我有一个 MS AD 域,其中的一些应用程序服务器都运行 Windows Server 2012 R2。该应用程序有一个特殊要求:其数据库和应用服务器之间的时间差必须小于 5 秒。如果时间差为 2 秒或更长,应用程序将手动设置机器时间。如果时间差超过 5 秒或 10 秒(记不清了),应用程序根本无法加载。
我尝试像平常一样依赖 Active Directory 时间同步机制,但它在这里不起作用。它需要更“准确”。
所以我的问题是......了解域控制器和应用服务器之间时间不同步的风险,是否可以在 Active Directory 域中登录时禁用 Windows 时间同步?
答案1
Windows AD 需要时间戳来解决 AD 复制冲突和 Kerberos 身份验证问题。Kerberos 使用时间戳来防止重放攻击——在网络上拦截身份验证数据包,然后稍后重新发送以代表原始发送者进行身份验证。
如果本地时间和时间戳之间的差异太大,身份验证请求将被拒绝,Kerberos 身份验证将失败。将时间偏差设置得太高会增加重放攻击的风险。默认设置为五分钟。
如果域控制器和服务器之间的时间不同步,就无法完成身份验证。因此,在 Active Directory 域中登录时禁用 Windows 时间同步可能会导致身份验证出现严重问题。