Windows 環境でリモートデスクトップ接続時に、サーバ時刻の不一致エラーが出て接続できない場合の原因と対処法。

リモートデスクトップでサーバー等に接続時に、以下のエラーが出て接続に失敗する事があります。
---------------------------------------------------

リモートコンピュータから受け取った認証証明書が有効期限切れか、
または無効なため、リモートデスクトップからリモートコンピュータに接続できません。
このエラーは、クライアントコンピュータとサーバーコンピュータの時刻の不一致が原因で起こる場合もあります。
---------------------------------------------------

この時、イベントエラーKerberos ID 5 および GroupPolicy ID 1058 がサーバに出ることもあります。

これは、以下のいずれかの要因によって発生している可能性が高いです。

1. ドメインコントローラー – サーバー間の時刻差がある。
2. サーバー にてネットワークポートが枯渇している。


<確認方法>

1. 以下のコマンドをサーバー にて実行し、ドメインコントローラーとの時刻差を確認します。

> net time /domain: xxx.local

任意のドメインコントローラー一台の時刻が表示されます。

> echo %DATE% %TIME%

サーバー の時刻が表示されます。

> w32tm /stripchart /computer: xxx.local
※ドメインコントローラー名は、net time /domain: xxx.local の実行結果に出力されます。

実行後、ドメインコントローラー と サーバーの時刻差が表示されます。
10秒ほど実行後、CTL+C で停止させてください。

2. 以下のコマンドをサーバー にて実行し、使用しているネットワークポート及びプロセスの一覧を取得します。

> netstat -ano
> tasklist /svc


<改善方法>

発生している現象が、[1.ドメインコントローラー – サーバー 間の時刻差がある。] であった場合、
ドメインコントローラーと サーバーの時刻を合わせることにより本現象は解消されます。

発生している現象が、[2.サーバー にてネットワークポートが枯渇している] であった場合、ポート
を使用しているプロセスの停止または、システムの再起動により現象は解消されます。


<それぞれのイベントの説明>

Kerberos ID 5 : Kerberos ID 5 はメンバサーバーである自分自身がドメインコントローラーから Kerberos チケットの取得に失敗したことを示すイベントです。エラーコードとして、KRB_AP_ERR_TKT_NYV が記録されている場合、メンバサーバーとドメインコントローラー間に時刻差があり、Kerberos チケットが有効でないと判断された際に記録されます。

– 参考文献
Event ID 5 ? Kerberos Client Configuration
http://technet.microsoft.com/en-us/library/dd363871(v=ws.10).aspx


Microsoft-Windows-GroupPolicy ID 1058 : グループポリシーの適用に失敗したことを示すイベントです。
エラーコードとして、1398 ERROR_TIME_SKEW が記録されている場合、グループポリシーサーバーであるドメインコントローラーとメンバサーバー間で時刻差があることを意味します。



OS
NRBMをフォローする
年中暁を覚えず・・・・

コメント

タイトルとURLをコピーしました