23
Problem mit Computer und Serverzeit
Hallo liebe IT-Kollegen,
ich habe ein kleines Problem. Und zwar ist die Computer-Zeit und sie Serverzeit nicht gleich.
So ist es auf dem Servern aktuell 15:24 und auf dem Computer 15:27 Uhr. Die Computerzeit wäre die richtige.
Nun wollte ich mal Testhalber versuchen mich mit dem Zeitserver zu verbinden.
Da habe ich mit diesem Befehl einen Fehler erhalten welcher im Anhang als Bild angefügt wurde:
w32tm /stripchart /computer:0.de.pool.ntp.org /samples:5 /dataonly
Es kann weder an der Firewall noch am Anti-Viren-Programm liegen.
Habe eine Freigabe auf der Firewall hinzugefügt und die Anti-Viren-Software deaktiviert.
Schätzungsweise ist einfach die CMOS-Zeit an den Servern nicht korrekt. Das überprüfe ich noch.
Aber vielleicht kennt ja jemand eine Bessere Lösung, denn ich kann auch die Zeit am Hyper-V-Host nicht ändern.
Auch kommt beim Befehl:
w32tm /resync
Der Fehler:
Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar waren.
Ich habe alle möglichen Gruppenrichtlinien und Registry-Einträge überprüft und testhalber geändert, die mir so eingefallen sind.
Vielleicht fällt euch ja was ein :D
Beste Grüße!
ich habe ein kleines Problem. Und zwar ist die Computer-Zeit und sie Serverzeit nicht gleich.
So ist es auf dem Servern aktuell 15:24 und auf dem Computer 15:27 Uhr. Die Computerzeit wäre die richtige.
Nun wollte ich mal Testhalber versuchen mich mit dem Zeitserver zu verbinden.
Da habe ich mit diesem Befehl einen Fehler erhalten welcher im Anhang als Bild angefügt wurde:
w32tm /stripchart /computer:0.de.pool.ntp.org /samples:5 /dataonly
Es kann weder an der Firewall noch am Anti-Viren-Programm liegen.
Habe eine Freigabe auf der Firewall hinzugefügt und die Anti-Viren-Software deaktiviert.
Schätzungsweise ist einfach die CMOS-Zeit an den Servern nicht korrekt. Das überprüfe ich noch.
Aber vielleicht kennt ja jemand eine Bessere Lösung, denn ich kann auch die Zeit am Hyper-V-Host nicht ändern.
Auch kommt beim Befehl:
w32tm /resync
Der Fehler:
Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar waren.
Ich habe alle möglichen Gruppenrichtlinien und Registry-Einträge überprüft und testhalber geändert, die mir so eingefallen sind.
Vielleicht fällt euch ja was ein :D
Beste Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6910719527
Url: https://administrator.de/contentid/6910719527
Printed on: May 18, 2024 at 22:05 o'clock
23 Comments
Latest comment
Hi,
ich / wir kennen natürlich nicht deine "Netzwerkumgebung".
Aber ich würde, die Firewall als "NTP Server" setzen.
Ist die Firewall als VM oder als BareMetal vorhanden?
Die Windows Clients ziehen sich standardmäßig die Zeit vom DC (PDC), sofern einer vorhanden ist.
Anbei ein Link von Microsoft Docs
https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/c ...
Grüße
ich / wir kennen natürlich nicht deine "Netzwerkumgebung".
Aber ich würde, die Firewall als "NTP Server" setzen.
Ist die Firewall als VM oder als BareMetal vorhanden?
Die Windows Clients ziehen sich standardmäßig die Zeit vom DC (PDC), sofern einer vorhanden ist.
Anbei ein Link von Microsoft Docs
https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/c ...
Grüße
1
Hi,
danke für die schnelle Antwort.
Ja die Firwall ist Physisch.
Das die Clients die Zeit vom DC ziehen sollten ist mir bewust. Das tun sie allerdings nicht, denn die Zeit auf den Clients entspricht der korrekten Weltzeit, die auf den Servern (DC mit inbegriffen) nicht.
Der Zeitsyyncronisierungsdienst auf den Servern ist aktiv. allerdings kann ich die Zeitauf dem Haupthost nicht ändern.
Sollte das mit deinem Link möglich sein?
Die beiden Hosts bekommen Ihre Zeit eigentlich vom DC für das Cluster aber das funktioniert auch nur bei einem. Der andere gibt die Zeit via Itegrationsdienst an den DC (VM) weiter was ja logisch ist denke ich.
Vielleicht stehe ich da auch nur auf dem schlauch, weil ich schon zulange rumprobiere.
Danke schonmal
danke für die schnelle Antwort.
Ja die Firwall ist Physisch.
Das die Clients die Zeit vom DC ziehen sollten ist mir bewust. Das tun sie allerdings nicht, denn die Zeit auf den Clients entspricht der korrekten Weltzeit, die auf den Servern (DC mit inbegriffen) nicht.
Der Zeitsyyncronisierungsdienst auf den Servern ist aktiv. allerdings kann ich die Zeitauf dem Haupthost nicht ändern.
Sollte das mit deinem Link möglich sein?
Die beiden Hosts bekommen Ihre Zeit eigentlich vom DC für das Cluster aber das funktioniert auch nur bei einem. Der andere gibt die Zeit via Itegrationsdienst an den DC (VM) weiter was ja logisch ist denke ich.
Vielleicht stehe ich da auch nur auf dem schlauch, weil ich schon zulange rumprobiere.
Danke schonmal
Zitat von @zMaYpeTx:
Die beiden Hosts bekommen Ihre Zeit eigentlich vom DC für das Cluster aber das funktioniert auch nur bei einem. Der andere gibt die Zeit via Itegrationsdienst an den DC (VM) weiter was ja logisch ist denke ich.
Okay, also ein virtueller DC, dann sollte generell der VM "Zeitintegrationsdienst" des HV deaktiviert werden.
Ich meine das dies dann genau zu solchen "Zeitfehlern" führt. Und sowas mag Kerberos gar nicht :D
https://wmatthyssen.com/2020/02/28/hyper-v-configure-time-synchronizatio ...
Vielleicht hat jemand anders noch eine Idee, bzw. einen Lösungsansatz.
Gruß
Der DC soll sich eigenständig die Zeit bei einem (externen) Zeitserver holen und nicht die Zeit des Hosts beziehen.
Jürgen
Jürgen
2
Hallöchen,
das habe ich versucht bis zum Punkt wo man es im Ereignisprotokoll überprüfen soll.
Dort erhalte ich Folgenden Fehler:
Aufgrund eines DNS-Auflösungsfehlers auf "pool.ntp.org" konnte vom "NtpClient" kein manueller Peer als Zeitquelle festgelegt werden. In 15 Minuten wird ein weiterer Versuch ausgeführt und das Intervall für weitere Versuche anschließend verdoppelt. Fehler: Der angegebene Host ist unbekannt. (0x80072AF9)
Ich habe pool.ntp.org im Proxy ausgenommen, die WIndows Firewall deaktiviert und die IP in der Physischen Firewall freigegeben aber keine Chance.
Ich kann auch nicht hin pingen.
Mitlerweile glaube ich, dass ich irgendwo einen Idiotenfehler drin habe.
Ich habe pool.ntp.org im Proxy ausgenommen, die WIndows Firewall deaktiviert und die IP in der Physischen Firewall
Ich/ Wir wissen auch nicht, welche "Befehle" du bereits so Aus- bzw. durchgeführt hast.
Dementsprechend ist es etwas schwierig für dich den richtigen Lösungsansatz zubekommen.
Also die Windows Firewall Einstellungen sollten eigentlich passen. Und dort brauchst du eigentlich nichts einstellen.
Ist der NTP-Dienst / Server in der Firewall aktiviert??? Und ist der "Zeitintegrationsdienst" vom HV deaktiviert???
Gruß
Zitat von @Kristian-86Bit:
Ich/ Wir wissen auch nicht, welche "Befehle" du bereits so Aus- bzw. durchgeführt hast.
Dementsprechend ist es etwas schwierig für dich den richtigen Lösungsansatz zubekommen.
Ich habe pool.ntp.org im Proxy ausgenommen, die WIndows Firewall deaktiviert und die IP in der Physischen Firewall
Ich/ Wir wissen auch nicht, welche "Befehle" du bereits so Aus- bzw. durchgeführt hast.
Dementsprechend ist es etwas schwierig für dich den richtigen Lösungsansatz zubekommen.
Auf dem DC des Clusters habe ich noch keine Befehle o.ä. getestet. Nur auf dem DC der untergeordneten Domain.
Also die Windows Firewall Einstellungen sollten eigentlich passen. Und dort brauchst du eigentlich nichts einstellen.
Ist der NTP-Dienst / Server in der Firewall aktiviert??? Und ist der "Zeitintegrationsdienst" vom HV deaktiviert???
Ist der NTP-Dienst / Server in der Firewall aktiviert??? Und ist der "Zeitintegrationsdienst" vom HV deaktiviert???
Den Dienst habe ich nicht aktiviert. Die Firewall holt sich die Zeit von einem Server der Herstellerfirma. Das scheint zu funktionieren.
Der Zeitintegrationsdienst in Hyper-V ist deaktiviert ( zumindest für den DC ).
Ich würde meinen DC / die DCs gerne über de.pool.ntp.org bzw pool.nt.org syncronisieren.
Diese kann ich aber nicht anpingen.
Angehängt ein Bild vom Befehl und Fehler.
Laut dem Ereignisprotokoll schein es ja ein DNS-Auflösungsfehler zu sein.
Grüße
Edit:
auf einem Client habe ich Testhalber diesen Befehl getestet:
w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org"
u.ä.
WIe würde ich denn die Firewall als Zeitserver setzen? Habe eine Securepoint.
Dann mach doch mal einen trace, damit du weißt, wo der Ping nicht durchkommt.
Jürgen
PS. Bei mir kommt der Ping durch
Jürgen
PS. Bei mir kommt der Ping durch
Den Dienst habe ich nicht aktiviert. Die Firewall holt sich die Zeit von einem Server der Herstellerfirma. Das scheint zu funktionieren.
Der Zeitintegrationsdienst in Hyper-V ist deaktiviert ( zumindest für den DC ).
Der Zeitintegrationsdienst in Hyper-V ist deaktiviert ( zumindest für den DC ).
Ohne NTP Dienst / Server (Firewall), kann auch kein Client / Server die Zeit von der Firewall aktualisieren!
Ich würde meinen DC / die DCs gerne über de.pool.ntp.org bzw pool.nt.org syncronisieren.
Diese kann ich aber nicht anpingen.
Diese kann ich aber nicht anpingen.
Und wenn mal keine Internetverbindung da ist, würde ich die Zeit auch nicht aus dem Internet synchronisieren lassen.
Wenn das nicht in der Firewall konfiguriert ist, wird das auch schwierig. Warum soll / muss das aus dem Internet sein (tracert)?
Laut dem Ereignisprotokoll schein es ja ein DNS-Auflösungsfehler zu sein.
Naja, Windowsfehlermeldungen müssen nicht immer stimmen.Wenn die Firewall "NEIN" sagt, gibt es natürlich DNS Probleme. Wenn z.B NTP nicht "erlaubt" ist !
Gruß
Zitat von @chiefteddy:
Dann mach doch mal einen trace, damit du weißt, wo der Ping nicht durchkommt.
Jürgen
PS. Bei mir kommt der Ping durch
Dann mach doch mal einen trace, damit du weißt, wo der Ping nicht durchkommt.
Jürgen
PS. Bei mir kommt der Ping durch
Er scheint an der Firewall hängen zu bleiben. (Anhang)
Zitat von @Kristian-86Bit:
Ohne NTP Dienst / Server (Firewall), kann auch kein Client / Server die Zeit von der Firewall aktualisieren!
Ohne NTP Dienst / Server (Firewall), kann auch kein Client / Server die Zeit von der Firewall aktualisieren!
Habe ich eben nochmal gecheckt. der Dienst NTP-Server ist aktiv.
Ich würde meinen DC / die DCs gerne über de.pool.ntp.org bzw pool.nt.org syncronisieren.
Diese kann ich aber nicht anpingen.
Diese kann ich aber nicht anpingen.
Und wenn mal keine Internetverbindung da ist, würde ich die Zeit auch nicht aus dem Internet synchronisieren lassen.
Wenn das nicht in der Firewall konfiguriert ist, wird das auch schwierig. Warum soll / muss das aus dem Internet sein (tracert)?
Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann
Laut dem Ereignisprotokoll schein es ja ein DNS-Auflösungsfehler zu sein.
Naja, Windowsfehlermeldungen müssen nicht immer stimmen.Wenn die Firewall "NEIN" sagt, gibt es natürlich DNS Probleme. Wenn z.B NTP nicht "erlaubt" ist !
Stimmt. Ich habe eben nochmal den port 123 mit udp freigegeben. aber ändert nichts. auch mit tcp ist er freigegeben.
Gruß
Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann
Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.
Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.
Zitat von @Kristian-86Bit:
Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.
Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.
Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann
Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.
Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.
P.S es kann auch eine IP-Adresse *hust* als Zeitserver angegeben werden ;)
Zitat von @Kristian-86Bit:
Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.
Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.
Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann
Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.
Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.
Es ist eine Securepoint. Ich werd mich jetzt durchs handbuch durchlesen. Danke:D
Zitat von @Kristian-86Bit:
P.S es kann auch eine IP-Adresse *hust* als Zeitserver angegeben werden ;)
Zitat von @Kristian-86Bit:
Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.
Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.
Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann
Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.
Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.
P.S es kann auch eine IP-Adresse *hust* als Zeitserver angegeben werden ;)
Soll heißen?^^ Sorry ich steh heute schon ganz daneben
Ich glaube irgendwo hat sich ein Fehler eingeschlichen.
Das hier wurde mir hier als Anleitung geschickt:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Nachdem ich das gemacht habe, ist mir eben mit dem Befehl w32tm /query /status aufgefallen, das die Quelle Local CMOS Clock ist. Also offenbar erkennt der DC diesen Server gar nicht an
Das hier wurde mir hier als Anleitung geschickt:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Nachdem ich das gemacht habe, ist mir eben mit dem Befehl w32tm /query /status aufgefallen, das die Quelle Local CMOS Clock ist. Also offenbar erkennt der DC diesen Server gar nicht an
.... aufgefallen, das die Quelle Local CMOS Clock ist. Also offenbar erkennt der DC diesen Server gar nicht an
Das ist das BIOS!!! Es tut mir wirklich leid, aber ich glaube, ich kann dir nicht helfen.
Vielleicht einfach mal einen Dienstleister kontaktieren.
Gruß
Zitat von @Kristian-86Bit:
Das ist das BIOS!!! Es tut mir wirklich leid, aber ich glaube, ich kann dir nicht helfen.
Vielleicht einfach mal einen Dienstleister kontaktieren.
Gruß
.... aufgefallen, das die Quelle Local CMOS Clock ist. Also offenbar erkennt der DC diesen Server gar nicht an
Das ist das BIOS!!! Es tut mir wirklich leid, aber ich glaube, ich kann dir nicht helfen.
Vielleicht einfach mal einen Dienstleister kontaktieren.
Gruß
Ja mir ist bewusst, dass das das BIOS ist. Eigestellt wäre aber pool.ntp.org.
Ich werde wsl einfach den Integrtionsdienst wieder aktivieren und die BIOS Zeit richtig stellen.
Im nachhinein kann dann mal ein externer drauf schaun.
Danke trotzdem
Schönen Abend noch
Ja mir ist bewusst, dass das das BIOS ist. Eigestellt wäre aber pool.ntp.org.
Ich werde wsl einfach den Integrtionsdienst wieder aktivieren und die BIOS Zeit richtig stellen.
Im nachhinein kann dann mal ein externer drauf schaun.
Danke trotzdem
Schönen Abend noch
Ich werde wsl einfach den Integrtionsdienst wieder aktivieren und die BIOS Zeit richtig stellen.
Im nachhinein kann dann mal ein externer drauf schaun.
Danke trotzdem
Schönen Abend noch
Ja, es widerspricht sich halt irgendwie, von den zuvor geschriebenen Aussagen.
Drücke dir auf jeden Fall die Daumen und wünsche dir viel Erfolg.
Gruß
Hi
Schaue dir die Logs auf der Firewall an ob etwas auf Port TCP:123 blockiert wird (dann kannst auch direkt prüfen ob Ping/ICMP[echo] blockiert wird), der Port muss für den DC offen sein damit dieser die eingerichteten Server erreichen kann. Es kann auch sein, dass du dediziert das Protokoll NTP freigeben muss, liegt immer ein wenig am Hersteller und wie das Regelset aufgebaut ist - aber wie bereits geschrieben: prüfe die Logs der Firewall, die werden dir sagen warum werder der Ping noch NTP durchkommen.
Kannst auch additiv die Windows-Firewall prüfen, aber der DC setzt die Regeln dafür passend und an der Stelle sollte nichts blockiert werden - sofern man nicht daran rumgespielt hat.
Wenn der DC sich korrekt die Zeiten zieht, dann kannst alle anderen Clients auch darauf umstellen. Wenn du Hyper-V/VMWare hast, musst du einen alternativen Zeitserver zum DC haben, damit diese sich die Zeit auch holen können wenn der DC mal nicht erreichbar ist.
Und nein, ein DNS Problem hast du nicht, dass erkennt man an deinem Screenshot wo die Adresse pingen willst und der dazuz eine IP Adresse ausgibt.
Schaue dir die Logs auf der Firewall an ob etwas auf Port TCP:123 blockiert wird (dann kannst auch direkt prüfen ob Ping/ICMP[echo] blockiert wird), der Port muss für den DC offen sein damit dieser die eingerichteten Server erreichen kann. Es kann auch sein, dass du dediziert das Protokoll NTP freigeben muss, liegt immer ein wenig am Hersteller und wie das Regelset aufgebaut ist - aber wie bereits geschrieben: prüfe die Logs der Firewall, die werden dir sagen warum werder der Ping noch NTP durchkommen.
Kannst auch additiv die Windows-Firewall prüfen, aber der DC setzt die Regeln dafür passend und an der Stelle sollte nichts blockiert werden - sofern man nicht daran rumgespielt hat.
Wenn der DC sich korrekt die Zeiten zieht, dann kannst alle anderen Clients auch darauf umstellen. Wenn du Hyper-V/VMWare hast, musst du einen alternativen Zeitserver zum DC haben, damit diese sich die Zeit auch holen können wenn der DC mal nicht erreichbar ist.
Und nein, ein DNS Problem hast du nicht, dass erkennt man an deinem Screenshot wo die Adresse pingen willst und der dazuz eine IP Adresse ausgibt.
Auf der Securepoint gehst du auf:
Netzwerk->Servereinstellungen und kannst dort sehen was die SP als Zeitserver hat. Standard ist ntp.securepoint.de
Die SP ist default ein Zeitserver. Du kannst also deinem DC ihre IP als Quelle geben und gibst halt der SP bei Bedarf deinen Wunschzeitserver.
Ich nehme gerne die der PTB.
Sollte die SP keine Zeit verteilen schaust du unter Anwendungen -> Anwendungsstatus nach ob bei NTP-Server das grüne Quadrat davor ist, ansonsten rechts in der Spalte auf "Play" drücken.
Kannst du ja mit einem Client testen.
Netzwerk->Servereinstellungen und kannst dort sehen was die SP als Zeitserver hat. Standard ist ntp.securepoint.de
Die SP ist default ein Zeitserver. Du kannst also deinem DC ihre IP als Quelle geben und gibst halt der SP bei Bedarf deinen Wunschzeitserver.
Ich nehme gerne die der PTB.
Sollte die SP keine Zeit verteilen schaust du unter Anwendungen -> Anwendungsstatus nach ob bei NTP-Server das grüne Quadrat davor ist, ansonsten rechts in der Spalte auf "Play" drücken.
Kannst du ja mit einem Client testen.
1
UTC kennt keine Schaltsekunde - läuft einfach immer weiter. (wie die Uhr in San Demas; Bill & Ted)
Vielleicht liegt es daran.
Vielleicht liegt es daran.
