zmaypetx
Goto Top

Problem mit Computer und Serverzeit

Hallo liebe IT-Kollegen,

ich habe ein kleines Problem. Und zwar ist die Computer-Zeit und sie Serverzeit nicht gleich.
So ist es auf dem Servern aktuell 15:24 und auf dem Computer 15:27 Uhr. Die Computerzeit wäre die richtige.

Nun wollte ich mal Testhalber versuchen mich mit dem Zeitserver zu verbinden.
Da habe ich mit diesem Befehl einen Fehler erhalten welcher im Anhang als Bild angefügt wurde:

w32tm /stripchart /computer:0.de.pool.ntp.org /samples:5 /dataonly

Es kann weder an der Firewall noch am Anti-Viren-Programm liegen.
Habe eine Freigabe auf der Firewall hinzugefügt und die Anti-Viren-Software deaktiviert.

Schätzungsweise ist einfach die CMOS-Zeit an den Servern nicht korrekt. Das überprüfe ich noch.
Aber vielleicht kennt ja jemand eine Bessere Lösung, denn ich kann auch die Zeit am Hyper-V-Host nicht ändern.

Auch kommt beim Befehl:
w32tm /resync
Der Fehler:
Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar waren.

Ich habe alle möglichen Gruppenrichtlinien und Registry-Einträge überprüft und testhalber geändert, die mir so eingefallen sind.


Vielleicht fällt euch ja was ein :D

Beste Grüße!
zeit

Content-ID: 6910719527

Url: https://administrator.de/forum/problem-mit-computer-und-serverzeit-6910719527.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

Kristian-86Bit
Lösung Kristian-86Bit 25.04.2023 aktualisiert um 15:54:59 Uhr
Goto Top
Hi,
ich / wir kennen natürlich nicht deine "Netzwerkumgebung".
Aber ich würde, die Firewall als "NTP Server" setzen.
Ist die Firewall als VM oder als BareMetal vorhanden?

Die Windows Clients ziehen sich standardmäßig die Zeit vom DC (PDC), sofern einer vorhanden ist.

Anbei ein Link von Microsoft Docs
https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/c ...


Grüße
zMaYpeTx
zMaYpeTx 25.04.2023 um 15:59:22 Uhr
Goto Top
Hi,
danke für die schnelle Antwort.
Ja die Firwall ist Physisch.

Das die Clients die Zeit vom DC ziehen sollten ist mir bewust. Das tun sie allerdings nicht, denn die Zeit auf den Clients entspricht der korrekten Weltzeit, die auf den Servern (DC mit inbegriffen) nicht.
Der Zeitsyyncronisierungsdienst auf den Servern ist aktiv. allerdings kann ich die Zeitauf dem Haupthost nicht ändern.
Sollte das mit deinem Link möglich sein?
Die beiden Hosts bekommen Ihre Zeit eigentlich vom DC für das Cluster aber das funktioniert auch nur bei einem. Der andere gibt die Zeit via Itegrationsdienst an den DC (VM) weiter was ja logisch ist denke ich.

Vielleicht stehe ich da auch nur auf dem schlauch, weil ich schon zulange rumprobiere.

Danke schonmal
Kristian-86Bit
Kristian-86Bit 25.04.2023 aktualisiert um 16:12:01 Uhr
Goto Top
Zitat von @zMaYpeTx:

Die beiden Hosts bekommen Ihre Zeit eigentlich vom DC für das Cluster aber das funktioniert auch nur bei einem. Der andere gibt die Zeit via Itegrationsdienst an den DC (VM) weiter was ja logisch ist denke ich.

Okay, also ein virtueller DC, dann sollte generell der VM "Zeitintegrationsdienst" des HV deaktiviert werden.
Ich meine das dies dann genau zu solchen "Zeitfehlern" führt. Und sowas mag Kerberos gar nicht :D

https://wmatthyssen.com/2020/02/28/hyper-v-configure-time-synchronizatio ...

Vielleicht hat jemand anders noch eine Idee, bzw. einen Lösungsansatz.

Gruß
chiefteddy
chiefteddy 25.04.2023 um 16:28:00 Uhr
Goto Top
Der DC soll sich eigenständig die Zeit bei einem (externen) Zeitserver holen und nicht die Zeit des Hosts beziehen.

Jürgen
JasperBeardley
JasperBeardley 25.04.2023 um 18:51:57 Uhr
Goto Top
Moin,

guckst du hier.

Gruß
Jasper
zMaYpeTx
zMaYpeTx 26.04.2023 um 12:43:27 Uhr
Goto Top
Zitat von @JasperBeardley:

Moin,

guckst du hier.

Gruß
Jasper

Hallöchen,

das habe ich versucht bis zum Punkt wo man es im Ereignisprotokoll überprüfen soll.
Dort erhalte ich Folgenden Fehler:

Aufgrund eines DNS-Auflösungsfehlers auf "pool.ntp.org" konnte vom "NtpClient" kein manueller Peer als Zeitquelle festgelegt werden. In 15 Minuten wird ein weiterer Versuch ausgeführt und das Intervall für weitere Versuche anschließend verdoppelt. Fehler: Der angegebene Host ist unbekannt. (0x80072AF9)

Ich habe pool.ntp.org im Proxy ausgenommen, die WIndows Firewall deaktiviert und die IP in der Physischen Firewall freigegeben aber keine Chance.
Ich kann auch nicht hin pingen.
Mitlerweile glaube ich, dass ich irgendwo einen Idiotenfehler drin habe.
Kristian-86Bit
Kristian-86Bit 26.04.2023 aktualisiert um 12:58:42 Uhr
Goto Top
Ich habe pool.ntp.org im Proxy ausgenommen, die WIndows Firewall deaktiviert und die IP in der Physischen Firewall

Ich/ Wir wissen auch nicht, welche "Befehle" du bereits so Aus- bzw. durchgeführt hast.
Dementsprechend ist es etwas schwierig für dich den richtigen Lösungsansatz zubekommen.

Also die Windows Firewall Einstellungen sollten eigentlich passen. Und dort brauchst du eigentlich nichts einstellen.
Ist der NTP-Dienst / Server in der Firewall aktiviert??? Und ist der "Zeitintegrationsdienst" vom HV deaktiviert???

Gruß
zMaYpeTx
zMaYpeTx 26.04.2023 aktualisiert um 14:12:05 Uhr
Goto Top
Zitat von @Kristian-86Bit:

Ich habe pool.ntp.org im Proxy ausgenommen, die WIndows Firewall deaktiviert und die IP in der Physischen Firewall

Ich/ Wir wissen auch nicht, welche "Befehle" du bereits so Aus- bzw. durchgeführt hast.
Dementsprechend ist es etwas schwierig für dich den richtigen Lösungsansatz zubekommen.


Auf dem DC des Clusters habe ich noch keine Befehle o.ä. getestet. Nur auf dem DC der untergeordneten Domain.

Also die Windows Firewall Einstellungen sollten eigentlich passen. Und dort brauchst du eigentlich nichts einstellen.
Ist der NTP-Dienst / Server in der Firewall aktiviert??? Und ist der "Zeitintegrationsdienst" vom HV deaktiviert???


Den Dienst habe ich nicht aktiviert. Die Firewall holt sich die Zeit von einem Server der Herstellerfirma. Das scheint zu funktionieren.
Der Zeitintegrationsdienst in Hyper-V ist deaktiviert ( zumindest für den DC ).


Ich würde meinen DC / die DCs gerne über de.pool.ntp.org bzw pool.nt.org syncronisieren.
Diese kann ich aber nicht anpingen.
Angehängt ein Bild vom Befehl und Fehler.

Laut dem Ereignisprotokoll schein es ja ein DNS-Auflösungsfehler zu sein.

Grüße


Edit:

auf einem Client habe ich Testhalber diesen Befehl getestet:
w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org"
u.ä.

WIe würde ich denn die Firewall als Zeitserver setzen? Habe eine Securepoint.
ping
chiefteddy
chiefteddy 26.04.2023 aktualisiert um 14:13:50 Uhr
Goto Top
Dann mach doch mal einen trace, damit du weißt, wo der Ping nicht durchkommt.

Jürgen

PS. Bei mir kommt der Ping durch
Kristian-86Bit
Kristian-86Bit 26.04.2023 aktualisiert um 14:15:29 Uhr
Goto Top
Den Dienst habe ich nicht aktiviert. Die Firewall holt sich die Zeit von einem Server der Herstellerfirma. Das scheint zu funktionieren.
Der Zeitintegrationsdienst in Hyper-V ist deaktiviert ( zumindest für den DC ).

Ohne NTP Dienst / Server (Firewall), kann auch kein Client / Server die Zeit von der Firewall aktualisieren!


Ich würde meinen DC / die DCs gerne über de.pool.ntp.org bzw pool.nt.org syncronisieren.
Diese kann ich aber nicht anpingen.

Und wenn mal keine Internetverbindung da ist, würde ich die Zeit auch nicht aus dem Internet synchronisieren lassen.
Wenn das nicht in der Firewall konfiguriert ist, wird das auch schwierig. Warum soll / muss das aus dem Internet sein (tracert)?

Laut dem Ereignisprotokoll schein es ja ein DNS-Auflösungsfehler zu sein.
Naja, Windowsfehlermeldungen müssen nicht immer stimmen.
Wenn die Firewall "NEIN" sagt, gibt es natürlich DNS Probleme. Wenn z.B NTP nicht "erlaubt" ist !


Gruß
zMaYpeTx
zMaYpeTx 26.04.2023 um 14:22:33 Uhr
Goto Top
Zitat von @chiefteddy:

Dann mach doch mal einen trace, damit du weißt, wo der Ping nicht durchkommt.

Jürgen

PS. Bei mir kommt der Ping durch

Er scheint an der Firewall hängen zu bleiben. (Anhang)
trace
zMaYpeTx
zMaYpeTx 26.04.2023 um 14:36:17 Uhr
Goto Top
Zitat von @Kristian-86Bit:

Ohne NTP Dienst / Server (Firewall), kann auch kein Client / Server die Zeit von der Firewall aktualisieren!


Habe ich eben nochmal gecheckt. der Dienst NTP-Server ist aktiv.


Ich würde meinen DC / die DCs gerne über de.pool.ntp.org bzw pool.nt.org syncronisieren.
Diese kann ich aber nicht anpingen.

Und wenn mal keine Internetverbindung da ist, würde ich die Zeit auch nicht aus dem Internet synchronisieren lassen.
Wenn das nicht in der Firewall konfiguriert ist, wird das auch schwierig. Warum soll / muss das aus dem Internet sein (tracert)?


Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann

Laut dem Ereignisprotokoll schein es ja ein DNS-Auflösungsfehler zu sein.
Naja, Windowsfehlermeldungen müssen nicht immer stimmen.
Wenn die Firewall "NEIN" sagt, gibt es natürlich DNS Probleme. Wenn z.B NTP nicht "erlaubt" ist !


Stimmt. Ich habe eben nochmal den port 123 mit udp freigegeben. aber ändert nichts. auch mit tcp ist er freigegeben.


Gruß
Kristian-86Bit
Kristian-86Bit 26.04.2023 um 14:45:36 Uhr
Goto Top
Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann

Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.

Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.
Kristian-86Bit
Kristian-86Bit 26.04.2023 um 14:51:01 Uhr
Goto Top
Zitat von @Kristian-86Bit:

Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann

Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.

Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.


P.S es kann auch eine IP-Adresse *hust* als Zeitserver angegeben werden ;)
zMaYpeTx
zMaYpeTx 26.04.2023 um 15:21:35 Uhr
Goto Top
Zitat von @Kristian-86Bit:

Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann

Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.

Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.

Es ist eine Securepoint. Ich werd mich jetzt durchs handbuch durchlesen. Danke:D
zMaYpeTx
zMaYpeTx 26.04.2023 um 15:22:25 Uhr
Goto Top
Zitat von @Kristian-86Bit:

Zitat von @Kristian-86Bit:

Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann

Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.

Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.


P.S es kann auch eine IP-Adresse *hust* als Zeitserver angegeben werden ;)

Soll heißen?^^ Sorry ich steh heute schon ganz daneben
zMaYpeTx
zMaYpeTx 26.04.2023 um 15:40:48 Uhr
Goto Top
Ich glaube irgendwo hat sich ein Fehler eingeschlichen.
Das hier wurde mir hier als Anleitung geschickt:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...

Nachdem ich das gemacht habe, ist mir eben mit dem Befehl w32tm /query /status aufgefallen, das die Quelle Local CMOS Clock ist. Also offenbar erkennt der DC diesen Server gar nicht an
Kristian-86Bit
Kristian-86Bit 26.04.2023 um 15:49:39 Uhr
Goto Top
.... aufgefallen, das die Quelle Local CMOS Clock ist. Also offenbar erkennt der DC diesen Server gar nicht an

Das ist das BIOS!!! Es tut mir wirklich leid, aber ich glaube, ich kann dir nicht helfen.
Vielleicht einfach mal einen Dienstleister kontaktieren.

Gruß
zMaYpeTx
zMaYpeTx 26.04.2023 um 15:53:35 Uhr
Goto Top
Zitat von @Kristian-86Bit:

.... aufgefallen, das die Quelle Local CMOS Clock ist. Also offenbar erkennt der DC diesen Server gar nicht an

Das ist das BIOS!!! Es tut mir wirklich leid, aber ich glaube, ich kann dir nicht helfen.
Vielleicht einfach mal einen Dienstleister kontaktieren.

Gruß

Ja mir ist bewusst, dass das das BIOS ist. Eigestellt wäre aber pool.ntp.org.
Ich werde wsl einfach den Integrtionsdienst wieder aktivieren und die BIOS Zeit richtig stellen.
Im nachhinein kann dann mal ein externer drauf schaun.

Danke trotzdem

Schönen Abend noch
Kristian-86Bit
Kristian-86Bit 26.04.2023 um 15:56:06 Uhr
Goto Top
Ja mir ist bewusst, dass das das BIOS ist. Eigestellt wäre aber pool.ntp.org.
Ich werde wsl einfach den Integrtionsdienst wieder aktivieren und die BIOS Zeit richtig stellen.
Im nachhinein kann dann mal ein externer drauf schaun.

Danke trotzdem

Schönen Abend noch

Ja, es widerspricht sich halt irgendwie, von den zuvor geschriebenen Aussagen.
Drücke dir auf jeden Fall die Daumen und wünsche dir viel Erfolg.

Gruß
clSchak
clSchak 26.04.2023 um 15:59:32 Uhr
Goto Top
Hi

Schaue dir die Logs auf der Firewall an ob etwas auf Port TCP:123 blockiert wird (dann kannst auch direkt prüfen ob Ping/ICMP[echo] blockiert wird), der Port muss für den DC offen sein damit dieser die eingerichteten Server erreichen kann. Es kann auch sein, dass du dediziert das Protokoll NTP freigeben muss, liegt immer ein wenig am Hersteller und wie das Regelset aufgebaut ist - aber wie bereits geschrieben: prüfe die Logs der Firewall, die werden dir sagen warum werder der Ping noch NTP durchkommen.

Kannst auch additiv die Windows-Firewall prüfen, aber der DC setzt die Regeln dafür passend und an der Stelle sollte nichts blockiert werden - sofern man nicht daran rumgespielt hat.

Wenn der DC sich korrekt die Zeiten zieht, dann kannst alle anderen Clients auch darauf umstellen. Wenn du Hyper-V/VMWare hast, musst du einen alternativen Zeitserver zum DC haben, damit diese sich die Zeit auch holen können wenn der DC mal nicht erreichbar ist.

Und nein, ein DNS Problem hast du nicht, dass erkennt man an deinem Screenshot wo die Adresse pingen willst und der dazuz eine IP Adresse ausgibt.
ni.sch
Lösung ni.sch 28.04.2023 um 14:46:29 Uhr
Goto Top
Auf der Securepoint gehst du auf:
Netzwerk->Servereinstellungen und kannst dort sehen was die SP als Zeitserver hat. Standard ist ntp.securepoint.de

Die SP ist default ein Zeitserver. Du kannst also deinem DC ihre IP als Quelle geben und gibst halt der SP bei Bedarf deinen Wunschzeitserver.

Ich nehme gerne die der PTB.

Sollte die SP keine Zeit verteilen schaust du unter Anwendungen -> Anwendungsstatus nach ob bei NTP-Server das grüne Quadrat davor ist, ansonsten rechts in der Spalte auf "Play" drücken.

Kannst du ja mit einem Client testen.
EDVdevel
EDVdevel 02.05.2023 um 19:56:29 Uhr
Goto Top
UTC kennt keine Schaltsekunde - läuft einfach immer weiter. (wie die Uhr in San Demas; Bill & Ted)
Vielleicht liegt es daran.