Temos uma rede onde o tempo em algumas das estações de trabalho do cliente é impreciso. Há um problema com o NTP nos clientes ou nos controladores de domínio, fazendo com que o tempo não seja sincronizado. Estamos trabalhando nesse problema separadamente.
Nesse meio tempo, as solicitações de autenticação no domínio via NTLM falham após um período de tempo em que o relógio se afasta do controlador de domínio e dos horários do servidor. Qual é o limite de precisão do clock necessário para que essas solicitações sejam bem-sucedidas? Os relógios precisam ter precisão de 10 segundos um do outro? 30 segundos? Um minuto?
EDIT : Uma resposta que especifica que o NTLM não depende da hora correta está incorreta. De acordo com o Artigo 976918 da Microsoft KB: link
Windows 7 and Windows Server 2008 R2 support Extended Protection for Integrated Authentication which includes support for Channel Binding Token (CBT) by default. [...] You may experience one or more of the following symptoms: [...] NTLM authentication failures when there is a time difference between the client and DC or workgroup server.
Até onde eu sei, os timestamps não são usados no NTLM.
Por outro lado, Kerberos (que é o protocolo de autenticação principal no Active Directory), geralmente requer que os relógios fiquem dentro de alguns minutos. O Microsoft Windows tem 5 minutos como padrão MaxClockSkew , assim como o MIT Kerberos.
Tags time ntp active-directory ntlm