Windows Active ADによるシングルサインオンを有効にして、WebアプリのSAMLによるシングルサインオンを実装していますが、時々アプリ側でSAMLレスポンスの検証に失敗します。Windows Active ADによるSAMLレスポンスを見ると、どうやらWindows Active ADのIdPサーバーの時刻がずれているようでタイムスタンプが30~40秒ほど未来を示しており、"Conditions NotBefore"も当然ながら未来の時刻を示しているため、アプリ側での検証に失敗します。
時刻のずれは常に発生しているわけではないようですが、ずれが発生しているときはアプリにログインできなくなってしまいます。
Windows Active ADのIdPサーバーの時刻のメンテナンスは可能でしょうか?できないのであれサーバーが正しい時刻を示すことを保証していただきたいです。