色々と必要に迫られているので、メモ書きです。
今回はADやADに参加したサーバのNTPがどういう挙動をするのか、確認してみることとする。
w32timeとは
Windows タイム サービス (W32Time) では、Active Directory Domain Services (AD DS) で管理されているすべてのコンピューターの日付と時刻の同期が行われます。 W32Time は、ネットワーク タイム プロトコル (NTP) 仕様に従います。
w32tmコマンドとは
Windows Timeサービスの設定や時刻同期の状態を確認したり、設定変更や手動同期を行ったりする。
AD構築とNTP同期の確認
ADを構築する前にADになるEC2 Windows ServerのNTPの設定を確認してみる。
C:\Users\Administrator>w32tm /query /peers
ピア数: 1
Peer: 169.254.169.123,0x9
State: Active
Time Remaining: 781.4935224s
Mode: 3 (Client)
Stratum: 3 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 9 (512s)
HostPoll Interval: 9 (512s)
これの出力の意味をAIに確認してみました。
この w32tm /query /peers の出力は、Windows Time サービスが同期しているNTPサーバーの状態を示しています。AWS環境で実行されたようですね。具体的に分解します:
主要情報の解釈
1. Peer: 169.254.169.123
* AWSのメタデータサービスです(特にEC2インスタンス向け)。
* AWSが提供する内部NTPサーバーで、インスタンスの時刻を自動同期します。
* 0x9 は内部識別子です。
2. State: Active
* 正常に通信中で、時刻同期がアクティブであることを示します。
3. Mode: 3 (Client)
* このマシンが NTPクライアント として動作中(サーバーから時刻を受信)。
4. Stratum: 3
* 時刻源の信頼性レベル(階層):
* Stratum 1: 原子時計/GPSなど直接の時刻源
* Stratum 2: Stratum 1から同期
* Stratum 3: Stratum 2から同期 → 一般的な信頼性
5. Poll Intervals
* PeerPoll Interval: 9 (512s): NTPサーバーへの問い合わせ間隔(約8.5分)
* HostPoll Interval: 9 (512s): ローカルシステムのクロック更新間隔
----------------------------------------
この出力が意味すること
* 正常なAWS環境の時刻同期 を確認しています。
* インスタンスはAWS内部の時刻サーバー(169.254.169.123)と通信できており、約8.5分間隔で時刻を調整中。
* Stratum 3は、時刻精度が一般的なレベルであることを示します(問題なし)。
----------------------------------------
アドバイス
* 時刻ずれが発生する場合:
w32tm /resync # 強制再同期
* 設定確認:
w32tm /query /configuration
* AWS環境ではこの設定が標準であり、変更不要です。時刻問題が起きた場合はEC2再起動を試してください。
> ℹ️ タイムゾーン設定も確認する場合は tzutil /g を実行してください。
この状態でADを作ってみます。
過去の自分の記事をベースにADを作ります。
ADになったあとの出力結果は以下。
あれ?3つになっている。。。
C:\Users\Administrator>w32tm /query /peers
ピア数: 3
Peer: time.windows.com,0x8
State: Active
Time Remaining: 60.3552860s
Mode: 3 (Client)
Stratum: 3 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 6 (64s)
HostPoll Interval: 6 (64s)
Peer: 169.254.169.123,0x9
State: Active
Time Remaining: 1018.8427493s
Mode: 3 (Client)
Stratum: 3 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 15 (32768s)
HostPoll Interval: 6 (64s)
Peer:
State: Pending
Time Remaining: 894.8423577s
Mode: 0 (reserved)
Stratum: 0 (unspecified)
PeerPoll Interval: 0 (unspecified)
HostPoll Interval: 0 (unspecified)
これはADサーバとしては正常の挙動らしいです。
AD環境でのピア増加の理由:
ADドメインコントローラー化すると、PDCエミュレーターが最上位時刻源(Stratum 1)となり、他のDCやクライアントとの同期パスが自動追加されます。これにより、明示的なNTPサーバー(time.windows.com)に加え、内部同期用のピアやクラウド固有のサービス(例: AWSの169.254.169.123)がリストされます
それぞれのピアについての役割は以下
①time.windows.com,0x8(Microsoft 公開NTPサーバー)
②169.254.169.123,0x9(AWS Amazon Time Sync Service)
③未指定ピア(State: Pending)。Active Directory環境特有の挙動で、ドメインコントローラー(DC)間の内部同期パスや、PDCエミュレーターからの時刻伝播経路として自動追加
ADに参画するサーバ側の設定
ADに参画する前のサーバも同じように確認してみる
ADサーバになる前の状態と同じように見える。
C:\Users\Administrator>w32tm /query /peers
ピア数: 1
Peer: 169.254.169.123,0x9
State: Active
Time Remaining: 267.9038305s
Mode: 3 (Client)
Stratum: 3 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 9 (512s)
HostPoll Interval: 9 (512s)
このサーバをドメイン参加させます。
また私の過去のQiita記事を使ってドメイン参加させます。
なんやかんやをして、ADに参加させました。
その時のNTPの設定が以下。
C:\Users\Administrator>w32tm /query /peers
ピア数: 3
Peer: 169.254.169.123,0x9
State: Active
Time Remaining: 771.4914134s
Mode: 3 (Client)
Stratum: 3 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 17 (out of valid range)
HostPoll Interval: 6 (64s)
Peer: time.windows.com,0x8
State: Active
Time Remaining: 3.5567622s
Mode: 3 (Client)
Stratum: 3 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 6 (64s)
HostPoll Interval: 6 (64s)
Peer: EC2AMAZ-9KUCK5O.ad.example.com
State: Active
Time Remaining: 3.6677477s
Mode: 3 (Client)
Stratum: 4 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 6 (64s)
HostPoll Interval: 6 (64s)
それぞれのピアについての役割は以下
①AWS内部時刻サービス: 169.254.169.123,0x9
②Microsoft公開NTPサーバー: time.windows.com,0x8
③ドメインコントローラー: EC2AMAZ-9KUCK5O.ad.example.com。AD参加サーバーは優先的にDCと同期する
以下のコマンドを実行すると、どのNTPと同期を撮っているのか確認できるらしい。
C:\Users\Administrator>w32tm /query /status
????????: 0 (????)
Stratum: 4 (secondary reference - syncd by (S)NTP)
Precision: -23 (119.209ns per tick)
Root Delay: 0.0258160s
Root Dispersion: 0.0261163s
ReferenceId: 0x2851BC55 (source IP: 40.81.188.85)
Last Successful Sync Time: 2025/10/27 17:08:47
Source: time.windows.com,0x8
Poll Interval: 7 (128s)
この状態(Microsoft公開NTPサーバーと時刻同期を取る)はAD内で使用しているKerberos認証の都合上、あまりよろしくないような状態らしいです。本来であればADサーバのNTPと連携を取るべきらしいです。
(Active Directory(AD)環境でKerberos認証が機能するためには、ドメイン内の全マシンの時刻が5分以内に収束していることが必須条件のため)
以下のコマンドを実行することでADと同期を取ることができます。
C:\Users\Administrator>w32tm /config /syncfromflags:domhier /update
コマンドは正しく完了しました。
C:\Users\Administrator>net stop w32time && net start w32time
The Windows Time service is stopping.
The Windows Time service was stopped successfully.
The Windows Time service is starting.
The Windows Time service was started successfully.
C:\Users\Administrator>w32tm /query /status
????????: 0 (????)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -23 (119.209ns per tick)
Root Delay: 0.0263191s
Root Dispersion: 7.8582648s
ReferenceId: 0xC0A80A81 (source IP: 192.168.10.129)
Last Successful Sync Time: 2025/10/27 17:19:07
Source: EC2AMAZ-9KUCK5O.ad.example.com
Poll Interval: 6 (64s)
ピア数も1つになりました。
これでAD以外と時刻同期しなくなるので、良い(らしい)
C:\Users\Administrator>w32tm /query /peers
???: 1
Peer: EC2AMAZ-9KUCK5O.ad.example.com
State: Active
Time Remaining: 0.1992749s
Mode: 3 (Client)
Stratum: 4 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 6 (64s)
HostPoll Interval: 6 (64s)
参考
以下に素晴らしい記事がありました。