killtec
Goto Top

Uhren gehen immer wieder falsch

Hallo,
ich habe folgende Konstellation:
1. Physischer DC
Div. Virtuelle DC's auf Hyper-V Servern

Die Hyper-V-Server, der Physische DC und die VM-DC's sind so eingestellt, dass die sich die Uhrzeit via ntp wie folgt ziehen:

w32tm /config /manualpeerlist:"de.pool.ntp.org,0x1"  
w32tm /config /reliable:yes
reg import C:\temp\maxpos_negphasecorrection.reg
net stop w32time && net start w32time
w32tm /config /update
w32tm /resync /rediscover
Hier die Reg-File:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"MaxNegPhaseCorrection"=dword:0002a300  
"MaxPosPhaseCorrection"=dword:0002a300  

Es kommt jedoch vor, dass die Uhrzen immer wieder falsch gehen, auch auf anderen vservern auf den Hosts.

Hat jemand eine Idee oder einen Tipp, wie man das umgehen kann? Die obrigen Einstellungen habe ich eingestellt, da das Problem vorher schon aufgetreten ist.

OS: Windows Server 2012R2 - 2016

Gruß

Content-Key: 398521

Url: https://administrator.de/contentid/398521

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: brammer
brammer 17.01.2019 um 09:42:43 Uhr
Goto Top
Hallo,

zieht jeder Server die Zeit selbständig von pool.ntp.org?

Dann lass die Zeit besser vom Hyper -V holen, und verteile die Zeit von dort an die einzelnen Server.

brammer
Mitglied: Spirit-of-Eli
Spirit-of-Eli 17.01.2019 um 09:43:29 Uhr
Goto Top
Moin,

best practice ist das sich alle Maschinen die Zeit von den DCs ziehen.
Ansonsten können die auch auseinander laufen.

Beachte das die VMs sich die Zeit ohne Deaktivierung auch nach deiner Anpassung noch vom Host holen.

Gruß
Spirit
Mitglied: emeriks
emeriks 17.01.2019 aktualisiert um 09:45:14 Uhr
Goto Top
Hi,
immer wieder der selbe Fehler:
In einem AD-Umfeld nur den PDC-Emulator der Stammdomäne mit einer externen Zeitquelle abgleichen. Alle anderen Domaincontroller und Domain Member - egal welcher Domäne in der Gesamtstruktur - über den Standardmechanismus abgleichen lassen.

How the Windows Time Service Works
Absatz "Domain Hierarchy-Based Synchronization"

E.
Mitglied: clSchak
clSchak 17.01.2019 um 09:46:59 Uhr
Goto Top
Hi

wir haben alle VM Hosts als NTP Server den physikalischen DC gesetzt bei uns und asynchrone Zeiten haben wir nirgendwo. Ich kenne das Problem allerdings, ab und an ziehen sich die VMs die Uhrzeit von dem Host und nicht von dem DC und aus dem Grund haben wir bei allen Hosts den DC fest eingetragen, wir nutzen allerdings VMWare.

Ich würde auch nicht jeden Rechner seine Zeit selbst von einem externen Zeitserver holen lassen, sondern alle auf einen DC zeigen lassen, ansonsten bekommst ein Problem wenn eine DC sich mal nicht die Zeit sauber geholt hat und dann 5 Minuten außerhalb der Kerberos Range rennt, dann hast ganz andere Probleme.

Lieber im gesamten AD die gleiche (falsche) Uhrzeit wie auf einzelnen DC's unterschiedliche Uhrzeiten.

Du kannst natürlich auch deinen Router als Zeitserver einrichten statt einen DC (Ruckus Geräte können das) oder eine andere lokale Variante, aber ich würde nicht jeden Server & Client selbst die Zeit mit einen externen Zeitserver syncen lassen.

Gruß
@clSchak
Mitglied: 137846
137846 17.01.2019 aktualisiert um 09:52:49 Uhr
Goto Top
de.pool.ntp.org
Und zusätzlich zu den o.g. wichtigen Dingen. Du holst die Zeit aus einem Pool von Servern, die Liste der Server ändert sich jede Stunde, habe dort schon feststellen müssen das die Server manchmal teilweise erheblich voneinander abweichen. Es kann also sein das du vom Pool jedes mal einen anderen Server bekommst und so die Zeit dann eben immer eine andere ist.
Es kommt jedoch vor, dass die Uhrzen immer wieder falsch gehen
Wie falsch? Schwammiger geht's nicht...

Gruß A.

Btw. beim ersten Befehl fehlt das /syncfromflags:manual
Mitglied: Spirit-of-Eli
Spirit-of-Eli 17.01.2019 um 09:54:58 Uhr
Goto Top
Der große Punkt bei VMs ist das diese initial als erstes den Host fragen.

Mwn. Lässt sich das auch nur durch einen Reg-Key ändern. Eine GPO gibt es nicht.
Mitglied: emeriks
emeriks 17.01.2019 aktualisiert um 10:04:02 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
Der große Punkt bei VMs ist das diese initial als erstes den Host fragen.
Ja, das ist auch logisch und notwendig. Da die VM keine eigene Hardware hat, hat sie auch keine eigene Hardware-Uhr. Also muss das BIOS der VM beim Einschalten der VM die Zeit vom Host übernehmen.
Mitglied: emeriks
emeriks 17.01.2019 um 10:03:45 Uhr
Goto Top
Zitat von @clSchak:
ab und an ziehen sich die VMs die Uhrzeit von dem Host
Beim Einschalten.
wir nutzen allerdings VMWare.
Dort ist es meines Wissens standardmäßig deaktiviert, dass sich eine laufende VM mit dem Host abgleicht. Nur beim Einschalten.
Mitglied: Frank44
Frank44 17.01.2019 um 10:16:04 Uhr
Goto Top
Hi

hatte mal ein ähnliches Problem bei VMs

Bei mir war das Backup-Prog der Schuldige

siehe https://www.devilsystems.org/2017/02/14/vmware-esx-veeam-windows-server- ...


Gruß
Frank
Mitglied: killtec
killtec 17.01.2019 um 10:17:10 Uhr
Goto Top
Ok, dann ändere ich mein System der Zeitsync mal auf 1. Physischer Server zieht Zeit aus dem Netz und der Rest von ihm.

Hinweis: Die Hyper-V hosts sind alle Domain-Members.

Mit falsch gehen ist gemeint: Manche gehen vor, manche nach.
Das mit den 5 Min bei Kerberos ist mir bekannt, daher frage ich hier nach face-smile

Schaue mir jetzt mal den Link von MS an und werde das denke so umbauen.

Gruß
Mitglied: emeriks
emeriks 17.01.2019 um 10:26:38 Uhr
Goto Top
Zitat von @killtec:
Ok, dann ändere ich mein System der Zeitsync mal auf 1. Physischer Server zieht Zeit aus dem Netz und der Rest von ihm.
Wenn es der DC mit PDC-Emulator der Stammdomäne ist.
Mitglied: killtec
killtec 17.01.2019 aktualisiert um 10:32:04 Uhr
Goto Top
Ja, ist er, ist bewusst wegen eines HA-Clusters ein physischer Server.

Ich brauche ja nur den Win32 Time Dienst zurück setzen, richtig?

net Stop W32time
W32tm.exe /unregister
W32tm.exe /register
net Start W32time

Gruß
Mitglied: Looser27
Looser27 17.01.2019 um 10:34:06 Uhr
Goto Top
Ich ein ähnliches Problem letztens.
Darauf hin habe ich eine GPO für die DCs konfiguriert, in die der gewünschte NTP Server eingetragen wurde.
Nach einem Tag schlugen wieder alle Herzen im selben Takt (Abweichung max. 2s).

Gruß

Looser

P.S.: Unsere VM-Hosts holen sich ihre Zeit beim physischen DC. Somit würde es auch nichts ausmachen, wenn sich eine VM versehentlich mal die Zeit beim Host abholen würde.
Mitglied: killtec
killtec 17.01.2019 um 11:54:36 Uhr
Goto Top
Hi,
ich würde das via GPO wie hier beschrieben machen:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...

Müsste ich dann nicht im Teil 2 den Namen des PDC Emulators angeben?

Gruß
Mitglied: Looser27
Looser27 17.01.2019 um 12:02:25 Uhr
Goto Top
Ich habe nur in der Domain-Controller-Policy unter
Computerkonfig - Adm.Vorlagen - System - Windows-Zeitdienst

den NTP-Client aktiviert
den Client mit dem NTP-Server versehen

Das wars. Seit dem läuft das, wie oben beschrieben.
Mitglied: killtec
killtec 17.01.2019 um 12:09:46 Uhr
Goto Top
Also demnach nur den Schritt 1 davon gemacht?
oder hast du die WMIC Filter raus gelassen? Hab eine separate Policy dafür.

Gruß
Mitglied: emeriks
emeriks 17.01.2019 aktualisiert um 13:15:37 Uhr
Goto Top
Zitat von @killtec:
Hi,
ich würde das via GPO wie hier beschrieben machen:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Ich halte beides, den von Dir genannten Artikel sowie den dort genannten Blog-Artikel, für überflüssig bzw. sehe dieses nur in einem anderen Szenario.

Man kann einen Windows Computer als Zeitquelle für "Dritte" einrichten. Mit "Dritte" meine ich alle Geräte, welche eine Zeitquelle brauchen und keine Windows Computer als Domain Member sind. Switche, Router, Kaffemaschinen, Staubsauger, Waschmaschinen usw.
Da eine GPO mit WMI-Filter aber eh nur für Domain Member gilt, halte ich sowas dafür für sinnlos/überflüssig, weil das ja in der Hierarchie des AD schon geregelt ist, wo und wie sich die Domain Member abgleichen sollen.
Mitglied: Looser27
Looser27 17.01.2019 um 12:13:42 Uhr
Goto Top
Zitat von @killtec:

Also demnach nur den Schritt 1 davon gemacht?
oder hast du die WMIC Filter raus gelassen? Hab eine separate Policy dafür.

Gruß

Ich habe keine WMI Filter gesetzt. Mir ging es nur darum, dass der NTP, den ich vorgebe von den DCs auch benutzt wird.
Mitglied: killtec
killtec 17.01.2019 um 12:56:24 Uhr
Goto Top
Ich will ja nur,
dass die Server alle die gleiche Zeit haben, das haben Sie leider nicht, daher mein 1. Versuch wie oben beschrieben. Leider sind diese immer noch unterschiedlich.
Daher würde ich das System gern so haben, dass alle Server sich in der AD die Zeit holen, und die AD'S, bzw. PDC Emulator die Zeit aus dem Netz von einem Zeitserver.

Unsere Kaffeemaschinen sind leider noch nicht am Netz, sonst könnte ich meinen Kaffee vorbestellen... ;)

Gruß
Mitglied: maretz
maretz 17.01.2019 um 14:42:45 Uhr
Goto Top
kann es sein das du in deinem host einfach eingestellt hast das er über den Hyper-V-Dienst die Zeiten auch aktuallisiert? Weil dann is klar - wenn dessen Zeit falsch geht (bzw. vom DC abweicht) dann springt das hin und her...
Mitglied: killtec
killtec 17.01.2019 um 14:57:46 Uhr
Goto Top
WIll ich nicht ausschließen, habe dies aber nicht explizit ein / umgestellt.
Die Hyper-V Hosts sind allergins Domain Members und sollten sich somit die Zeit vom PDC Emulator oder einem Der DC's holen... Nur wenn hier schon was quer hängt...

Gruß
Mitglied: killtec
killtec 17.01.2019 um 15:09:57 Uhr
Goto Top
So, hab die Integration der Zeitsyn abgeschaltet, mal schauen wie das System nun läuft.
Mitglied: erikro
erikro 17.01.2019 um 16:28:06 Uhr
Goto Top
Moin,

Zitat von @emeriks:

Zitat von @killtec:
Hi,
ich würde das via GPO wie hier beschrieben machen:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Ich halte beides, den von Dir genannten Artikel sowie den dort genannten Blog-Artikel, für überflüssig bzw. sehe dieses nur in einem anderen Szenario.

Dem kann ich nur zustimmen. Es wird wohl niemals aufhören, dass die Leuts an der Zeitsynchronisierung in der Domain rumfummeln und sich dann wundern, warum es hinterher nicht mehr geht. face-wink Allerdings ist der Artikel nicht vollkommen überflüssig. Da steht ja am Anfang:

Es gibt allerdings auch Probleme, die mit Hilfe dieses How-To's korrigiert, bzw. vermieden werden können.

1. fehlerhaft konfigurierte Zeitdiensteinstellungen auf Servern und PCs einer Domäne Viele werden in den Newsgroups/Foren dann ebenfalls Aussagen finden, die sinngemäß lauten: „Fasse den Zeitdienst nicht an, dann funktioniert auch alles.“ Wenn allerdings schon „Verschlimmbesserungen“ versucht wurden, steht mittels Gruppenrichtlinien eine schnelle, einfache und zentrale Möglichkeit zur Verfügung, die Fehler zu korrigieren.

Das ist also eher eine Reparaturanweisung, wenn man es vollkommen versaut hat. face-wink

Liebe Grüße

Erik
Mitglied: M4rtin1
M4rtin1 21.02.2022 aktualisiert um 11:01:29 Uhr
Goto Top
Hallo,
ich habe das gleiche Problem. Habe alle möglichen Howtos durch:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
https://think.unblog.ch/windows-server-2012-ntp-konfiguration/

Die Uhrzeit bleibt falsch. Sogar wenn ich sie manuell ändere (ich war schon so verzweifelt) springt sie sofort wieder auf die falsche Uhrzeit.

In der Ereignisanzeige steht:
Der Zeitanbieter "NtpClient" empfängt derzeit gültige Zeitdaten von 0.de.pool.ntp.org (ntp.m|0x0|0.0.0.0:123->144.76.76.107:123).  

Ein paar Sekunden später steht:
Der Zeitdienst synchronisiert die Systemzeit mit folgender Zeitquelle: VM IC Time Synchronization Provider.

Habt ihr noch eine Idee?
Mitglied: Spirit-of-Eli
Spirit-of-Eli 21.02.2022 um 11:55:49 Uhr
Goto Top
Zitat von @M4rtin1:

Hallo,
ich habe das gleiche Problem. Habe alle möglichen Howtos durch:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
https://think.unblog.ch/windows-server-2012-ntp-konfiguration/

Die Uhrzeit bleibt falsch. Sogar wenn ich sie manuell ändere (ich war schon so verzweifelt) springt sie sofort wieder auf die falsche Uhrzeit.

In der Ereignisanzeige steht:
Der Zeitanbieter "NtpClient" empfängt derzeit gültige Zeitdaten von 0.de.pool.ntp.org (ntp.m|0x0|0.0.0.0:123->144.76.76.107:123).  

Ein paar Sekunden später steht:
Der Zeitdienst synchronisiert die Systemzeit mit folgender Zeitquelle: VM IC Time Synchronization Provider.

Habt ihr noch eine Idee?

Bitte neuen Thread erstellen.