数のコンピュータ間でのスケジューリングを目的とする場合は、単に各コンピュータのクロックが正しい日時に設定されているだけでなく、ネットワーク内のすべてのコンピュータのクロックが同期されていなければなりません。Windows Time サービスのような手段がない場合、複数のクロックを同期するには手動での設定作業が要求されることになります。

Windows Time サービスによる時刻の同期では、コンピュータのクロックがほかのコンピュータのクロックに一致するように自動的に設定されます。いずれか 1 台のコンピュータで高い時刻精度を維持しておけば、そのコンピュータのクロックに合わせて、ほかのコンピュータのクロックを自動的に設定することができます。これにより、すべてのコンピュータの時刻を正しく設定できます。

Windows Time サービスは、Windows 2000 が稼動しているすべてのコンピュータに既定でインストールされています。Windows Time サービスでは、タイム ゾーンに依存しないグリニッジ標準時 (UTC) を使用します。このシステム時刻に対して、各コンピュータのレジストリに格納されているタイム ゾーン情報を加えた結果が、ユーザーに時刻として表示されます。

Windows Time サービスは、ドメインに参加しているコンピュータ上で自動的に起動します。ドメインに参加していないコンピュータに関しては、Windows Time サービスを手動で起動できます。ドメイン内では、システムの起動中に Windows Time サービスがオンになった時点で時刻の同期が行われます。既定の構成では、クライアントに対して認証と時刻の同期を実行できるドメイン コントローラ がネット ログオン サービスによって検索されます。ドメイン コントローラが見つかると、クライアントが時刻の要求を送信し、ドメイン コントローラから応答があるまで待機します。この通信では、SNTP (Simple Network Time Protocol) パケットが交換され、2 つのコンピュータの間の時差と往復遅延が算出されます。

Windows Time サービスはインターネット上のサイトとどのように通信するか

Windows Time サービスは、ローカル コンピュータの時刻をネットワーク上のほかのコンピュータと自動的に同期します。この同期に使用する時刻ソースは、コンピュータが Active Directory ディレクトリ サービス内のドメインに参加しているか、ワークグループに参加しているかによって異なります。

Windows 2000 が稼動しているコンピュータがドメインのメンバになっている場合

このシナリオでは、ドメイン コントローラ上の Windows Time サービスに基づいて、ローカル コンピュータ上の Windows Time サービスが自動的に構成されます。

ドメイン コントローラ上の Windows Time サービスは、信頼のおける時刻ソースか、信頼性のない時刻ソースのいずれかとして構成できます。クライアント上の Windows Time サービスは、信頼のおける時刻ソースとして示されているサーバーに合わせて、クライアントを同期します。Windows Time サービスでは、同じドメイン内の任意のドメイン コントローラを信頼のおける時刻ソースとして構成することができ、そのソースに対して定期的に時刻が自動的に同期されます。これらの設定は、実際のニーズに応じて、変更または上書きすることができます。

Windows 2000 が稼動しているコンピュータがドメインのメンバになっていない場合

ドメインのメンバになっていない Windows 2000 コンピュータの場合は、Windows Time サービスを手動で起動する必要があります。Windows 2000 コンピュータでは、SNTP (Simple Network Time Protocol) を使用します。

インターネットとの間で送受信される Windows Time サービス データの内容と情報交換の方法は、以下のとおりです。

  • 送受信される情報 Windows Time サービスは、SNTP (Simple Network Time Protocol) パケットの形式で情報を送信します。Windows Time サービスと SNTP パケットの詳細については、後の「関連するドキュメントとリンク」に示す資料を参照してください。

  • 既定の設定 Active Directory ドメインのメンバになっているコンピュータは、既定でディレクトリ ドメインに同期されます。ドメイン コントローラは、親ドメイン コントローラに同期されます。既定では、ルートの親ドメイン コントローラは時刻ソースに同期されません。ルートの親ドメイン コントローラは、インターネット上の信頼のおける時刻ベースに同期するか、NTP (Network Time Protocol) インターフェイスまたは SNTP インターフェイスを提供するハードウェア タイム デバイスに同期するように設定できます。ルートの親ドメイン コントローラの時刻精度を手動で維持することもできます。

  • トリガとユーザー通知 Windows Time サービスは、コンピュータの起動時に開始されます。Windows Time サービスは、その後、指定されたネットワーク時刻ソースに継続的にクロックを同期します。ローカル コンピュータのシステム時刻に誤差がある場合は、自動的にクロックが調整されます。ユーザーに通知が送信されることはありません。

  • ログ サービスに関連する情報は、Windows システムのイベント ログに記録されます。Windows のイベント ログ エントリには、時刻の同期ソースの時刻とネットワーク アドレスが含まれます。さらに、Windows Time サービスに関連する警告情報とエラー情報も Windows システムのイベント ログに記録されます。

  • 情報の保存 時刻の同期によって生成される情報は、時刻の同期要求を処理し終えた時点ですべて失われるので、Windows Time サービスでは情報を保存しません。

  • 暗号化 ネットワーク内のドメイン ピアを対象とする時刻の同期では、暗号化を使用しません。

  • プロトコル Windows Time サービスでは、ネットワーク上のほかのコンピュータとの通信に SNTP を使用します。

  • ポート NTP および SNTP では、既定の設定で、タイム サーバー上の UDP (User Datagram Protocol) ポート 123 を使用します。このポートがインターネットに開放されていなければ、サーバーをインターネット上の SNTP サーバーに同期することはできません。

  • サービスの無効化 Windows Time サービスを無効化しても、アプリケーションやほかのサービスが直接影響を受けることはありませんが、コンピュータ間で時刻の誤差が大きくなると、時刻の同期に依存するアプリケーションやサービス (Kerberos V5 認証プロトコルなど) が停止または誤動作する可能性があります。ほとんどのコンピュータのハードウェア クロックは精度が十分ではないため、時間が経過するにつれて、ネットワーク上のコンピュータの間で時刻の誤差が大きくなっていくのが普通です。

Windows Time サービスを制御してインターネットとの間で行き来する情報の流れを制限する

同期の種類と NTP タイム サーバー情報は、Windows 2000 のレジストリを通じて管理および制御できます。Windows Time サービスの構成手順は、このホワイト ペーパーで後述するとおりです。同期の種類が Nt5DS に設定されている場合、Windows Time サービスは時刻ソースをネットワーク ドメイン コントローラに同期します。Windows Time サービスを特定の NTP タイム サーバーに同期させるには、同期の種類を NTP に設定します。同期の種類を NTP に設定するときは、NTP サーバーをドメイン ネーム システム (DNS) 名か IP アドレスで指定します。

Windows Time サービスの詳細については、Microsoft Web サイト上の「The Windows Time Service」(下記 URL) を参照してください。

http://www.microsoft.com/japan/technet/prodtechnol/windows2000pro/maintain/w2kmngd/16_2kwts.mspx

管理を強化しているネットワークでは、クライアント コンピュータのクロック設定をネットワーク上の NTP サーバーに同期するように設定すると、インターネットへのトラフィックを減らすことができ、単一の信頼のおける時刻ソースにクライアントを同期することが可能になります。この方法を採る場合は、ドメインに所属しているものと、所属していないものの両方を含め、Windows 2000 コンピュータに対し、レジストリを通じて時刻の同期を無効化できます。Windows Time サービスの構成手順は、このホワイト ペーパーで後述するとおりです。

Windows Time サービスはユーザーとアプリケーションにどのように影響するか

Windows のコンポーネントとサービスは、時刻の同期に依存しています。たとえば、Windows 2000 ドメイン上の Kerberos V5 認証プロトコルでは、時刻の同期のしきい値が既定で 5 分に設定されています。ドメイン上で時刻の誤差が 5 分を超えているコンピュータは、Kerberos プロトコルによる認証に失敗します。この時間値は変更可能なので、しきい値を短くしたり長くしたりすることもできます。Kerberos プロトコルによる認証に失敗したコンピュータは、ネットワークにログオンできず、Web サイト、ファイル共有、プリンタ、およびドメイン内のその他のリソースにアクセスできません。

ローカル クロックの誤差が検出されると、Windows Time サービスは、以下のように時刻を調整します。

  • サーバーから受信した現在時刻に対して、クライアントのローカル クロック時刻が遅れている場合は、ローカル クロック時刻をただちに変更します。

  • サーバー上の時刻に対して、クライアントのローカル クロック時刻が進んでおり、その誤差が 3 分を超えている場合は、ローカル クロック時刻をただちに変更します。

  • サーバー上の時刻に対して、クライアントのローカル クロック時刻が進んでおり、その誤差が 3 分未満の場合は、クロックを同期させるのに十分な時間が経過するまで、クロック周波数を 4 分の 1 または 2 分の 1 に下げます。

  • クライアントの進みが 15 秒未満の場合は、周波数を 2 分の 1 にします。それ以外の場合は、4 分の 1 にします。クロック周波数が下げられる時間の長さは、修正する誤差に依存します。

Windows Time サービスの構成設定値

Windows Time サービスのグローバル構成設定値を設定するには、Windows 2000 レジストリ内のエントリを変更します。Windows Time サービスおよびレジストリの詳細については、Microsoft Web サイト上の「W32Time サービスのレジストリ エントリ」(下記 URL) を参照してください。

http://support.microsoft.com/default.aspx?scid=kb;ja;223184&sd=tech

  • メモ Windows 2000 レジストリ内のエントリを変更するには、Administrators グループのメンバになっているか、または適切な権限を委任されている必要があります。ドメインに参加しているコンピュータに場合は、Domain Administrators グループのメンバにもレジストリの変更が許可されていることがあります。セキュリティ上のベスト プラクティスとして、レジストリを変更するときは [Run as] を使用することを検討してください。

  • レジストリ エディタを開くには、[ スタート ] メニューの [ ファイル名を指定して実行 ] をクリックし、「regedit」と入力します。

ここで示す Windows 2000 のコンピュータ レジストリ値は、次のレジストリ キーに含まれています。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

設定可能な値は、次の表に示すとおりです。

Windows 2000 コンピュータ上の Windows Time サービスのレジストリ設定値

エントリ名

データの種類

説明と値

ReliableTimeSource

REG_DWORD
省略可能

このコンピュータの時刻を信頼できるかどうかを示します。
0 = このコンピュータの時刻を信頼できないとみなします。これが既定値です。
1 = このコンピュータの時刻を信頼できるとみなします。この設定は、ドメイン コントローラの場合にのみ使用できます。

Period

REG_DWORD
または REG_SZ

Windows Time サービスによる同期処理の頻度を制御します。このエントリを使用する場合は、以下のいずれかの値を指定する必要があります。
65531、"DailySpecialSkew" = 同期に成功するまでは 45 分おきに実行。同期に成功した後は、1 日 1 回。
65532、"SpecialSkew" = 同期に成功するまでは 45 分おきに実行。同期に成功した後は、8 時間に 1 回 (1 日 3 回)。これが既定値です。
65533、"Weekly" = 1 週間 (7 日) に 1 回。
65534, "Tridaily" = 3 日に 1 回。
65535、"BiDaily" = 2 日に 1 回。
0 = 1 日 1 回。
freq = 1 日 freq 回。このオプションは、上記以外の値を追加する場合に使用します。

AvoidTimeSyncOnWan

REG_DWORD
省略可能

ほかのサイトに置かれているコンピュータ (一時的に接続するとコストがかかるコンピュータ) を同期処理の時刻ソースから除外するかどうかを指定します。
0 = 時刻ソースのサイトを無視します。これが既定値です。
1 = 異なるサイトに置かれている時刻ソースを同期処理に使用しません。

LocalNTP

REG_DWORD

SNTP サーバーを起動するかどうかを指定します。
0 = このコンピュータがドメイン コントローラでない限り、SNTP サーバーを起動しません。これが既定値です。
1 = SNTP サーバーを常に起動します。

Type

REG_SZ

コンピュータの同期処理の方法を制御します。
Nt5DS = ドメイン階層に同期します。これが既定値です。
NTP = 手動で構成したソースに同期します。
NoSync = 同期処理を行いません。

NtpServer

REG_SZ
省略可能

時刻ソースを手動で構成します。このエントリでは、時刻ソースとして使用するサーバーの DNS 名または IP アドレスを指定します。DNS 名か IP アドレスのいずれかを 1 つだけ指定できます。コマンド ラインから変更可能です。既定では、空白になっています。

GetDcBackoffMinutes

REG_DWORD
省略可能

ドメイン コントローラ (時刻ソース) の検索に失敗した場合に、ドメイン コントローラを再検索するまでに待機する時間の長さ (分単位) を指定します。既定値は 15 (分) です。

GetDcBackoffMaxTimes

REG_DWORD
省略可能

2 回目以降のドメイン コントローラ検索が失敗した場合に行う再検索のバックオフ間隔を何回まで 2 倍にするかを指定します。最大時間まで待機しても応答がなければ、その都度、イベントが記録されます。このエントリの値を 0 に設定すると、2 回目以降の検索の間の待機時間は常に最小となるので、イベントは記録されません。既定値は 7 です。

Windows Time サービスは、通常の同期スケジュールに従ってドメイン コントローラの検索を試行しますが、バックオフ間隔が経過するまでは、スケジュールされている検索があってもそれをスキップします。たとえば、既定値 (7) を使用している場合、バックオフ間隔は、15 分、30 分、1 時間、2 時間、4 時間、8 時間、16 時間のようなパターンになります。しかし、Windows Time サービスでは、45 分間隔でのみ同期処理を試行するので、実際にドメイン コントローラの検索を試行するのは、45 分後、1 時間 30 分後、2 時間 15 分後、4 時間 30 分後、8 時間 15 分後、16 時間 30 分後などになります。

  • 注意 レジストリを不適切に編集すると、システムに重大な問題が生じる可能性があります。レジストリを変更する前に、コンピュータ上の重要なデータをバックアップしておいてください。手動で変更した設定を適用した後に問題が生じた場合は、[前回正常起動時の構成 (正しく動作した最新の設定)] スタートアップ オプションを使うこともできます。

手順 : Windows Time サービスを構成する

ここでは、以下の操作の手順を述べます。

  • Windows Time サービスを開始する。

  • Windows Time サービスを停止する。

既定の設定では、Windows Time サービスはコンピュータの起動時に自動的に開始されますが、[管理ツール] の [サービス] か、net コマンドを使って手動で開始または停止することもできます。

グラフィカル インターフェイスを通じて Windows Time サービスを手動で開始するには

  1. [ スタート ] ボタンをクリックし、[ 設定 ] をポイントして [ コントロール パネル ] をクリックします。

  2. [ 管理ツール ] をダブルクリックし、[ サービス ] をダブルクリックします。

  3. サービスの一覧から [Windows Time] を選択します。

  4. [ 操作 ] メニューの [ 開始 ] をクリックしてサービスを開始します。

グラフィカル インターフェイスを通じて Windows Time サービスを手動で停止するには

  1. [ スタート ] ボタンをクリックし、[ コントロール パネル ] をクリックします。または、[ 設定 ] をポイントし、[ コントロール パネル ] をクリックします。

  2. [ 管理ツール ] をダブルクリックし、[ サービス ] をダブルクリックします。

  3. サービスの一覧から [Windows Time] を選択します。

  4. [ 操作 ] メニューの [ 停止 ] をクリックしてサービスを停止します。

Net コマンドを使って Windows Time サービスを手動で開始するには

  1. コマンド プロンプトを開きます。

  2. コマンド プロンプトに「net start w32time」と入力し、Enter キーを押します。

Net コマンドを使って Windows Time サービスを手動で停止するには

  1. コマンド プロンプトを開きます。

  2. コマンド プロンプトに「net stop w32time」と入力し、Enter キーを押します。

関連するドキュメントとリンク

オンライン リソースの使用 : Microsoft Web サイトには、ダウンロード可能なアップデートや Microsoft のサポート専門家が作成した Knowledge Base 記事などのサポート情報が用意されています。

  • 下記の Web サイトにアクセスすると、よく寄せられる質問 (FAQ) を製品別に検索したり、製品サポート ニュースグループを参照したり、Microsoft Support に連絡したりすることができます。このサイトでは、技術サポート情報を Microsoft Knowledge Base から検索したり、Microsoft 製品用のセルフ ヘルプ ツールを入手したりすることもできます。

    http://support.microsoft.com/

  • トラブルシューティング情報、サービス パック、パッチ、およびその他のダウンロード可能なファイルは、下記の Technet Web サイトから検索できます。

    http://www.microsoft.com/japan/technet/