[Warvar2]

Не написали какие ОС стоят на клиентских компах. Много недостающей исходной инфы. Раньше все было ок? Похожая ситуация была на практике, когда попал в сеть вирус кидо. Ну и судя по диагностике, у вас с сервером времени не лады большие, может вызвать кучу проблем, изучите вопрос, как это дело настраивается.

[walcot]

Раньше всё было ок, от кидо уже давно была придумана заплатка от MS, да и антивирусник работает на сервере.
На компах в основном XP SP3, есть и семёрки, но на них таких ошибок не бывает. Эта ошибка с временем не постоянная, иногда может не показаться.
Заметил вот ещё что:
В сети есть ещё сервак с керио - он не в домене. На нём альтернативным ДНС-ом прописан наш контроллер домена. После того как делаю dcdiag /test:dns, в логах появляются 2 ошибки:

Тип события: Ошибка
Источник события: DCOM
Категория события: Отсутствует
Код события: 10009
Дата: 18.05.2015
Время: 8:07:53
Пользователь: Н/Д
Компьютер: MYDOMAIN
Описание:
Не удалось установить связь DCOM с компьютером 193.232.248.45 через один из настроенных протоколов.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

И 2-я ошибка такая же, но с IP 82.209.253.2
Это DNS адреса нашего провайдера. На контроллере домена указан только 1 днс - свой IP.

[winbond]

Похоже что из-за рассинхронизации времени (Kerberos от корректного зависит). Сверьте часики на клиентах и DC.
w32tm /monitor - проверка состояния времени на DC

Также может пригодится:

Код:

w32tm /config /syncfromflags:manual /manualpeerlist:"ntp.mobatime.ru ru.pool.ntp.org" /reliable:yes /update
net stop w32time
net start w32time

Конфигурирует службу времени PDC на синхронизацию с двумя внешними источниками (можете подставить свои при желании, должен быть разрешен к ним NTP на файрволле) и помечает её как надежную. Затем рестарт службы.
Справка по ключам w32tm

[walcot]

Что самое интересное, что у многих клиентов и вовсе отключена служба синхронизации, и всё вроде неплохо работало. Провёл ещё test:dns - ругнулось на dns нашего провайдера 82.209.253.2. Решил его удалить из вкладки "Пересылка" в настройках днс сервера, вчера заметно лучше работал домен, правда 1 машина по-прежнему отваливалась - вернее по сети доступ был (раньше отлетала напрочь), но принтер, который к ней подключен, становился недоступным.
Объясню как проверяю доступность: если заходить на машину по имени - пускает, по IP - ругается на проблемы с сетью. Казалось бы копать в сторону DNS, но куда копать, если тесты ничего не показывают.

[winbond]

Цитата walcot:

и всё вроде неплохо работало »

Оно и должно неплохо работать, пока расхождение времени клиента/рядового сервера со временем на DC не превысит 15 минут (по умолчанию).
Служба времени - одна из основных служб АД, и должна работать всегда максимально корректно. С неправильно настроенным DNS и то меньше проблем возникнет.

[walcot]

winbond, хотите сказать, что если хоть на 1-м компе будет кривое время - валится весь домен? Время проверял, макс разбежка была в 4 мин. На DC иногда в логах появляется ошибка W32Time ID 50, появлятся начала с конца прошлого года.

W32Time 50

Тип события: Предупреждение
Источник события: W32Time
Категория события: Отсутствует
Код события: 50
Дата: 21.05.2015
Время: 1:28:24
Пользователь: Н/Д
Компьютер: MYDOMAIN
Описание:
Службой времени обнаружена разница во времени, превышающая 128 мс для 90 секунд. Эта разница во времени может быть вызвана синхронизацией с неточными источниками времени или определенными условиями в сети. Служба времени не синхронизируется и не может предоставлять время другим клиентам и обновлять системные часы. Когда от поставщика службы времени будет получен действительный штамп времени, служба времени скорректирует свое время.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

[winbond]

Цитата walcot:

если хоть на 1-м компе будет кривое время - валится весь домен? »

Да, если этот компьютер - PDC. Так как он должен регистрировать себя как источник точного времени для всего домена. Если он нормальное время не получит, то вы получите ворох доменных багов.

Проверьте связь DC с его источником времени.
DC виртуальный или железный? Если виртуалка, то проверьте что выключена синхронизация с временем хоста в настройках ВМ.
ID 50

[walcot]

winbond, dc железный, PDC поднят на dc, возможно и правду сервер иногда не может получить время, буду разбираться, спасибо за советы.

P.S. Может подсобите ещё и с http://forum.oszone.net/thread-298335.html ?

[winbond]

Проверьте разрешен ли NTP для DC из внешки. Может файрволл (Kerio?) запрещает.

На PDC (PDC = Primary DC, если DC у вас один, то он же и PDC автоматом) попробуйте сделать:
w32tm /unregister
w32tm /register
и рестартануть службу времени. 1я команда сбрасывает настройки службы, 2я регистрирует её обратно со стандартными дефолтными параметрами. Затем применить, то что я выше писал (настройка на конкретные источники). Ну и напоследок прогнать dcdiag снова.

P.S. На тех 2х компах возможно стоит проверить дату/время в BIOS и акк на мат.плате. Может уже пора менять, время ночью на заводское сбрасывается.