概要
オフライン環境のPalo AltoでNTP機能確認を行う際、Windows標準のNTPサーバ機能(w32time)での同期がうまくいかないケースがあります。
本記事では、Linux機との同期と同等のレジストリ設定変更を行うことで解決する方法を解説します。
事前準備
- Windows Server または Windows PC(NTPサーバとして使用)
- Palo Alto ファイアウォール
- 管理者権限
手順1:w32time 標準設定
1-1. NtpServer の有効化
1. 「レジストリ エディタ」を起動(`regedit`)
2. 以下のパスに移動:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer`Enabled` を選択し、値を `1` に変更して「OK」をクリック
– デフォルト値:`0`
3. `Enabled` を選択し、値を **`1`** に変更して「OK」をクリック
– デフォルト値:`0`
1-2. AnnounceFlags の変更
1. 以下のパスに移動:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config2. `AnnounceFlags` を選択し、値を **`5`** に変更して「OK」をクリック
– デフォルト値:`a`(10進数で10)
手順2:LocalClockDispersion の変更
> ポイント:この設定がPalo Altoとの同期成功の鍵となります。
1. 以下のパスに移動(AnnounceFlagsと同じ場所):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
2. `LocalClockDispersion` を選択し、値を `0` に変更して「OK」をクリック
– デフォルト値:`a`(10進数で10)
手順3:w32time サービスの起動と動作確認
3-1. サービスの起動
1. 「コマンドプロンプト」を管理者として起動
2. 以下のコマンドでw32timeサービスを起動:
net start w32time3-2. Palo Alto での同期確認
1. Palo Alto の管理画面でNTP同期ステータスを確認
2. 同期が成功していれば完了です
設定値まとめ
| レジストリキー | 値名 | デフォルト | 変更後 |
|---|---|---|---|
| …\TimeProviders\NtpServer | Enabled | 0 | 1 |
| …\W32Time\Config | AnnounceFlags | a | 5 |
| …\W32Time\Config | LocalClockDispersion | a | 5 |
まとめ
オフライン環境でPalo AltoがWindows NTPサーバと同期できない場合、LocalClockDispersion を 0 に設定することが解決のポイントです。これはLinux機でWindows NTPサーバに同期する際と同様の設定となります。
お疲れさまでした!
免責事項
- 記事の内容は筆者の検証環境における結果であり、すべての環境での動作を保証するものではありません。
- レジストリの変更はシステムに影響を与える可能性があります。変更前に必ずバックアップを取得してください。
- 本記事を参考にした作業によって生じた損害について、筆者および当社は一切の責任を負いません。
- 本番環境への適用は十分なテストを行った上で、自己責任にてお願いいたします。
