Windows Server и AD - отключение синхронизации времени при входе в систему

Question

Windows Server и AD - отключение синхронизации времени при входе в систему

У меня есть домен MS AD с некоторыми серверами приложений под управлением Windows Server 2012 R2. К приложению предъявляются особые требования: сдвиг времени между базой данных и серверами приложений должен составлять менее 5 секунд. Если разница во времени составляет 2 секунды или более, приложение установит время машины вручную. Если есть более 5 или 10 секунд (не помню), приложение просто не загружается.

Я пытался положиться на механизмы синхронизации времени Active Directory, как обычно, но здесь это не работает. Это должно быть более "точным".

Таким образом, мой вопрос... зная риски несинхронизации времени между контроллерами домена и сервером приложений, возможно ли отключить синхронизацию времени Windows при входе в домен Active Directory?

0

windows active-directory ntp

Источник

Remi Serriere 30 июл '18 в 16:44

1 ответ

Другие вопросы по тегам windows active-directory ntp

Daisy Zhou 31 июл '18 в 03:39 2018-07-31 03:39 · Answer 1 · 2018-07-31 03:39

Windows AD нужны временные метки для конфликтов репликации AD и для аутентификации Kerberos. Kerberos использует их для защиты от атак воспроизведения, когда пакет аутентификации перехватывается в сети, а затем повторно отправляется для аутентификации от имени исходного отправителя.

Если разница между местным временем и отметкой времени слишком велика, запрос на проверку подлинности отклоняется и проверка подлинности Kerberos не выполняется. Слишком высокое значение времени создает повышенный риск для повторных атак. Значение по умолчанию составляет пять минут.

Без синхронизации между контроллерами домена и серверами было бы невозможно завершить проверку подлинности. Поэтому отключение синхронизации времени Windows при входе в домен Active Directory может привести к значительным проблемам при проверке подлинности.