17
W2K3 R2 Zeitserver auf einen DC(PDC Emulator) umziehen.
Hallo,
betreue seid kurzen eine 2003 R2 Domain mit zwei Domainencontroller und etwa 12 Memberserver. Ich muss jetzt den Zeitserver von dem einen Domainencontroller auf den anderen Controller, der die RID und PDC Emulator Betriebsmasterrollen trägen, bringen. Habe noch nie so eine Aktion gemacht und weiß echt nicht wie ich das anstellen soll. Könnte Ihr mir helfen.
Mit dem Befehl: (Server der Physikalisch-Technische Bundesanstalt soll die Zeitquelle sein)
w32tm /config /syncfromflags:manual /manualpeerlist:ptbtime1.ptb.de /update /reliable:YES
kann ich einen PDC Emulator als Zeitserver mit externer Zeitquelle einrichten. Ist das richtig?
Wie macht ich den jetztigen Zeitserver DC klar, dass er kein Zeitserver mehr ist?
Und wie kann ich den Memberservern und den Clients beibringen, dass es einen anderen DC als Zeitserver gibt?
Danke euch.
waterfall
w32tm /config /syncfromflags:manual /manualpeerlist:ptbtime1.ptb.de /update /reliable:YES
kann ich einen PDC Emulator als Zeitserver mit externer Zeitquelle einrichten. Ist das richtig?
Wie macht ich den jetztigen Zeitserver DC klar, dass er kein Zeitserver mehr ist?
Und wie kann ich den Memberservern und den Clients beibringen, dass es einen anderen DC als Zeitserver gibt?
Danke euch.
waterfall
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 170301
Url: https://administrator.de/contentid/170301
Printed on: April 26, 2024 at 01:04 o'clock
17 Comments
Latest comment
Hallo.
Ein einfachsten führe es durch wie in diesem HowTo beschrieben - http://www.gruppenrichtlinien.de/index.html?/howto/zeitserver_per_gpo.h ...
LG Günther
Ein einfachsten führe es durch wie in diesem HowTo beschrieben - http://www.gruppenrichtlinien.de/index.html?/howto/zeitserver_per_gpo.h ...
LG Günther
Hallo Günther,
klar, hast du recht, mit einer GPO könnte ich das auch machen. Aber was ist mit dem jetzigen Zeitserver, muss der nicht deaktiviert werden?
Habe noch eine Firewall und ein VPN Gateway von der Firma SonicWal,l die auch auf den DC Zeitserver hören. Hier müsste man noch die Adressen der Zeitserver von Internet eintragen können. Was meinst du dazu?
Dank dir´.
waterfall
klar, hast du recht, mit einer GPO könnte ich das auch machen. Aber was ist mit dem jetzigen Zeitserver, muss der nicht deaktiviert werden?
Habe noch eine Firewall und ein VPN Gateway von der Firma SonicWal,l die auch auf den DC Zeitserver hören. Hier müsste man noch die Adressen der Zeitserver von Internet eintragen können. Was meinst du dazu?
Dank dir´.
waterfall
Moin
Mal ein wenig grundsätzliches: Es gibt einen Server, der den Rechnern in der Domäne die gültige Uhrzeit zur Verfügung stellt. Das ist normalerweise der PDC-Emulator. (Man kann diese Funktion zwar durch entsprechende Konfiguration vom PDC-Emulator entfernen, aber ich glaube nicht, dass das dein Anliegen ist - im" Verkonfigurieren" des Zeitdienstes in der Domäne liegt kaum ein Segen...) Wenn du Die FSMO-Rolle von einem Server auf einen anderen verschiebst, dann wandert diese Funktion für die Clients mit.
In dem von Günther verlinkten Artikel wirst du bei der ensprechenden Richtlinie auch keine Serverkonfiguration finden. Der Eintrag NT5DS bedeutet, dass die Zeitsynchronisation nach der gültigen Domänenkonfiguration erfolgt (eben vom PDC-Emulator)
So wie ich das verstehe, hast du bislang einen anderen als den PDC-Emulator extern synchronisiert. Aus o.g. Gründen ist das (im Standard) keine gültige funktionierende Konfiguration.
Die Lösung über eine Gruppenrichtlinie mit WMI-Filter bringt dir auf Dauer den Vorteil, dass du niemals mehr Hand anlegen musst, solltest du noch einmal auf die Idee kommen den PDC-Emulator zu verschieben. Bei einer einmaligen Aktion lässt sich die Konfiguration auch händisch durch Bearbeiten der Registrierung ändern.
Das ist "Teil 2" der Richtlinienerstellung. Damit sagts du dem Server, der jetzt noch extern synchronisiert, dass er es in Zukunft doch bitteschön wieder von der internen Zeitquelle der Domäne tun möge. Das ist für die Clients in der Domäne die Standardeinstellung, die hier aber noch einmal durchgesetzt wird. Um eben auch bei deinem jetzigen Zeitserver die Konfiguration entsprechend zu ändern.
Da diese Geräte nicht Teil der Domäne sind, ist das im Grunde genommen egal. Da sie aber oftmals selber als NTP-Server fungieren können, kannst du dir in diesem Fall überlegen, ob du deinen Server nicht extern im Internet synchronisiert, sondern als externe Zeitquelle die Firewall angibst.
Gruß
Hubert
edit: doch - im zweiten Teil der Richtlinei steht natürlich die Möglichkeit zur Verfügung, den Namen eines externen Zeitservers anzugeben. Diese Einstellung wird aber durch das Setzen von NT5DS nicht beachtet.
ich muss jetzt den Zeitserver von dem einen Domainencontroller auf den anderen Controller, der die RID und PDC Emulator Betriebsmasterrollen trägen
Mal ein wenig grundsätzliches: Es gibt einen Server, der den Rechnern in der Domäne die gültige Uhrzeit zur Verfügung stellt. Das ist normalerweise der PDC-Emulator. (Man kann diese Funktion zwar durch entsprechende Konfiguration vom PDC-Emulator entfernen, aber ich glaube nicht, dass das dein Anliegen ist - im" Verkonfigurieren" des Zeitdienstes in der Domäne liegt kaum ein Segen...) Wenn du Die FSMO-Rolle von einem Server auf einen anderen verschiebst, dann wandert diese Funktion für die Clients mit.
In dem von Günther verlinkten Artikel wirst du bei der ensprechenden Richtlinie auch keine Serverkonfiguration finden. Der Eintrag NT5DS bedeutet, dass die Zeitsynchronisation nach der gültigen Domänenkonfiguration erfolgt (eben vom PDC-Emulator)
So wie ich das verstehe, hast du bislang einen anderen als den PDC-Emulator extern synchronisiert. Aus o.g. Gründen ist das (im Standard) keine gültige funktionierende Konfiguration.
Die Lösung über eine Gruppenrichtlinie mit WMI-Filter bringt dir auf Dauer den Vorteil, dass du niemals mehr Hand anlegen musst, solltest du noch einmal auf die Idee kommen den PDC-Emulator zu verschieben. Bei einer einmaligen Aktion lässt sich die Konfiguration auch händisch durch Bearbeiten der Registrierung ändern.
Aber was ist mit dem jetzigen Zeitserver, muss der nicht deaktiviert werden?
Das ist "Teil 2" der Richtlinienerstellung. Damit sagts du dem Server, der jetzt noch extern synchronisiert, dass er es in Zukunft doch bitteschön wieder von der internen Zeitquelle der Domäne tun möge. Das ist für die Clients in der Domäne die Standardeinstellung, die hier aber noch einmal durchgesetzt wird. Um eben auch bei deinem jetzigen Zeitserver die Konfiguration entsprechend zu ändern.
Habe noch eine Firewall und ein VPN Gateway von der Firma SonicWal,l die auch auf den DC Zeitserver hören. Hier müsste man noch die Adressen der Zeitserver von Internet eintragen können. Was meinst du dazu
Da diese Geräte nicht Teil der Domäne sind, ist das im Grunde genommen egal. Da sie aber oftmals selber als NTP-Server fungieren können, kannst du dir in diesem Fall überlegen, ob du deinen Server nicht extern im Internet synchronisiert, sondern als externe Zeitquelle die Firewall angibst.
Gruß
Hubert
edit: doch - im zweiten Teil der Richtlinei steht natürlich die Möglichkeit zur Verfügung, den Namen eines externen Zeitservers anzugeben. Diese Einstellung wird aber durch das Setzen von NT5DS nicht beachtet.
Hallo,
besten Dank Hubert; für deine wirklich ausführlichen Beschreibung.
Habe nach der Beschreibung, die GPO's erstellt. Auf dem PDC Emulator läuft der Zeitdienst super, nur auf den anderen DC wo die ganze Zeit der Zeitdienst gelaufen ist, bekomme ich w32time - Fehlermeldungen.
Event ID 14 Quelle w32time
und
Event-ID 29 Quelle w32time
Wo liegt mein Problem?
Weiß jemand mit welche Befehl ich nachschauen kann, ob jetzt die Server und die Clients von den PDC Emutator die Zeit bekommen?
waterfall
besten Dank Hubert; für deine wirklich ausführlichen Beschreibung.
Habe nach der Beschreibung, die GPO's erstellt. Auf dem PDC Emulator läuft der Zeitdienst super, nur auf den anderen DC wo die ganze Zeit der Zeitdienst gelaufen ist, bekomme ich w32time - Fehlermeldungen.
Event ID 14 Quelle w32time
und
Event-ID 29 Quelle w32time
Wo liegt mein Problem?
Weiß jemand mit welche Befehl ich nachschauen kann, ob jetzt die Server und die Clients von den PDC Emutator die Zeit bekommen?
waterfall
Moin
poste mal die Ausgabe von w32tm /query /configuration und w32tm /query /status
Gruß
poste mal die Ausgabe von w32tm /query /configuration und w32tm /query /status
Gruß
Hallo,
leider kann ich dir keine Ausgabe posten, da immer die Fehlermeldung angezeigt wird, dass w32tm den parameter /query nicht kennt.
Muss noch etwas zur Vorgeschichte des alten Zeitservers sagen.
Unsere Domaine muss wohl in grauer Vorzeit aus einen Domainencontroller bestanden haben. Mein Vorgänger hat dann einen zweiten Domainencontroller aufgesetzt und den RID und PDC Emutator auf diesen übertragen. Hat aber wohl vergessen den Zeitserver mit unzuziehen.
Die Einstellung auf den alten Zeitserver wurden die Einstellungen für den Zeitdienst händisch vorgenommen.
Kennst du einen anderen Befehl damit ich dir die configuration und den status des alten Zeitservers zukommen lassen kann. Der alte DC ist noch unter W2k3 R2 SP2 installiert
Gruß
Waterfall
leider kann ich dir keine Ausgabe posten, da immer die Fehlermeldung angezeigt wird, dass w32tm den parameter /query nicht kennt.
Muss noch etwas zur Vorgeschichte des alten Zeitservers sagen.
Unsere Domaine muss wohl in grauer Vorzeit aus einen Domainencontroller bestanden haben. Mein Vorgänger hat dann einen zweiten Domainencontroller aufgesetzt und den RID und PDC Emutator auf diesen übertragen. Hat aber wohl vergessen den Zeitserver mit unzuziehen.
Die Einstellung auf den alten Zeitserver wurden die Einstellungen für den Zeitdienst händisch vorgenommen.
Kennst du einen anderen Befehl damit ich dir die configuration und den status des alten Zeitservers zukommen lassen kann. Der alte DC ist noch unter W2k3 R2 SP2 installiert
Gruß
Waterfall
Hallo,
habe mal auf meinen Notebook den Befehl w32tm /monitor eingegeben und folgende Ausgabe erhalten.
Domänencontrollerliste wird von der Standarddomäne geladen...
Analyzing: 1 2 -- (0 of 3)
resolving referer 76.79.67.76 (1 of 3)...
resolving referer <IP - Adresse alterZeitserver>[(2 of 3)...
resolving referer 78.46.37.211 (3 of 3)...
<namealterZeitserver>[XXX.XXX.XXX.XXX]:
ICMP: 0ms delay.
NTP: +0.4863874s offset from <nameneuerZeitserver>
RefID: 'LOCL' [76.79.67.76]
<nameeinerunsererDC> [XXX.XXX.XXX.XXX]:
ICMP: 0ms delay.
NTP: +0.4975972s offset from <nameneuerZeitserver>
RefID: <namealterZeitserver>[XXX.XXX.XXX.XXX]:
<nameneuerZeitserver>[* PDC * [XXX.XXX.XXX.XXX]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from <nameneuerZeitserver>
RefID: mail.edv-beratung-meier.de [78.46.37.211]
Was hat diese Ausgabe zu bedeuten? Funktionieren die GPO's jetzt oder nicht?
Würde es was bringen, wenn ich auf den alten Zeitserver (der wahrscheinlich mal die PDC Rolle inne hatte) den Befehl:
w32tm /config /syncfromflags:domhier /reliable:no /update
net stop w32time
net start w32time
ausführte?
Und auf den Client und Memberserver dann den Befehl:
w32tm /config /syncfromflags:domhier /update
net stop w32time
net start w32time
waterfall
habe mal auf meinen Notebook den Befehl w32tm /monitor eingegeben und folgende Ausgabe erhalten.
Domänencontrollerliste wird von der Standarddomäne geladen...
Analyzing: 1 2 -- (0 of 3)
resolving referer 76.79.67.76 (1 of 3)...
resolving referer <IP - Adresse alterZeitserver>[(2 of 3)...
resolving referer 78.46.37.211 (3 of 3)...
<namealterZeitserver>[XXX.XXX.XXX.XXX]:
ICMP: 0ms delay.
NTP: +0.4863874s offset from <nameneuerZeitserver>
RefID: 'LOCL' [76.79.67.76]
<nameeinerunsererDC> [XXX.XXX.XXX.XXX]:
ICMP: 0ms delay.
NTP: +0.4975972s offset from <nameneuerZeitserver>
RefID: <namealterZeitserver>[XXX.XXX.XXX.XXX]:
<nameneuerZeitserver>[* PDC * [XXX.XXX.XXX.XXX]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from <nameneuerZeitserver>
RefID: mail.edv-beratung-meier.de [78.46.37.211]
Was hat diese Ausgabe zu bedeuten? Funktionieren die GPO's jetzt oder nicht?
Würde es was bringen, wenn ich auf den alten Zeitserver (der wahrscheinlich mal die PDC Rolle inne hatte) den Befehl:
w32tm /config /syncfromflags:domhier /reliable:no /update
net stop w32time
net start w32time
ausführte?
Und auf den Client und Memberserver dann den Befehl:
w32tm /config /syncfromflags:domhier /update
net stop w32time
net start w32time
waterfall
So . ein "query" klappt nicht - bei einem Server 2008 geht das ;)
DAs sieht doch eigentlich gut aus - ich habe allerdings immer nur einen Eintrag in der Liste, weil ich da nicht dran rumgespielt habe. Von wo synchronisiert ihr die Zeit ? mail.edv-beratung-meier.de ?
- Wo hast du die Richtlinie erstellt ? Du kannst in der Konsole einen Ergebnissatz für den Computer anfertigen und siehst, ob er die Richtlinie übernímmt
- Verstelle auf einem Client / Server die Uhrzeit um ein paar Minuten und führe w32tm /resync durch
Gruß
<nameneuerZeitserver>[* PDC * [XXX.XXX.XXX.XXX]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from <nameneuerZeitserver>
RefID: mail.edv-beratung-meier.de [78.46.37.211]
ICMP: 0ms delay.
NTP: +0.0000000s offset from <nameneuerZeitserver>
RefID: mail.edv-beratung-meier.de [78.46.37.211]
DAs sieht doch eigentlich gut aus - ich habe allerdings immer nur einen Eintrag in der Liste, weil ich da nicht dran rumgespielt habe. Von wo synchronisiert ihr die Zeit ? mail.edv-beratung-meier.de ?
- Wo hast du die Richtlinie erstellt ? Du kannst in der Konsole einen Ergebnissatz für den Computer anfertigen und siehst, ob er die Richtlinie übernímmt
- Verstelle auf einem Client / Server die Uhrzeit um ein paar Minuten und führe w32tm /resync durch
Gruß
Die eine GPO (für den PDC Emulator) habe ich mit der OU Domänenkontroller verknüpft und das zweite GPO liegt dort wo auch das Default Domain Policy GPO verknüpft ist, auf Domainenebene.
Als NTP Server habe ich pool.ntp.org eingetragen, so wie es in der Howto beschrieben steht.
Habe mich wegen diesen Eintrag (RefID: mail.edv-beratung-meier.de [78.46.37.211]) auch etwas gewundert, sollte vielleicht statt dieser pool.ntp.org einen anderen Zeitdienstanbieter eintragen.
Mein Notebook synchronisiert sich mit dem PDC Emulator, das scheint OK zu sein.
Gruß
Als NTP Server habe ich pool.ntp.org eingetragen, so wie es in der Howto beschrieben steht.
Habe mich wegen diesen Eintrag (RefID: mail.edv-beratung-meier.de [78.46.37.211]) auch etwas gewundert, sollte vielleicht statt dieser pool.ntp.org einen anderen Zeitdienstanbieter eintragen.
Mein Notebook synchronisiert sich mit dem PDC Emulator, das scheint OK zu sein.
Gruß
noch mal ein Tipp:
Konfigurieren eines autorisierenden Zeitservers in Windows Server enthält zwei "Fix it". Villeicht solltest du es einfach damit ausprobieren, wenn das mit der Richtlinie nicht klappt.
Wichtig ist immer, dass du den Dienst neu startest !
Du kannst auch die Synchronisation erinfach überprüfen, indem du die Zeit am Server ein wenig verstellst und w32tm /resync ausführst.
Gruß
Konfigurieren eines autorisierenden Zeitservers in Windows Server enthält zwei "Fix it". Villeicht solltest du es einfach damit ausprobieren, wenn das mit der Richtlinie nicht klappt.
Wichtig ist immer, dass du den Dienst neu startest !
Du kannst auch die Synchronisation erinfach überprüfen, indem du die Zeit am Server ein wenig verstellst und w32tm /resync ausführst.
Gruß
Hi.
Wenn sie wie im HowTo konfiguriert ist, klappt sie immer. Ich habe damit schon komplett vermurxte Domänen wieder sauber hinbekommen.
Zum Überprüfen reicht es den Zeitgeberdienst zu stoppen und dann wieder zu starten. Kurz darauf erscheinen in der Ereignisanzeige Einträge ob und von wem sich der Client / Server die Zeit holt.
LG Günther
wenn das mit der Richtlinie nicht klappt
Wenn sie wie im HowTo konfiguriert ist, klappt sie immer. Ich habe damit schon komplett vermurxte Domänen wieder sauber hinbekommen.
Zum Überprüfen reicht es den Zeitgeberdienst zu stoppen und dann wieder zu starten. Kurz darauf erscheinen in der Ereignisanzeige Einträge ob und von wem sich der Client / Server die Zeit holt.
LG Günther
Wenn sie wie im HowTo konfiguriert ist, klappt sie immer.
das wollte ich auch garnicht bezweifeln
Hallo Günther,
da du gerade die Ereignisanzeige erwähnst. Habe heute bei allen Memberservern den Zeitgeberdienst gestoppt und neu gestartet, hatte bei eigen der Memberservern keinen W32tm Eintrag im Ereignis "System". Auf allen Servern bei uns ist Windows 2003 R2 SP2 installiert.
Wie kommt das oder warum kommt denn der Eintrag nicht?
Danke
Waterfall
da du gerade die Ereignisanzeige erwähnst. Habe heute bei allen Memberservern den Zeitgeberdienst gestoppt und neu gestartet, hatte bei eigen der Memberservern keinen W32tm Eintrag im Ereignis "System". Auf allen Servern bei uns ist Windows 2003 R2 SP2 installiert.
Wie kommt das oder warum kommt denn der Eintrag nicht?
Danke
Waterfall
Hallo HubertN,
danke für deinen Link.
hab die GPO`s erstellt, damit ich nicht in der Registrierung des jetzigen PDC Emulator herummachen muss. Zumal ich diesen PDC Emulator Server, in der nächsten Zeit auf eine neue Hardware umziehen muss. Deshalb war die Idee mit dem GPO ja eine super Sache.
Mir ist jetzt nicht ganz klar, was du mir mit diesen Link mitteilen wolltest . PDC Emulator bezieht seine Zeit von eine extern Anbieter so wie es in der GPO Anweisung (Link von Günther) beschrieben steht.
Soviel ich jetzt verstanden habe über die Funktion des Zeitserverdienst, holen sich die Domaiencontroller ihre Zeit von Server auf dem der PDC Emulator ausgeführt wird. Die Memberserver und Clients holen sich wiederum ihre Zeit bei dem DC, bei dem sie angemeldet sind.
Stimmt dass so ?
Mein Problem ist der alte Zeitserver, der sich immer noch weigert seine Zeit von PDC Emulator zu holen.
Event ID 14 Quelle w32time
Event-ID 29 Quelle w32time
Gruß
Waterfall
danke für deinen Link.
hab die GPO`s erstellt, damit ich nicht in der Registrierung des jetzigen PDC Emulator herummachen muss. Zumal ich diesen PDC Emulator Server, in der nächsten Zeit auf eine neue Hardware umziehen muss. Deshalb war die Idee mit dem GPO ja eine super Sache.
Mir ist jetzt nicht ganz klar, was du mir mit diesen Link mitteilen wolltest . PDC Emulator bezieht seine Zeit von eine extern Anbieter so wie es in der GPO Anweisung (Link von Günther) beschrieben steht.
Soviel ich jetzt verstanden habe über die Funktion des Zeitserverdienst, holen sich die Domaiencontroller ihre Zeit von Server auf dem der PDC Emulator ausgeführt wird. Die Memberserver und Clients holen sich wiederum ihre Zeit bei dem DC, bei dem sie angemeldet sind.
Stimmt dass so ?
Mein Problem ist der alte Zeitserver, der sich immer noch weigert seine Zeit von PDC Emulator zu holen.
Event ID 14 Quelle w32time
Event-ID 29 Quelle w32time
Gruß
Waterfall
Das hast du grundsätzlich richtig versatanden. Wenn du (aus welchem Grunda auch immer) Probleme hast die Richtlinie zu implementieren, dann könntest du die Einstellung wie im Artikel beshrieben auch mehr oder wenige "händisch" erledigen lassen.
Geht es dir darum, dass es funktioniert oder geht es dir um eine Richtlinie ?
Geht es dir darum, dass es funktioniert oder geht es dir um eine Richtlinie ?
es geht mir um die Richtlinien. Den alten Zeitserver DC werde ich nächste Woche außer Betrieb nehmen. Seine Funktionen habe ich längst auf einen neuen DC übertragen.
Nur die Funktion des Zeitserver wollte ich endlich auf den PDC Emulator legen, was ja mein Ex - Kollege vergessen hat.
Mit der Richtlinie muss ich mir dann keine Gedanken mehr um den Zeitserverdienst machen, wenn ich den DC Server mit dem PDC Emulator ebenfalls auf neue Hardware umziehe.
Habe mir eine Doku geschrieben, über das Einrichten und Setzen dieser GPO's in unserer Domäne? Kann ich dir das mal zuposten, vielleicht fällt dir etwas auf in den Einstellungen.
Danke dir vorab
Waterfall
Nur die Funktion des Zeitserver wollte ich endlich auf den PDC Emulator legen, was ja mein Ex - Kollege vergessen hat.
Mit der Richtlinie muss ich mir dann keine Gedanken mehr um den Zeitserverdienst machen, wenn ich den DC Server mit dem PDC Emulator ebenfalls auf neue Hardware umziehe.
Habe mir eine Doku geschrieben, über das Einrichten und Setzen dieser GPO's in unserer Domäne? Kann ich dir das mal zuposten, vielleicht fällt dir etwas auf in den Einstellungen.
Danke dir vorab
Waterfall
ja klar
Gruß
Hubert
Gruß
Hubert
