- 締切済み
ドメイン環境でのサーバとクライアントの時刻同期
Windows Server 2008 R2をADサーバとし、Windows7をクライアントする環境で使用しています。 で、通常、ドメイン環境ではクライアントの時刻はサーバに同期すると思うのですが、なぜかされていません。 いろいろ調べてみたのですが、いまいち分からず。 ポリシーの設定は、フォルダーのリダイレクトくらいしか設定しておらず、ユーザ権限などは一切いじっていません。 しかし、 net timeコマンドで強制的に同期させようとしましても、 ---- システム エラー 1314 が発生しました。 クライアントは要求された特権を保有していません。 ---- と表示されて同期出来ません。 どのあたりに原因がありそうか、心当たりのある方はいらっしゃいませんでしょうか。 よろしくお願いいたします。
- Gotz
- お礼率30% (3/10)
- Windows 7
- 回答数4
- ありがとう数3
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- foitec
- ベストアンサー率43% (1079/2453)
それでは・・・ >クライアントは要求された特権を保有していません。 同期できないクライアントPCに管理者権限のあるアカウントでログオンした場合 ドメインコントローラとの時刻の同期は行えますか? まさかとは思いますが ドメインのポリシーでまたはドメインコントローラのローカルポリシーで ¥DomainUsersに対しシステム時刻の変更の権利を奪っていませんか?
- foitec
- ベストアンサー率43% (1079/2453)
ANo2です >C:\Users\****>w32tm /resync >再同期コマンドをローカル コンピューターに送信しています >次のエラーが発生しました。 アクセスが拒否されました。 (0x80070005) 参照先NTPサーバから取得した時刻サンプルが古いなどの理由で信頼性がない場合、同期に失敗することがあります。 なのでその場合は w32tm /resync /rediscover を使用してください。 また、/computerオプションを使ってほかのNTPサーバに接続して時刻同期を行わせることもできます。 例えば w32tm /resync /computer:dc01 (例として接続先のドメインコントローラをdc01とした場合です) w32tm /stripchart /computer:ntp.nict.jp でもOKですね。 さて、UDP123の開放は Server 2008 の「セキュリティの強化されたWindpowsファイァーウォール」の送新と受信のそれぞれの設定で行いますが間違いないですか?
補足
ご回答ありがとうございます。 ご案内頂いたw32tmコマンド w32tm /resync /rediscover w32tm /resync /computer:dc01 については、 w32tm /resync と状況は変わりませんでした。(アクセス拒否) 「セキュリティの強化されたWindowsファイアウォール」もチェックしましたが、送受信いずれもUDP123は解放されております。 どこかのポリシー関係でしょうか……
- foitec
- ベストアンサー率43% (1079/2453)
>通常、ドメイン環境ではクライアントの時刻はサーバに同期すると思うのですが サーバーではなくそのクライアントがログオンしている「ドメインコントローラ」に同期します。 さて、 ドメインコントローラーがNTPサービスを提供していますか? まずNTPサービスを提供するドメインコントローラの 「ローカル グループポリシー」エディターで タイムプロバイダーのWindows NTPサーバを有効にしておく必要があります。 その後、ドメインコントローラの Windows Time を「自動(遅延開始)」にしておく必要があります。 ドメインコントローラのファイァーウォールでNTPプロトコルを許可していますか? クライアントからの要求に対し禁止していませんか? UDP 123のポートですね。 またドメインコントローラーとクライアントのそれぞれの時刻に5分以上の差異があると同期しません。 予めクライアントの時刻を合わせておきましょう。 > net timeコマンドで強制的に同期させようとしましても すでに回答がある通り特権で打つコマンドです。 しかしながらドメイン内でクライアントの同期は w32tm /resync です。 ちなみに net time のみを打てば現在同期しているドメインコントローラの時刻が表示されます。 これが表示されなければドメインコントローラとの間に時刻同期が行われていません。
補足
ご回答頂きありがとうございます。 順を追って確認させて頂きます。 >タイムプロバイダーのWindows NTPサーバを有効にしておく必要があります。 こちらは確認しました。いずれも有効になっておりました。 >ドメインコントローラの Windows Time を「自動(遅延開始)」にしておく必要があります。 こちらも「自動(遅延開始)」になっており、「開始」状態になっています。 >ドメインコントローラのファイァーウォールでNTPプロトコルを許可していますか? ファイアウォールでの制限はかけていません。Windows Firewallも無効になっています。 >ドメインコントローラーとクライアントのそれぞれの時刻に5分以上の差異があると同期しません。 こちらも確認済みです。 --------------------------------------------------------- C:\Users\****>w32tm /resync 再同期コマンドをローカル コンピューターに送信しています 次のエラーが発生しました。 アクセスが拒否されました。 (0x80070005) C:\Users\****>net time \\hogeserver の現在の時刻は 2013/02/08 9:38:26 です コマンドは正常に終了しました。 --------------------------------------------------------- こんな感じです。 --------------------------------------------------------- C:\Users\****>w32tm /monitor hogeserver.hogedomain.local *** PDC ***[192.168.1.hoge:123]: ICMP: 0ms 遅延 NTP: +0.0000000s hogeserver.hogedomain.local の時刻からのオフセット RefID: ntp-b3.nict.go.jp [133.243.238.164] 階層: 2 警告: 逆名前解決が最適な方法です。タイム パケット内の RefID フィールドは NTP 実装間で異なっており、IP アドレスを使用していない場合があるため、名前が正しくない可能性があります。 --------------------------------------------------------- また、こんな感じで一応DCを認識はしているようではあるのですが……
- matyu1003
- ベストアンサー率42% (257/598)
net time コマンドは、スタートメニューの「プログラムとファイルの検索」ではなく、コマンドプロンプトを「管理者として実行」で開いて実行してみて下さい。 あとは、サーバとクライアントともにWindows Timeサービスが開始されているかを確認する、ぐらいしか思いつきません。
補足
ご回答、ありがとうございます。 たしかに、管理者としてコマンドプロンプトを実行した上で、試してみたら実行は出来ました。 --------------------------------------------------- C:\windows\system32>net time \\sv-mg01 /set /yes \\****** の現在の時刻は 2013/02/08 9:41:17 です コマンドは正常に終了しました。 --------------------------------------------------- 一応、手動では出来た、ということなのでしょうが、毎回手動というわけにはいかないので…… もちろん、サーバ、クライアントともにWindows Timeサービスは動いております。 ※いずれも「開始 自動(遅延開始)」になっています。
関連するQ&A
- AD環境でのクライアント時刻同期
Windows2003サーバでのAD環境で、クライアントはXP Proです。 ドメインに参加しているクライアントで、時刻がずれているものがあり、いろいろと調べてみました。 クライアントPCのコマンドプロンプトで、net time /setを実行したところ、同期すべき先が ドメインコントローラではなく、別のサーバになっていることがわかりました。 本来はドメインコントローラーと同期させたいのですが、別のサーバになっていたために、 グループポリシーオブジェクトエディタでの該当箇所(と認識していますが) コンピュータの構成-管理用テンプレート-システム-Windowsタイムサービス-タイムプロバイダを 確認しましたが、3項目とも未構成でした。 という状況の中で、なぜ各クライアントの同期先が別サーバになっているかがわかりません。 同期先をドメインコントローラーにしたいのですが、どのようにしたらよいでしょうか? 確認すべき箇所や変更する方法等アドバイスいただけたら幸いです。 よろしくお願い致します。 ※過去にそういう設定をしたのかもしれないのですが、ドメインコントローラーの管理を引き継いだので、いままでの経緯がわからないのが現状です。
- ベストアンサー
- Windows系OS
- グループポリシーの適用が出来ない
グループポリシーの適用について教えて下さい。 現在、Windows2003でアクティブディレクトリによるドメイン管理の環境を構築しているのですが、クライアントの時刻をログオン時にサーバー(ドメインコントローラー)の時刻と同期させたいのですが上手くいきません。 詳しい環境と条件・現象は以下の通りです。 ・サーバー:Windows2003(ADサーバ1台) ・クライアント:WindowsXP SP2(30台) ・ネットワークは社内で閉じている ・NTPサーバ機能はADサーバのサービス(Windowsタイムサービス)で起動。 ・クライアントのスタートアップにnet timeコマンドで時刻同期するバッチを置く。 ・ADのGPMCでデフォルトドメインポリシーの「コンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割り当て - システム時刻の変更」を有効にしてグループ「everyone」を追加。 ・ログイン時にバッチが走るが「クライアントは要求された特権を保有していません」と表示され同期できない。 ・ドメインユーザアカウントに「domain admins」グループ追加すれば成功。(当然だが) 何か設定漏れがあるんでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- サーバーとクライアントの時刻がずれる
server windows NT4.0 sp6 クライアント windows2000pro ドメイン管理してます 現状、サーバーの時刻とクライアントの時刻が日々少しずつずれてきます クライアントは毎日OSの再起動しています 再起動時にサーバーの時刻を取得するようにすることは可能でしょうか? もしくは、時刻がずれないようにすることは可能でしょうか? 以上、初歩的な質問で申し訳ございません よろしくお願いいたします
- ベストアンサー
- Windows系OS
- Windows 2003ドメイン内での時刻同期
数台のサーバー(Windows Sserver 2003)で一つのドメインを構成しております。 そのドメイン内で時刻同期ができなくなりました。 ドメイン内であれば自動で同期するはずなのですが、何か対応方法がございましたら、ご教示お願い致します。 レジストリについてはできれば直接入力による変更は避けたいと考えております。 何か怖いので。 [現在の構成] 外部ルーター(NTPサーバー)-ドメコン(NTPクライアント) ↑同期してます。 ドメコン(NTPサーバー)×ドメイン内サーバー(NTPクライアント) ↑同期しておりません。 [以前の構成] ドメコン(NTPサーバー)-ドメイン内サーバー(NTPクライアント) ↑たぶん同期していたと思います。。 [試したこと] ・レジストリ値の確認 Type、NtpServer、SpecialPollInterval ・コマンド実行 />w32tm /config /manualpeerlist:ntp.jst.mfeed.ad.jp,0x8 /syncfromflags:MANUAL />net stop w32time />net start w32time />w32tm /resync 以上、宜しくお願い致します。
- 締切済み
- Windows系OS
- ドメイン環境でのIE設定について
windows server2008 r2のドメイン環境で、クライアントPCでwebアプリケーションが作動しません。 ローカルPCで使用すると作動します。共に、管理者権限でログインしています。サーバのグループポリシーでIEの設定を変更する必要があるのでしょうか?また、あるとすれば、どのあたりのポリシーを変更すればよいのか、教えていただけませんか? よろしくお願いします。
- 締切済み
- Windows系OS
- FSMOの時刻同期設定について
FSMOと子ドメインサーバと時刻同期ができずに困っています。 環境は下記のとおりです。 FSMO : Windows Server 2008 R2 Standard 子ドメイン : Windows Server 2008 R2 Standard クライアント : Windows 7 Professional 現在、2台のドメインコントローラーの構成で構築しており、 そのうちFSMOから別のNTPサーバへ時刻同期設定を行おうと思い、 FSMOで下記コマンドを実行しました。 【実行コマンド】 w32tm /config /manualpeerlist:<NTPサーバのIPアドレス>,0x1 /syncfromflags:manual w32tm /config /update 参照URL : http://www.atmarkit.co.jp/fwin2k/operation/winntp01/winntp01_03.html 実行後、w32tm /query /status で確認すると、 FSMOに設定は入っているように見えましたが、 子ドメインサーバの設定がローカルクロックを見るような設定になってしまっており、 FSMOと時刻同期しなくなってしまいました。 子ドメインがFSMOへ時刻同期されなくなってしまった原因がわからず、 あと、調査方法などもわからなかったので、質問させてもらいました。 調べ方、原因などをご存じなかたがおられましたら教えてください。 以上、よろしくおねがいします。
- 締切済み
- Windows系OS
- ドメイン参加時の時刻同期間隔設定について
Active Directory環境にて、ドメイン参加時の時刻同期は、 NTPサーバではなくドメインコントローラを見に行くと聞いています。 既存環境にサーバを新規に追加するとして、そのサーバ上で ドメインコントローラへの時刻同期間隔を設定することは 可能でしょうか? ■やりたいこと ・ドメインコントローラ、もしくはNTPサーバへの 時刻同期間隔を24時間としたい ■OS ・Windows Server 2003 R2 sp2 ■その他 ・同ドメイン上にNTPサーバも存在しています。 以上よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- 時刻の同期について
お世話になります。 Windows Server 2012 R2のActiveDirectoryに参加している Windows 10 Pro 64bitクライアントの時刻を Windows Server 2012 R2の時刻に自動で合わせたいのですが どのようにすればよいでしょうか。 ちなみにWindows 8.1クライアントは同期しているのでが・・・ Windows 10は仕様がちがうのでしょうか。
- ベストアンサー
- Windows系OS
- クライアントPCの時刻を自動でサーバ時刻に合わせたい
社内のサーバやらPCやらの管理を任されたのですが SEではありませんし、PCユーザーに毛が生えたような にわか管理者です。 社内ではWindowsPC,Windowsサーバーをドメインで管理しています。(ActiveDirectoryというのでしょか) クライアントはWindows2000、WindowsNTで、 サーバーはWindows2000サーバーです。 各クライアントPCを使用者がログインした際に バッチファイルか何かで、使用者は何もしなくても 社内サーバーに時刻を合わせに行くようにしたいのです。 あと、使用者は各クライアントPCにログインできますが、 アドミニストレータ権限はなく、通常は自分で時刻調整ができません。 どのようにしたら良いか、どなたか教えてください。
- ベストアンサー
- その他(ITシステム運用・管理)
- windowsサーバをドメインから外すことの影響
現在ドメイン管理されているwindowsサーバ(2008,2012)があります。 このサーバたちのシステム時刻を過去日付に変更したいと考えています。 AD自体の時刻をいじることはできません。 ・ADにドメイン管理されたままで、時刻同期を止めることはできますでしょうか ・出来ない場合、MSFC/SQLServerなどが稼働しているのですが、ADからこのサーバを外すことはできるのでしょうか。
- ベストアンサー
- その他(Windows)
補足
ご回答ありがとうございます。 まず、通常ユーザで管理者権限でコマンドプロンプトを立ち上げ、同期させてみると… ========================= C:\windows\system32>w32tm /resync 再同期コマンドをローカル コンピューターに送信しています 時刻データが利用できなかったため、コンピューターは同期をとり直しませんでした。 ========================= このように表示され、時間がかかったのでタイムアウトしているような感じでした。 DomainのAdministratorでログインして実行しても同様でした。 ちなみに、記憶では、ポリシーではフォルダリダイレクトくらいしか設定していないのですが、具体的にどこでそのような制限をかけるのでしょうか? 質問だらけで大変申し訳ございません。 補足:ちなみに、アップデート系が面倒なので、DomainユーザにローカルのPCのAdministrator権限を付与しています。