2017年5月9日火曜日

Hyper-VまたはAzure上のドメインコントローラーでの時刻同期

以前、Hyper-V上のドメインコントローラーについて書きました(Hyper-V 仮想化環境での時刻同期)。

この時は「ドメインコントローラーについては、Hyper-Vを使ったホストとの同期を停止する」と紹介しています。根拠は、マイクロソフトの公開文書「仮想化ドメイン コントローラーの展開に関する考慮事項」です。

Microsoft Azureの仮想化基盤はHyper-Vなので、Azure上のドメインコントローラーについても同じことが言えるはずです。

しかし、Azureテクニカルサポート チームのブログ「Azure 仮想マシンの時刻同期の仕組み」では、ホスト同期を無効にする方法について触れつつも「基本的には、Azure に時刻同期を任せてしまう、という考えで、既定のままにしていただくことが便利です」とあります。

矛盾するようですが、以下のようなことではないかと想像します。

Hyper-V、つまりオンプレミス環境では複数の仮想化ホスト(物理マシン)の時刻同期がきちんと行われていない可能性があります。こうした状況でホスト同期を行うことはリスクが大きいため、ドメインコントローラー自身が持つNTP時刻同期を使う方が無難です。

しかし、Azure内にあるすべての物理マシンは時刻同期が正しく行われています。このような環境では、ホスト同期を優先した方がリスクが小さいと考えられます。

逆に言うと、すべてのHyper-Vホストが適切に時刻同期している環境であれば、ホスト同期を有効にしたままで問題ない(むしろ推奨される)と思われます。