Проблема времени домена, сервер-клиенты

Я бы не стал использовать DHCP для настройки источников времени для членов домена Active Directory.

Рядовые серверы и рабочие станции должны синхронизировать время с контроллером домена, а не с внешним источником времени:

Настройте клиентский компьютер для автоматической синхронизации времени домена
http://technet.microsoft.com/en-us/library/8990703a-a197-4717-b6e5-b7406d9f91f0

w32tm /config /syncfromflags:domhier /update 
net stop w32time & net start w32time  

Эту конфигурацию можно указать в групповой политике.

Для отображения статуса службы времени:

w32tm /query /status /verbose  

Ваш DC также должен рекламироваться как сервер времени. Чтобы отобразить статус рекламы сервера времени на вашем DC:

C:\ nltest /server:win2008r2addc1 /dsgetdc:contoso.com

           DC: \\WIN2008R2ADDC1.contoso.com
      Address: \\192.168.135.133
     Dom Guid: 0db7aee9-a93c-4f26-bed6-ee9894886573
     Dom Name: contoso.com
  Forest Name: contoso.com
 Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS

Обратите внимание на флаг TIMESERV, который указывает, что ваш DC объявляется как сервер времени. Если это роль эмулятора PDC корня леса, он также будет иметь флаг GTIMESERV. Эмулятор PDC корня леса — единственный компьютер, который должен синхронизироваться с внешним источником времени.

Пример настройки эмулятора PDC корня леса с источником NIST NTP:

 w32tm /config /manualpeerlist:time.nist.gov /syncfromflags:manual /reliable:yes /update 

Настройте службу времени Windows на эмуляторе PDC в корневом домене леса.
http://technet.microsoft.com/en-us/library/ce8890cf-ef46-4931-8e4a-2fc5b4ddb047

Параметры групповой политики службы времени Windows
http://technet.microsoft.com/en-us/library/cc773263%28v=ws.10%29.aspx#w2k3tr_times_tools_vwtt

• Удалите весь мусор из параметров DHCP.
• Очистите все настройки конфигурации Windows Time, которые вы сделали на ПК. Чтобы сбросить службу времени до заводских настроек:
  • net stop w32time
  • w32tm /unregister
  • w32tm /register
  • net start w32time
• Если какие-либо из машин являются виртуальными, то либо убедитесь, что синхронизация времени отключена в службах интеграции гостевых виртуальных машин, либо убедитесь, что время на гипервизоре установлено правильно.

Хорошо, начнем...

На вашем контроллере домена

Корневой PDCE вашего леса должен синхронизироваться с внешним источником времени:

w32tm /config /manualpeerlist:"0.us.pool.ntp.org" /reliable:yes /update

Просмотрите журналы на контроллере домена и убедитесь, что с сервера NTP поступают достоверные данные о времени.

w32tm /query /peersподтвердит, с каких NTP-серверов вы получаете данные о времени.

Все остальные контроллеры домена должны быть установлены на настройку синхронизации времени NT5DS. Должно быть толькоодинединственная машина во всем вашем лесу, которая синхронизируется с внешней службой времени, и это ваш корень леса PDCE.

На вашем ПК

Все, что вам нужно сделать, это отменить регистрацию и повторно зарегистрировать w32time, как я показал выше. Поведение по умолчанию для клиентских ПК заключается в использовании настройки "NT5DS" или "Domhier", что вам и нужно. Это означает, что они инстинктивно знают, что нужно получать данные синхронизации времени от своих контроллеров домена. Вы можете использовать w32tm /query /configurationдля проверки того, что они находятся в режиме NT5DS, а не в режиме NTP.

Если все остальное работает как надо, то это все. Если у вас есть какие-то другие проблемы, то вам придется предоставить гораздо больше подробностей. Нам понадобятся события журнала и весь этот вывод w32tm от вас.