您好,用戶都是dhcp抓的,都是指向這台沒錯

因為現在不在公司,無法查看,

但印像中事件裡確有時間的問題

想請問一下應該如何做呢?

另可否請您解釋一下,為何時間沒同步會造成無法登入呢,

整個 Active Directory 的設計基礎, 是基於兩大元件: AD整合式DNS 和 全域時間同步. 所以這兩個因素若是少了一個, 都會造成 AD 環境的混亂.

很多人不清楚, 為何時間對 AD 如此重要? 主要是因為 AD 架構中, 使用 Kerberos v5 這個驗證協定, 而 Kerberos v5 是非常依賴雙方的時間同步, 因為 Kerberos 會在雙方交換驗證的 TGT (Ticket-Granting Tickets) 上面, 打上時間戳記, 如果時間差距太大, 就會無法進行驗證, 這是為了避免中間有駭客攔截封包, 然後再假造封包去通過驗證. 目前可容許的時間誤差是 5 分鐘.

關於微軟的 Kerberos v5 請參考:
TechNet: Kerberos V5 驗證

因時間造成無法登入的問題, 從最初引進 AD 的 Server 2000 就已經存在, 請參考:
KB 232386: 如果不同步的時間和日期不能登入

您可以在 Client 端的電腦上, 先用 Local administrator 的身分登入, 然後透過:

<pre class="c" name="code">net time /domain:<your domain> /set

這個指令, 先向 DC 取得時間的同步, 之後再登出, 重新以 Domain User 身分登入即可....