Problem mit Computer und Serverzeit
Hallo liebe IT-Kollegen,
ich habe ein kleines Problem. Und zwar ist die Computer-Zeit und sie Serverzeit nicht gleich.
So ist es auf dem Servern aktuell 15:24 und auf dem Computer 15:27 Uhr. Die Computerzeit wäre die richtige.
Nun wollte ich mal Testhalber versuchen mich mit dem Zeitserver zu verbinden.
Da habe ich mit diesem Befehl einen Fehler erhalten welcher im Anhang als Bild angefügt wurde:
w32tm /stripchart /computer:0.de.pool.ntp.org /samples:5 /dataonly
Es kann weder an der Firewall noch am Anti-Viren-Programm liegen.
Habe eine Freigabe auf der Firewall hinzugefügt und die Anti-Viren-Software deaktiviert.
Schätzungsweise ist einfach die CMOS-Zeit an den Servern nicht korrekt. Das überprüfe ich noch.
Aber vielleicht kennt ja jemand eine Bessere Lösung, denn ich kann auch die Zeit am Hyper-V-Host nicht ändern.
Auch kommt beim Befehl:
w32tm /resync
Der Fehler:
Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar waren.
Ich habe alle möglichen Gruppenrichtlinien und Registry-Einträge überprüft und testhalber geändert, die mir so eingefallen sind.
Vielleicht fällt euch ja was ein :D
Beste Grüße!
ich habe ein kleines Problem. Und zwar ist die Computer-Zeit und sie Serverzeit nicht gleich.
So ist es auf dem Servern aktuell 15:24 und auf dem Computer 15:27 Uhr. Die Computerzeit wäre die richtige.
Nun wollte ich mal Testhalber versuchen mich mit dem Zeitserver zu verbinden.
Da habe ich mit diesem Befehl einen Fehler erhalten welcher im Anhang als Bild angefügt wurde:
w32tm /stripchart /computer:0.de.pool.ntp.org /samples:5 /dataonly
Es kann weder an der Firewall noch am Anti-Viren-Programm liegen.
Habe eine Freigabe auf der Firewall hinzugefügt und die Anti-Viren-Software deaktiviert.
Schätzungsweise ist einfach die CMOS-Zeit an den Servern nicht korrekt. Das überprüfe ich noch.
Aber vielleicht kennt ja jemand eine Bessere Lösung, denn ich kann auch die Zeit am Hyper-V-Host nicht ändern.
Auch kommt beim Befehl:
w32tm /resync
Der Fehler:
Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar waren.
Ich habe alle möglichen Gruppenrichtlinien und Registry-Einträge überprüft und testhalber geändert, die mir so eingefallen sind.
Vielleicht fällt euch ja was ein :D
Beste Grüße!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6910719527
Url: https://administrator.de/contentid/6910719527
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
23 Kommentare
Neuester Kommentar
Hi,
ich / wir kennen natürlich nicht deine "Netzwerkumgebung".
Aber ich würde, die Firewall als "NTP Server" setzen.
Ist die Firewall als VM oder als BareMetal vorhanden?
Die Windows Clients ziehen sich standardmäßig die Zeit vom DC (PDC), sofern einer vorhanden ist.
Anbei ein Link von Microsoft Docs
https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/c ...
Grüße
ich / wir kennen natürlich nicht deine "Netzwerkumgebung".
Aber ich würde, die Firewall als "NTP Server" setzen.
Ist die Firewall als VM oder als BareMetal vorhanden?
Die Windows Clients ziehen sich standardmäßig die Zeit vom DC (PDC), sofern einer vorhanden ist.
Anbei ein Link von Microsoft Docs
https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/c ...
Grüße
Zitat von @zMaYpeTx:
Die beiden Hosts bekommen Ihre Zeit eigentlich vom DC für das Cluster aber das funktioniert auch nur bei einem. Der andere gibt die Zeit via Itegrationsdienst an den DC (VM) weiter was ja logisch ist denke ich.
Okay, also ein virtueller DC, dann sollte generell der VM "Zeitintegrationsdienst" des HV deaktiviert werden.
Ich meine das dies dann genau zu solchen "Zeitfehlern" führt. Und sowas mag Kerberos gar nicht :D
https://wmatthyssen.com/2020/02/28/hyper-v-configure-time-synchronizatio ...
Vielleicht hat jemand anders noch eine Idee, bzw. einen Lösungsansatz.
Gruß
Ich habe pool.ntp.org im Proxy ausgenommen, die WIndows Firewall deaktiviert und die IP in der Physischen Firewall
Ich/ Wir wissen auch nicht, welche "Befehle" du bereits so Aus- bzw. durchgeführt hast.
Dementsprechend ist es etwas schwierig für dich den richtigen Lösungsansatz zubekommen.
Also die Windows Firewall Einstellungen sollten eigentlich passen. Und dort brauchst du eigentlich nichts einstellen.
Ist der NTP-Dienst / Server in der Firewall aktiviert??? Und ist der "Zeitintegrationsdienst" vom HV deaktiviert???
Gruß
Den Dienst habe ich nicht aktiviert. Die Firewall holt sich die Zeit von einem Server der Herstellerfirma. Das scheint zu funktionieren.
Der Zeitintegrationsdienst in Hyper-V ist deaktiviert ( zumindest für den DC ).
Der Zeitintegrationsdienst in Hyper-V ist deaktiviert ( zumindest für den DC ).
Ohne NTP Dienst / Server (Firewall), kann auch kein Client / Server die Zeit von der Firewall aktualisieren!
Ich würde meinen DC / die DCs gerne über de.pool.ntp.org bzw pool.nt.org syncronisieren.
Diese kann ich aber nicht anpingen.
Diese kann ich aber nicht anpingen.
Und wenn mal keine Internetverbindung da ist, würde ich die Zeit auch nicht aus dem Internet synchronisieren lassen.
Wenn das nicht in der Firewall konfiguriert ist, wird das auch schwierig. Warum soll / muss das aus dem Internet sein (tracert)?
Laut dem Ereignisprotokoll schein es ja ein DNS-Auflösungsfehler zu sein.
Naja, Windowsfehlermeldungen müssen nicht immer stimmen.Wenn die Firewall "NEIN" sagt, gibt es natürlich DNS Probleme. Wenn z.B NTP nicht "erlaubt" ist !
Gruß
Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann
Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.
Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.
Zitat von @Kristian-86Bit:
Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.
Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.
Muss es nicht. Ich finde nur keinen Artikel wie ich die UTM als Zeitserver einrichten kann
Wenn es nicht muss, dann lass den Server doch die Zeit von dir Firewall ziehen.
Die Firewall kann ja einen "externen" Zeitgeber haben.
Also sprechen wir von einer Sophos UTM Firewall? Oder XG?
"Falls" es eine Sophos UTM ist, kann ich dir versichern, dass es definitiv diesen Artikel im Handbuch gibt.
P.S es kann auch eine IP-Adresse *hust* als Zeitserver angegeben werden ;)
Ja mir ist bewusst, dass das das BIOS ist. Eigestellt wäre aber pool.ntp.org.
Ich werde wsl einfach den Integrtionsdienst wieder aktivieren und die BIOS Zeit richtig stellen.
Im nachhinein kann dann mal ein externer drauf schaun.
Danke trotzdem
Schönen Abend noch
Ich werde wsl einfach den Integrtionsdienst wieder aktivieren und die BIOS Zeit richtig stellen.
Im nachhinein kann dann mal ein externer drauf schaun.
Danke trotzdem
Schönen Abend noch
Ja, es widerspricht sich halt irgendwie, von den zuvor geschriebenen Aussagen.
Drücke dir auf jeden Fall die Daumen und wünsche dir viel Erfolg.
Gruß
Hi
Schaue dir die Logs auf der Firewall an ob etwas auf Port TCP:123 blockiert wird (dann kannst auch direkt prüfen ob Ping/ICMP[echo] blockiert wird), der Port muss für den DC offen sein damit dieser die eingerichteten Server erreichen kann. Es kann auch sein, dass du dediziert das Protokoll NTP freigeben muss, liegt immer ein wenig am Hersteller und wie das Regelset aufgebaut ist - aber wie bereits geschrieben: prüfe die Logs der Firewall, die werden dir sagen warum werder der Ping noch NTP durchkommen.
Kannst auch additiv die Windows-Firewall prüfen, aber der DC setzt die Regeln dafür passend und an der Stelle sollte nichts blockiert werden - sofern man nicht daran rumgespielt hat.
Wenn der DC sich korrekt die Zeiten zieht, dann kannst alle anderen Clients auch darauf umstellen. Wenn du Hyper-V/VMWare hast, musst du einen alternativen Zeitserver zum DC haben, damit diese sich die Zeit auch holen können wenn der DC mal nicht erreichbar ist.
Und nein, ein DNS Problem hast du nicht, dass erkennt man an deinem Screenshot wo die Adresse pingen willst und der dazuz eine IP Adresse ausgibt.
Schaue dir die Logs auf der Firewall an ob etwas auf Port TCP:123 blockiert wird (dann kannst auch direkt prüfen ob Ping/ICMP[echo] blockiert wird), der Port muss für den DC offen sein damit dieser die eingerichteten Server erreichen kann. Es kann auch sein, dass du dediziert das Protokoll NTP freigeben muss, liegt immer ein wenig am Hersteller und wie das Regelset aufgebaut ist - aber wie bereits geschrieben: prüfe die Logs der Firewall, die werden dir sagen warum werder der Ping noch NTP durchkommen.
Kannst auch additiv die Windows-Firewall prüfen, aber der DC setzt die Regeln dafür passend und an der Stelle sollte nichts blockiert werden - sofern man nicht daran rumgespielt hat.
Wenn der DC sich korrekt die Zeiten zieht, dann kannst alle anderen Clients auch darauf umstellen. Wenn du Hyper-V/VMWare hast, musst du einen alternativen Zeitserver zum DC haben, damit diese sich die Zeit auch holen können wenn der DC mal nicht erreichbar ist.
Und nein, ein DNS Problem hast du nicht, dass erkennt man an deinem Screenshot wo die Adresse pingen willst und der dazuz eine IP Adresse ausgibt.
Auf der Securepoint gehst du auf:
Netzwerk->Servereinstellungen und kannst dort sehen was die SP als Zeitserver hat. Standard ist ntp.securepoint.de
Die SP ist default ein Zeitserver. Du kannst also deinem DC ihre IP als Quelle geben und gibst halt der SP bei Bedarf deinen Wunschzeitserver.
Ich nehme gerne die der PTB.
Sollte die SP keine Zeit verteilen schaust du unter Anwendungen -> Anwendungsstatus nach ob bei NTP-Server das grüne Quadrat davor ist, ansonsten rechts in der Spalte auf "Play" drücken.
Kannst du ja mit einem Client testen.
Netzwerk->Servereinstellungen und kannst dort sehen was die SP als Zeitserver hat. Standard ist ntp.securepoint.de
Die SP ist default ein Zeitserver. Du kannst also deinem DC ihre IP als Quelle geben und gibst halt der SP bei Bedarf deinen Wunschzeitserver.
Ich nehme gerne die der PTB.
Sollte die SP keine Zeit verteilen schaust du unter Anwendungen -> Anwendungsstatus nach ob bei NTP-Server das grüne Quadrat davor ist, ansonsten rechts in der Spalte auf "Play" drücken.
Kannst du ja mit einem Client testen.