Windows Server e AD - Desativar a sincronização de horário no logon

0

Eu tenho um domínio do MS AD com alguns servidores de aplicativos que executam o Windows Server 2012 R2. O aplicativo tem requisitos especiais: o deslocamento de horário entre o banco de dados e os servidores de aplicativos deve ser menor que 5 segundos. Se houver uma diferença de tempo de 2 segundos ou mais, o aplicativo definirá a hora da máquina manualmente. Se houver mais de 5 ou 10 segundos (não me lembro), o aplicativo simplesmente não carrega.

Eu tentei confiar nos mecanismos de sincronização de horário do Active Directory como normalmente faço, mas não funciona aqui. Precisa ser mais "preciso".

Então, minha pergunta é ... sabendo dos riscos de ter uma dessincronização de tempo entre controladores de domínio e servidor de aplicativos, é possível desabilitar a sincronização de tempo do Windows no logon em um domínio do Active Directory?

    
por Remi Serriere 30.07.2018 / 18:44

1 resposta

0

O Windows AD precisa de registros de data e hora para os conflitos de replicação do AD e para a autenticação do Kerberos. O Kerberos os usa para proteger contra ataques de repetição - onde um pacote de autenticação é interceptado na rede e depois reenviado posteriormente para autenticar em nome do remetente original.

Se a diferença entre a hora local e o registro de data e hora for muito grande, a solicitação de autenticação será rejeitada e a autenticação Kerberos falhará. Definir a distorção de tempo muito alta cria um risco maior de ataques de repetição. A configuração padrão é de cinco minutos.

Sem o tempo em sincronia entre os controladores de domínio e os servidores, não seria possível concluir a autenticação. Portanto, desabilitar a sincronização de horário do Windows no logon em um domínio do Active Directory pode causar problemas significativos de autenticação.

    
por 31.07.2018 / 05:39