AD FS 2.0 事例紹介 「AD FS サーバーと AD FS Proxy サーバー間の時刻ずれ」

皆様、こんにちは。Windows プラットフォーム サポート担当の田中です。

今回も、「AD FS 2.0 サーバー」につきまして、よくお問い合わせいただきます事例をご紹介いたします。
特に最近お問い合わせが多い問題ですので、同様の問題が発生し得る構成となっていないかご確認いただけましたら幸いです。

1) 問題の概要
突然、AD FS Proxy サーバー経由の認証で問題が発生するようになった。
AD FS サーバーに直接アクセスする認証は問題ない。
AD FS Proxy サーバー上での AD FS サービス起動時や、AD FS Proxy サーバー経由の認証を行う際に、AD FS Proxy サーバー上で AD FS 2.0/Admin エラー ID: 248 や 364 が記録される。

2) 対処策
AD FS Proxy サーバーと AD FS サーバー間に 5 分以上の時刻のずれがある場合、AD FS Proxy サーバー経由の認証が失敗します。
時刻ずれがある場合は、まず手動で時刻を合わせます。

3) 時刻同期先の設定
AD FS サーバーはドメイン参加が必須です。
一方、AD FS Proxy サーバーは Workgroup 端末が多く、AD FS サーバーと AD FS Proxy サーバーとで既定の時刻同期先が異なるために時刻がずれることがあります。

以下に、時刻同期先を変更する方法をご案内いたします。
AD FS Proxy サーバーにて AD FS サーバーが時刻同期先としているドメイン コントローラーや NTP サーバーを指定し、時刻を同期することで、今後同様の問題の発生を防ぐことが可能です。

<手順>
1. AD FS Proxy サーバーにてコマンド プロンプトを起動します。
2. 以下コマンドを実行し、時刻同期先を設定します。
w32tm /config /update /manualpeerlist:時刻同期先サーバー,フラグ

例: 時刻同期先サーバーが 192.168.1.1 である場合、フラグに既定値と同じく 0x9 を指定する場合。
w32tm /config /update /manualpeerlist:192.168.1.1,0x9

※「次のエラーが発生しました。そのサービスを開始できませんでした。」と表示されても問題ありません。設定は正常に変更されており、次回時刻同期タイミングで自動的にサービスが開始され、指定した先と時刻を同期します。

※フラグには、以下を指定することができます。(組み合わせて使用可能です)

0x1 - SpecialPollInterval レジストリ値を同期間隔として使用して時刻同期を行います。
0x2 - UseAsFallbackOnly モードを使用します。優先的に同期を行うよう設定されている NTP サーバーが使用不可の場合に同期を取るサーバーとして設定されます。
0x4 - SymmetricActive モードとして要求を送信します。お互いが同期を取る時刻同期方法となります。
0x8 - Client モードとして要求を送信します。サーバー、クライアント、という区分を行い、クライアントからサーバーに対してのみの、一方通行の時刻同期を行います。

4) 参考資料
タイトル: Windows Server 2003 で Windows 以外の NTP サーバーとの同期が成功しない
URL: https://support.microsoft.com/kb/875424

「コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。」