Use the UTM as an NTP server

no point your AD machine to the firewall..then the other machines in your domain will synch from the DC.  I have my host mahcine(which is a AD DC) synching to my firewall(UTM) and then the other DC and the rest of the workstations synch to that automatically.  NO NAT needed.

First, locate your PDC Server. Open the command prompt and type: C:>netdom /query fsmo
Log in to your PDC Server and open the command prompt.
Stop the W32Time service: C:>net stop w32time
Configure the external time sources, type: C:> w32tm /config /syncfromflags:manual /manualpeerlist:”ip of your firewall”
Make your PDC a reliable time source for the clients. Type: C:>w32tm /config /reliable:yes
Start the w32time service: C:>net start w32time
The windows time service should begin synchronizing the time. You can check the external NTP servers in the time configuration by typing: C:>w32tm /query /configuration
Check the Event Viewer for any errors.

I did that, but when I try to sync my MS Windows machines, they fail. The only way I got it to work is to enable NAT to redirect all requests. I could go and change the settings on all the machines, but using NAT seems like the easiest/fastest route.

if the systems are standalone then yes you have to modify each one...using nat is going to cause other routing issues.  Just point the time client directly at your firewall ip it will work.  If it fails then you have a misconfiguration somewhere as i have done both ways and they work fine without NAT.

Has anyone else the problem that the UTM is running out of time-sync since the utm releases in this year?
We have updated to the actual firmware yesterday morning and the utm is synching with the x.ch.pool.ntp.org-servers and the time offset is now 29 seconds.
I think that's a littlebit to much.

Has anyone else the problem that the UTM is running out of time-sync since the utm releases in this year?
We have updated to the actual firmware yesterday morning and the utm is synching with the x.ch.pool.ntp.org-servers and the time offset is now 29 seconds.
I think that's a littlebit to much.

I have the utm syncing to the default pool.ntp.org and my offsets are in the milliseconds.  i would try using just pool.ntp.org and see what happens.

Information:
Reported offsets:
158.43.128.33 30s (pool.ntp.org)

The same like before, but maybe it's gonna be "fit it to the right time over some hours"

Information:
Reported offsets:
158.43.128.33 30s (pool.ntp.org)

The same like before, but maybe it's gonna be "fit it to the right time over some hours"

is this a sophos appliance you are running on?  If so get your reseller/support involved you may have a failed bios battery.  If this is your own hardware again check your bios battery...

Thank you for the hint William.
I will do a reboot of the master this night, then we can check if it's really the battery of the  1st node.

That or there's a failure of the rtc on the motherboard....either way if a computer/server/appliance wanders that far on such a regular basis it is almost always a hardware issue...[:)]

We have two ASG425 in a HA-cluster (Hot-standby)
After rebooting the master, the offset is now 2 seconds. I will check the time tomorrow again.

it's still 2 seconds, is that normal or should it be 0 seconds?