В чем проблема с запретом изменения времени в домене 2012r2?

Question

[nfire]

Устанавливаю новый домен в новом лесу. Все с нуля, все новое.
После добавления компьютера в домен, в компьютер невозможно зайти, ругается что время не синхронизировано с доменом. Причем нельзя зайти ни под локальной учеткой, ни под учеткой админа домена. Время и часовые пояса синхронизированы. На некоторые компьютеры можно зайти под учеткой админа домена и после этого уже можно заходить и пользователю, но на некоторых не пускает вообще ни под кем. Можно зайти только в безопасном режиме.
Если зайти все же удается, то время изменить нельзя вообще никому. Под учеткой пользователя понятно, но не дает изменить даже админу домена.
Да, возможно проблема в настройках безопасности, но все ставилось с нуля, никакие дефолтные политики не изменялись. На компьютерах пользователей XP.
Собственно вопрос как побороть? И почему нельзя зайти даже под локальным админом?
upd. Домен в виртуалке. 2012r2, гипер-в.
upd. Проблема только с ХР. 7 и выше подключаются без проблем.
Проблема оказалось в неверной дате на контроллере домена. Вопрос почему нельзя было зайти даже под локальным админом и админом домена остается открытым.

Comments

[Сергей Ковалёв]

У Вас КД случайно не в виртуальной машине находится?

[nfire]

Сергей Ковалёв: Естественно в ней.

[Сергей Ковалёв]

nfire: а вы убрали опцию, что бы хост не выставлял время на гостевой системе? :)

[nfire]

Сергей Ковалёв: Ах тыж, мать-перемать. Щас проверю.

Answer 1

[Сергей Ковалёв]

Когда КД виртуализован:

- В настройках виртуальной машины должено быть указано, что бы виртуальная машина всегда стартовала.

- Должна быть отключена синхронизация времени (хост не должен задавать время на виртуальной машине с ролью контроллера домена)

- Контроллер домена должен синхронизироваться с внешним NTP сервером. В виртуальной среде поправки таймера на физику сервера не действуют.

Comments

[nfire]

Синхронизацию убрал, чуть позже проверю помогло ли.
Просто слежу еще за 2 доменами на виртуалках и там ничего похожего не возникало. Правда они на 2008r2. Все заводилось с полпинка: далее-далее и готово.

[Сергей Ковалёв]

время может на хосте прыгать, он за собой КД дергает, это часто встречается, если хостом обычный ПК. батарейка на матери сдыхает и время начинает скакать при выключениях. были случаи когда гнал ntp сервер с которым синхронизировался хост, а тот в свою очередь дергал КД

[nfire]

Да, все нормализовалось. Надо будет на какиенить курсы по виртуализации съездить, метод научного тыка начинает надоедать.

[nfire]

Сергей Ковалёв: не помогло. Оказалось, что клиенты с 7 и выше подключаются без проблем. Все вышеописанные проблемы только в ХР.

[Сергей Ковалёв]

nfire: на ХР все обновления стоят? что в event viewer пишется?

[nfire]

Сергей Ковалёв: Все оказалось гораздо интересней. Дата на контроллере домена была 6 ноября. С какого перепугу она сбросилась на неделю назад - загадки лесной полянки. Поменял на сегодняшнюю - все нормализовалось.
Хотя почему нельзя было зайти даже под локальным админом и админом домена - вопрос интересный.