none
Синхронизация времени недоменными устройствами c DC RRS feed

  • Вопрос

  • Есть домен/лес содержащий контроллеры домена на основе Windows Server 2008 R2 и Windows Server 2012 R2.

    Уровень домена и леса - 2008 R2.

    Подскажите, пожалуйста, как разрешить недоменным устройствам синхронизировать (получать) время с контроллеров домена?

    При попытке запросить время, например, на недоменном компьютере с контроллера домена получаем запрет доступа.

    Отключение файервола не помогает.

Ответы

  • Это не то. Внутри домена проблем нет.

    Проблема в том, что контроллеры домена не разрешают получать от них время для недоменных устройств.

    Например, если на недоменной машине выполнить команду

    Net time \\IP_of_DC , то получим ошибку:

    "System error 5 has occurred. Access is denied"

    Подобная ошибка будет, если выполнить команду

    w32tm /resync /computer:IP_of_DC

    Давайте проясним. Приведенные вами команды запрашивают время с контроллера домена, при этом, запрос с недоменных компьютеров получает ошибку доступа. Это нормально.

    Но если прописать NtpServer в реестре недоменного компьютера (или через w32tm /config /syncfromflags:manual /manualpeerlist:IP_of_DC) , то выполнение команды w32tm /resync  происходит успешно - синхронизация с контроллером выполняется (только что проверил специально).

    При прописывании ntp сервера у вас проходит синхронизация? Если нет - какая ошибка? Выложите результаты w32tm /query /configuration и w32tm /query /status.


Все ответы

  • Это не то. Внутри домена проблем нет.

    Проблема в том, что контроллеры домена не разрешают получать от них время для недоменных устройств.

    Например, если на недоменной машине выполнить команду

    Net time \\IP_of_DC , то получим ошибку:

    "System error 5 has occurred. Access is denied"

    Подобная ошибка будет, если выполнить команду

    w32tm /resync /computer:IP_of_DC

  • 1. Вы точно запускаете команду от имени администратора (Elevated command prompt)?

    2. Смотрите похожее решение: https://social.technet.microsoft.com/Forums/windowsserver/en-US/1a67071a-4141-4c04-86e8-de7dc8afa8ea/time-synchronization-between-domain-controller-and-workgroup-computer?forum=winservergen

  • 1. Вы точно запускаете команду от имени администратора (Elevated command prompt)?

    2. Смотрите похожее решение: https://social.technet.microsoft.com/Forums/windowsserver/en-US/1a67071a-4141-4c04-86e8-de7dc8afa8ea/time-synchronization-between-domain-controller-and-workgroup-computer?forum=winservergen

    Да, команда запускается от имени администратора. Я её привел лишь для примера. Необходимо, чтобы с контроллерами домена синхронизовались сетевые устройства (принтеры, коммутаторы и .т.п.).

    Все статьи, которые я видел и ссылка которую Вы привели, рассказывают как синхронизовать DC от внешнего источника времени. С этим как раз проблем нет. 

  • Это не то. Внутри домена проблем нет.

    Проблема в том, что контроллеры домена не разрешают получать от них время для недоменных устройств.

    Например, если на недоменной машине выполнить команду

    Net time \\IP_of_DC , то получим ошибку:

    "System error 5 has occurred. Access is denied"

    Подобная ошибка будет, если выполнить команду

    w32tm /resync /computer:IP_of_DC

    Давайте проясним. Приведенные вами команды запрашивают время с контроллера домена, при этом, запрос с недоменных компьютеров получает ошибку доступа. Это нормально.

    Но если прописать NtpServer в реестре недоменного компьютера (или через w32tm /config /syncfromflags:manual /manualpeerlist:IP_of_DC) , то выполнение команды w32tm /resync  происходит успешно - синхронизация с контроллером выполняется (только что проверил специально).

    При прописывании ntp сервера у вас проходит синхронизация? Если нет - какая ошибка? Выложите результаты w32tm /query /configuration и w32tm /query /status.


  • Давайте проясним. Приведенные вами команды запрашивают время с контроллера домена, при этом, запрос с недоменных компьютеров получает ошибку доступа. Это нормально.

    Но если прописать NtpServer в реестре недоменного компьютера (или через w32tm /config /syncfromflags:manual /manualpeerlist:IP_of_DC) , то выполнение команды w32tm /resync  происходит успешно - синхронизация с контроллером выполняется (только что проверил специально).

    При прописывании ntp сервера у вас проходит синхронизация? Если нет - какая ошибка? Выложите результаты w32tm /query /configuration и w32tm /query /status.


    Спасибо. Проверю этот вариант в понедельник. Но почему тогда недоменные железки (принтеры, свитчи, ESXi-хосты и т.п.) не могут взять время с контроллеров домена и как сделать чтобы смогли? С других источников они синхронизируются без проблем.