ドメイン環境でのサーバとクライアントの時刻同期

Windows Server 2008 R2をADサーバとし、Windows7をクライアントする環境で使用しています。

で、通常、ドメイン環境ではクライアントの時刻はサーバに同期すると思うのですが、なぜかされていません。

いろいろ調べてみたのですが、いまいち分からず。

ポリシーの設定は、フォルダーのリダイレクトくらいしか設定しておらず、ユーザ権限などは一切いじっていません。

しかし、 net timeコマンドで強制的に同期させようとしましても、
----
システム エラー 1314 が発生しました。

クライアントは要求された特権を保有していません。
----
と表示されて同期出来ません。


どのあたりに原因がありそうか、心当たりのある方はいらっしゃいませんでしょうか。
よろしくお願いいたします。

No.4 回答者： foitec 回答日時： 2013/02/12 17:25

それでは・・・

＞クライアントは要求された特権を保有していません。

同期できないクライアントPCに管理者権限のあるアカウントでログオンした場合
ドメインコントローラとの時刻の同期は行えますか？

まさかとは思いますが
ドメインのポリシーでまたはドメインコントローラのローカルポリシーで
￥DomainUsersに対しシステム時刻の変更の権利を奪っていませんか？

この回答への補足

ご回答ありがとうございます。

まず、通常ユーザで管理者権限でコマンドプロンプトを立ち上げ、同期させてみると…
=========================
C:\windows\system32>w32tm /resync
再同期コマンドをローカル コンピューターに送信しています
時刻データが利用できなかったため、コンピューターは同期をとり直しませんでした。
=========================
このように表示され、時間がかかったのでタイムアウトしているような感じでした。
DomainのAdministratorでログインして実行しても同様でした。


ちなみに、記憶では、ポリシーではフォルダリダイレクトくらいしか設定していないのですが、具体的にどこでそのような制限をかけるのでしょうか？

質問だらけで大変申し訳ございません。


補足：ちなみに、アップデート系が面倒なので、DomainユーザにローカルのPCのAdministrator権限を付与しています。

補足日時：2013/02/21 09:40

No.3 回答者： foitec 回答日時： 2013/02/08 15:00

ANo2です

＞C:\Users\****>w32tm /resync
＞再同期コマンドをローカル コンピューターに送信しています
＞次のエラーが発生しました。 アクセスが拒否されました。 (0x80070005)

参照先NTPサーバから取得した時刻サンプルが古いなどの理由で信頼性がない場合、同期に失敗することがあります。
なのでその場合は

w32tm /resync /rediscover

を使用してください。

また、/computerオプションを使ってほかのNTPサーバに接続して時刻同期を行わせることもできます。

例えば
w32tm /resync /computer:dc01　　　(例として接続先のドメインコントローラをdc01とした場合です）
w32tm /stripchart /computer:ntp.nict.jp　でもOKですね。

さて、UDP123の開放は　Server 2008　の「セキュリティの強化されたWindpowsファイァーウォール」の送新と受信のそれぞれの設定で行いますが間違いないですか？

この回答への補足

ご回答ありがとうございます。

ご案内頂いたw32tmコマンド
w32tm /resync /rediscover
w32tm /resync /computer:dc01
については、
w32tm /resync
と状況は変わりませんでした。（アクセス拒否）

「セキュリティの強化されたWindowsファイアウォール」もチェックしましたが、送受信いずれもUDP123は解放されております。

どこかのポリシー関係でしょうか……

補足日時：2013/02/08 18:21

No.2 回答者： foitec 回答日時： 2013/02/06 16:46

＞通常、ドメイン環境ではクライアントの時刻はサーバに同期すると思うのですが

サーバーではなくそのクライアントがログオンしている「ドメインコントローラ」に同期します。


さて、
ドメインコントローラーがNTPサービスを提供していますか？
まずNTPサービスを提供するドメインコントローラの
「ローカル　グループポリシー」エディターで
タイムプロバイダーのWindows NTPサーバを有効にしておく必要があります。

その後、ドメインコントローラの　Windows Time　を「自動(遅延開始）」にしておく必要があります。

ドメインコントローラのファイァーウォールでNTPプロトコルを許可していますか？
クライアントからの要求に対し禁止していませんか？
UDP 123のポートですね。

またドメインコントローラーとクライアントのそれぞれの時刻に5分以上の差異があると同期しません。
予めクライアントの時刻を合わせておきましょう。

＞ net timeコマンドで強制的に同期させようとしましても

すでに回答がある通り特権で打つコマンドです。
しかしながらドメイン内でクライアントの同期は

w32tm /resync

です。

ちなみに
net time

のみを打てば現在同期しているドメインコントローラの時刻が表示されます。
これが表示されなければドメインコントローラとの間に時刻同期が行われていません。

この回答への補足

ご回答頂きありがとうございます。
順を追って確認させて頂きます。

＞タイムプロバイダーのWindows NTPサーバを有効にしておく必要があります。
こちらは確認しました。いずれも有効になっておりました。

＞ドメインコントローラの　Windows Time　を「自動(遅延開始）」にしておく必要があります。
こちらも「自動（遅延開始）」になっており、「開始」状態になっています。

＞ドメインコントローラのファイァーウォールでNTPプロトコルを許可していますか？
ファイアウォールでの制限はかけていません。Windows Firewallも無効になっています。

＞ドメインコントローラーとクライアントのそれぞれの時刻に5分以上の差異があると同期しません。
こちらも確認済みです。

---------------------------------------------------------
C:\Users\****>w32tm /resync
再同期コマンドをローカル コンピューターに送信しています
次のエラーが発生しました。 アクセスが拒否されました。 (0x80070005)

C:\Users\****>net time
\\hogeserver の現在の時刻は 2013/02/08 9:38:26 です

コマンドは正常に終了しました。
---------------------------------------------------------
こんな感じです。

---------------------------------------------------------
C:\Users\****>w32tm /monitor
hogeserver.hogedomain.local *** PDC ***[192.168.1.hoge:123]:
ICMP: 0ms 遅延
NTP: +0.0000000s hogeserver.hogedomain.local の時刻からのオフセット
RefID: ntp-b3.nict.go.jp [133.243.238.164]
階層: 2

警告:
逆名前解決が最適な方法です。タイム パケット内の
RefID フィールドは NTP 実装間で異なっており、IP
アドレスを使用していない場合があるため、名前が正しくない可能性があります。
---------------------------------------------------------
また、こんな感じで一応DCを認識はしているようではあるのですが……

補足日時：2013/02/08 10:02

No.1 回答者： matyu1003 回答日時： 2013/02/06 15:12

net time コマンドは、スタートメニューの「プログラムとファイルの検索」ではなく、コマンドプロンプトを「管理者として実行」で開いて実行してみて下さい。

あとは、サーバとクライアントともにWindows Timeサービスが開始されているかを確認する、ぐらいしか思いつきません。

この回答への補足

ご回答、ありがとうございます。
たしかに、管理者としてコマンドプロンプトを実行した上で、試してみたら実行は出来ました。

---------------------------------------------------
C:\windows\system32>net time \\sv-mg01 /set /yes
\\****** の現在の時刻は 2013/02/08 9:41:17 です

コマンドは正常に終了しました。
---------------------------------------------------

一応、手動では出来た、ということなのでしょうが、毎回手動というわけにはいかないので……

もちろん、サーバ、クライアントともにWindows Timeサービスは動いております。
※いずれも「開始　自動（遅延開始）」になっています。

補足日時：2013/02/08 09:47