ドメインコントローラの時刻変更について

＞15分程ずらすことになるのですが、クライアントPCとの時刻が大きくずれると認証エラーとなり、クライアントがログインできなくなると聞きました。 Active DirectoryではKerberos認証を使用している関係上、時刻が同期されている必要があります。（再現攻撃を防ぐためのkerberosの仕様です） ただ、時刻は寸分違わずは無理なので差異の許容時間が決められています。 デフォルト値は5分です。 設定は、グループポリシーにて変更出来ます。 [コンピュータの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\Kerberos ポリシー] の「コンピュータの時計の同期の最長トレランス」です。 特にポリシーをいじっていなければ、Defualt Domain Controllers Policyにあります。 ＞そもそも認証エラーになるのでしょうか。 間違いなく認証エラーなります。 ただし、チケットの有効期限の関係上直ぐに認証エラーが出るとは限りません。 ＞どのように変更すれば良いのでしょうか。 一つは、「コンピュータの時計の同期の最長トレランス」を15分以上に設定し、グループポリシーが適用されたのを見計らって時刻を変更し、「コンピュータの時計の同期の最長トレランス」を元の5分に戻す。 もう一つは、1日3分程度の変更を行い、5日に分けて少しずづ合わせていく。 まあ、後者のほうがいいかと思います。 ご存じかもしれませんが、ADではクライアントPCは既定ではドメインコントローラ（DC）に対して時刻を同期します。 DCは複数あるDCのなかのPDCエミュレータ役割を持つDCに対して時刻同期を行います。 （DCが１台ならば必ずそのDCがPDCエミュレータ役割を持っているはずです） PDCエミュレータ役割を持つDCは、外部リソースと同期を取るのですが、意図的に設定しなければ同期をとりません。 このときイベントログに警告が出ます。 今後のことを考えるならば、PDCエミュレータ役割を持つDCは、NICTなどの外部NTPサーバとの直接または間接的に同期を取るようにしたほうがいいと思います。 また、他の方がサードパーティ製のNTPクライアントの導入についてふれていますが、これには賛同しかねます。 どうしても、導入したいのならば、ADの時刻同期のしくみを十分に理解した上で導入するか考えるべきです。