会社のPCで急に認証が通らなくなった経験はありませんか。Active DirectoryへのログオンやMicrosoft 365へのサインイン、シングルサインオンが突然失敗する場合、原因のひとつとしてPCの時刻同期(NTP)のずれが考えられます。認証プロセスではクライアントとサーバーの時刻差が一定以上あると、セキュリティ上の理由から認証が拒否されます。特にKerberos認証では、最大で5分のずれまで許容されますが、これを超えると認証が失敗します。本記事では、NTPずれによって認証エラーが発生しているかどうかを確認する方法と、その対処手順を実務に即して解説します。
【要点】この記事で確認すること
- 最初に見る場所: PCのシステム時刻とNTPサーバーとの同期状態。特にタスクバーの時計やコマンドプロンプトでの時刻確認。
- 切り分けの軸: 端末側(ローカル時刻設定、NTPサービス)、アカウント側(パスワード期限切れ)、管理設定側(ドメインの時刻同期ポリシー、ファイアウォール)の3軸で原因を絞り込む。
- 注意点: 会社PCでは手動で時刻を変更せず、管理者が設定したNTPサーバーに依存すること。勝手に外部NTPサーバーを指定するとセキュリティポリシー違反になる可能性があります。
ADVERTISEMENT
目次
NTPずれが認証に与える影響とは
Windowsの認証、特にActive Directory環境でのKerberos認証は、クライアントとドメインコントローラーの時刻差が5分以内であることを要求します。これを超えると「KRB_AP_ERR_SKEW(時刻のずれ)」エラーが発生し、ログオンやネットワークリソースへのアクセスが拒否されます。また、Microsoft 365の認証では、Azure ADがクライアント時刻とサーバー時刻の差をチェックするため、NTPずれによってサインインが失敗することもあります。さらに、TLS証明書の有効期限チェックでも時刻ずれが影響し、Webサイトにアクセスできないケースもあります。したがって、認証エラーが発生した際には、まずシステム時刻が正しいかを確認することが重要です。
時刻同期状態をチェックする具体的な手順
ここでは、会社PCで現在の時刻同期状態を確認する方法をステップごとに説明します。管理者権限が必要な操作もありますが、一般ユーザーでも確認できるものも含まれます。
- タスクバーの時計を確認する:画面右下の時刻表示をクリックし、「日付と時刻の設定」を開きます。ここで「時刻が自動的に同期されていません」などのメッセージがあれば、同期に問題がある可能性があります。また、手動で「今すぐ同期」ボタンをクリックし、エラーが出るか確認します。
- コマンドプロンプトで現在の時刻を確認する:
time /tとdate /tを実行し、システム日時を表示します。次にw32tm /query /statusを実行し、NTPサービスの状態を確認します。出力される「Source」がNTPサーバーのアドレス、「Last Successful Sync Time」が最終同期時刻、「Stratum」が階層などを示します。 - NTPサーバーとの時刻差を確認する:
w32tm /stripchart /computer:(NTPサーバー名) /dataonly /samples:5を実行します。NTPサーバー名は、通常はドメインコントローラーのFQDNか、会社指定のNTPサーバーを入力します。出力される「offset」の値(ミリ秒単位)が時刻差です。5000ms(5秒)以上あると認証に影響する可能性があります。 - イベントビューアーでNTP関連のエラーを確認する:イベントビューアーを開き、「Windowsログ」→「システム」を選択します。フィルターで「Time-Service」を検索し、エラーや警告を確認します。特にイベントID 12(NTPサーバーに到達できない)、イベントID 36(時刻のずれが大きい)などが重要です。
- レジストリでNTP設定を確認する(上級者向け):
reg query "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters"を実行し、NtpServerやTypeの値を確認します。Typeが「NTP」または「AllSync」になっていれば外部NTPサーバーと同期する設定です。ドメイン参加PCでは「NT5DS」が一般的です。
NTPずれの原因と切り分け方
時刻同期が正常に行われない原因はいくつか考えられます。以下の表で主な原因と確認ポイントをまとめました。
| 原因 | 確認ポイント | 対処の難易度 |
|---|---|---|
| NTPサービスが停止している | services.mscで「Windows Time」の状態が「実行中」か確認 | 低(再起動で解決) |
| NTPサーバーに到達できない | pingでNTPサーバーに通るか、ファイアウォールでUDP 123が許可されているか | 中(管理者対応) |
| ドメインの時刻同期ポリシーが未適用 | グループポリシーの「グローバルポリシー設定」でコンピューターの時刻同期を確認 | 高(管理者のみ) |
| BIOS/UEFIの時刻が大きくずれている | PC起動直後の時刻が正しいか、BIOS画面で確認 | 中(再起動時に修正) |
| 夏時間やタイムゾーンの設定誤り | 設定アプリの「日付と時刻」でタイムゾーンと夏時間自動調整がオンか | 低(ユーザーで修正可) |
まずは、上記の手順2でw32tmコマンドを実行し、NTPサーバーとの接続状況と時刻差を確認してください。もし「The computer did not resync because no time data was available」というエラーが出た場合、NTPサービスが停止しているか、サーバーとの通信が遮断されています。また、イベントビューアーで「タイムサービスがNTPサーバーに接続できない」というエラーが頻発している場合は、ネットワークの問題が疑われます。
企業環境でよくある失敗パターン
実際によく見られるのが、PCをスリープや休止状態から復帰した際に時刻が正しく再同期されないケースです。また、仮想マシン上で動作するPCでは、ホストの時刻に依存する設定が原因でずれが生じることがあります。さらに、VPN接続時にNTPトラフィックがブロックされることもあります。これらのケースでは、一度手動で同期を試みるか、再起動することで一時的に解決することが多いです。
NTPずれが疑われる認証エラーの具体例
以下のようなエラーメッセージが表示された場合、NTPずれを疑ってください。
- 「このコンピューターとドメインコントローラー間の時刻の差が大きすぎます」(ログオン時)
- 「Kerberos認証エラー:KRB_AP_ERR_SKEW」
- 「このサイトのセキュリティ証明書の有効期限が切れています」(時刻が過去の場合)
- 「サインインできません。時刻が正しくありません」(Microsoft 365ログイン時)
- 「接続がタイムアウトしました」(VPNやリモートデスクトップ接続時)
これらのエラーが発生したら、まず上記の手順で現在の時刻とNTP同期状態を確認してください。時刻が数分以上ずれている場合、認証に失敗する可能性が高いです。
管理者に確認すべき情報と注意点
NTPずれを自分で修正しようとする前に、以下の点について管理者または情報システム部門に確認することをおすすめします。
- 会社で使用するNTPサーバーのアドレス:社内のドメインコントローラーがNTPサーバーを兼ねている場合や、専用の内部NTPサーバーがある場合があります。外部の公開NTPサーバー(ntp.nict.jpなど)を設定してよいかポリシーを確認してください。
- ファイアウォールやプロキシによるNTP制限:社内ネットワークではUDP 123ポートが許可されている必要があります。VPN経由の場合も同様です。
- グループポリシーによる時刻同期設定:ドメイン参加PCでは、グループポリシーでNTPサーバーが強制指定されていることがあります。ローカルで変更してもポリシーで上書きされるため、管理者に問い合わせてください。
- PCが仮想マシンの場合の注意:仮想マシンでは、ホストとの時刻同期が優先されることがあり、別途NTP設定が必要な場合があります。
勝手にPCの時刻を手動で合わせることは、ドメイン認証や監査ログに問題を引き起こす可能性があるため、避けてください。どうしても緊急で認証を通す必要がある場合は、一度再起動することで時刻が再同期されることがあります。それでも改善しない場合は、管理者に連絡してください。
よくある質問(FAQ)
Q1. タスクバーの時計が正しい時刻を表示しているのに認証に失敗するのはなぜ?
表示されている時刻はタイムゾーンの設定が正しくない場合にずれて見えることがあります。また、NTP同期が行われていても、同期間隔が長いと徐々にずれが生じます。必ずw32tmコマンドでNTPサーバーとの実際の時刻差を確認してください。
Q2. コマンドプロンプトを管理者権限で実行しないとw32tmの一部のコマンドが使えない?
w32tm /query /status や w32tm /stripchart は一般ユーザーでも実行可能です。ただし、w32tm /resync など同期を強制するコマンドは管理者権限が必要です。一般ユーザーは確認だけを行うようにしてください。
Q3. NTPサーバーのアドレスがわからない場合、どうすればいい?
ドメインに参加しているPCであれば、通常はドメインコントローラーがNTPサーバーとして自動設定されています。w32tm /query /status の「Source」の値がNTPサーバーです。それが表示されない場合は、管理者に問い合わせてください。
Q4. 自宅のWi-Fiなど社外ネットワークで時刻がずれるのはなぜ?
社外ではドメインコントローラーにアクセスできないため、NTP同期が失敗することがあります。その場合、PCの時刻が徐々にずれていき、社内ネットワークに戻った際に認証エラーが発生することがあります。VPN接続中であれば、VPN経由でNTPパケットが通るかどうかが影響します。
まとめ
会社PCでの認証失敗にNTPずれが関与している場合、まずはシステム時刻とNTP同期状態を確認することが第一歩です。本記事で紹介したw32tmコマンドやイベントビューアーの確認手順を活用して、原因を切り分けてください。特にKerberos認証のエラーが表示されたら、時刻差が5分以内であるかを必ずチェックしましょう。問題が発見できた場合、管理者に適切な情報を伝えることで迅速な解決が期待できます。日常的には、PCを頻繁に再起動して時刻同期をリセットすることも予防策の一つです。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順