25
Uhren gehen immer wieder falsch
Hallo,
ich habe folgende Konstellation:
1. Physischer DC
Div. Virtuelle DC's auf Hyper-V Servern
Die Hyper-V-Server, der Physische DC und die VM-DC's sind so eingestellt, dass die sich die Uhrzeit via ntp wie folgt ziehen:
Hier die Reg-File:
Es kommt jedoch vor, dass die Uhrzen immer wieder falsch gehen, auch auf anderen vservern auf den Hosts.
Hat jemand eine Idee oder einen Tipp, wie man das umgehen kann? Die obrigen Einstellungen habe ich eingestellt, da das Problem vorher schon aufgetreten ist.
OS: Windows Server 2012R2 - 2016
Gruß
ich habe folgende Konstellation:
1. Physischer DC
Div. Virtuelle DC's auf Hyper-V Servern
Die Hyper-V-Server, der Physische DC und die VM-DC's sind so eingestellt, dass die sich die Uhrzeit via ntp wie folgt ziehen:
w32tm /config /manualpeerlist:"de.pool.ntp.org,0x1"
w32tm /config /reliable:yes
reg import C:\temp\maxpos_negphasecorrection.reg
net stop w32time && net start w32time
w32tm /config /update
w32tm /resync /rediscoverWindows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"MaxNegPhaseCorrection"=dword:0002a300
"MaxPosPhaseCorrection"=dword:0002a300 Es kommt jedoch vor, dass die Uhrzen immer wieder falsch gehen, auch auf anderen vservern auf den Hosts.
Hat jemand eine Idee oder einen Tipp, wie man das umgehen kann? Die obrigen Einstellungen habe ich eingestellt, da das Problem vorher schon aufgetreten ist.
OS: Windows Server 2012R2 - 2016
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 398521
Url: https://administrator.de/contentid/398521
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
25 Kommentare
Neuester Kommentar
Hallo,
zieht jeder Server die Zeit selbständig von pool.ntp.org?
Dann lass die Zeit besser vom Hyper -V holen, und verteile die Zeit von dort an die einzelnen Server.
brammer
zieht jeder Server die Zeit selbständig von pool.ntp.org?
Dann lass die Zeit besser vom Hyper -V holen, und verteile die Zeit von dort an die einzelnen Server.
brammer
Moin,
best practice ist das sich alle Maschinen die Zeit von den DCs ziehen.
Ansonsten können die auch auseinander laufen.
Beachte das die VMs sich die Zeit ohne Deaktivierung auch nach deiner Anpassung noch vom Host holen.
Gruß
Spirit
best practice ist das sich alle Maschinen die Zeit von den DCs ziehen.
Ansonsten können die auch auseinander laufen.
Beachte das die VMs sich die Zeit ohne Deaktivierung auch nach deiner Anpassung noch vom Host holen.
Gruß
Spirit
Hi,
immer wieder der selbe Fehler:
In einem AD-Umfeld nur den PDC-Emulator der Stammdomäne mit einer externen Zeitquelle abgleichen. Alle anderen Domaincontroller und Domain Member - egal welcher Domäne in der Gesamtstruktur - über den Standardmechanismus abgleichen lassen.
How the Windows Time Service Works
Absatz "Domain Hierarchy-Based Synchronization"
E.
immer wieder der selbe Fehler:
In einem AD-Umfeld nur den PDC-Emulator der Stammdomäne mit einer externen Zeitquelle abgleichen. Alle anderen Domaincontroller und Domain Member - egal welcher Domäne in der Gesamtstruktur - über den Standardmechanismus abgleichen lassen.
How the Windows Time Service Works
Absatz "Domain Hierarchy-Based Synchronization"
E.
Hi
wir haben alle VM Hosts als NTP Server den physikalischen DC gesetzt bei uns und asynchrone Zeiten haben wir nirgendwo. Ich kenne das Problem allerdings, ab und an ziehen sich die VMs die Uhrzeit von dem Host und nicht von dem DC und aus dem Grund haben wir bei allen Hosts den DC fest eingetragen, wir nutzen allerdings VMWare.
Ich würde auch nicht jeden Rechner seine Zeit selbst von einem externen Zeitserver holen lassen, sondern alle auf einen DC zeigen lassen, ansonsten bekommst ein Problem wenn eine DC sich mal nicht die Zeit sauber geholt hat und dann 5 Minuten außerhalb der Kerberos Range rennt, dann hast ganz andere Probleme.
Lieber im gesamten AD die gleiche (falsche) Uhrzeit wie auf einzelnen DC's unterschiedliche Uhrzeiten.
Du kannst natürlich auch deinen Router als Zeitserver einrichten statt einen DC (Ruckus Geräte können das) oder eine andere lokale Variante, aber ich würde nicht jeden Server & Client selbst die Zeit mit einen externen Zeitserver syncen lassen.
Gruß
@clSchak
wir haben alle VM Hosts als NTP Server den physikalischen DC gesetzt bei uns und asynchrone Zeiten haben wir nirgendwo. Ich kenne das Problem allerdings, ab und an ziehen sich die VMs die Uhrzeit von dem Host und nicht von dem DC und aus dem Grund haben wir bei allen Hosts den DC fest eingetragen, wir nutzen allerdings VMWare.
Ich würde auch nicht jeden Rechner seine Zeit selbst von einem externen Zeitserver holen lassen, sondern alle auf einen DC zeigen lassen, ansonsten bekommst ein Problem wenn eine DC sich mal nicht die Zeit sauber geholt hat und dann 5 Minuten außerhalb der Kerberos Range rennt, dann hast ganz andere Probleme.
Lieber im gesamten AD die gleiche (falsche) Uhrzeit wie auf einzelnen DC's unterschiedliche Uhrzeiten.
Du kannst natürlich auch deinen Router als Zeitserver einrichten statt einen DC (Ruckus Geräte können das) oder eine andere lokale Variante, aber ich würde nicht jeden Server & Client selbst die Zeit mit einen externen Zeitserver syncen lassen.
Gruß
@clSchak
de.pool.ntp.org
Und zusätzlich zu den o.g. wichtigen Dingen. Du holst die Zeit aus einem Pool von Servern, die Liste der Server ändert sich jede Stunde, habe dort schon feststellen müssen das die Server manchmal teilweise erheblich voneinander abweichen. Es kann also sein das du vom Pool jedes mal einen anderen Server bekommst und so die Zeit dann eben immer eine andere ist.Es kommt jedoch vor, dass die Uhrzen immer wieder falsch gehen
Wie falsch? Schwammiger geht's nicht...Gruß A.
Btw. beim ersten Befehl fehlt das /syncfromflags:manual
Der große Punkt bei VMs ist das diese initial als erstes den Host fragen.
Mwn. Lässt sich das auch nur durch einen Reg-Key ändern. Eine GPO gibt es nicht.
Mwn. Lässt sich das auch nur durch einen Reg-Key ändern. Eine GPO gibt es nicht.
Ja, das ist auch logisch und notwendig. Da die VM keine eigene Hardware hat, hat sie auch keine eigene Hardware-Uhr. Also muss das BIOS der VM beim Einschalten der VM die Zeit vom Host übernehmen.
Beim Einschalten.
wir nutzen allerdings VMWare.
Dort ist es meines Wissens standardmäßig deaktiviert, dass sich eine laufende VM mit dem Host abgleicht. Nur beim Einschalten.
Hi
hatte mal ein ähnliches Problem bei VMs
Bei mir war das Backup-Prog der Schuldige
siehe https://www.devilsystems.org/2017/02/14/vmware-esx-veeam-windows-server- ...
Gruß
Frank
hatte mal ein ähnliches Problem bei VMs
Bei mir war das Backup-Prog der Schuldige
siehe https://www.devilsystems.org/2017/02/14/vmware-esx-veeam-windows-server- ...
Gruß
Frank
Ok, dann ändere ich mein System der Zeitsync mal auf 1. Physischer Server zieht Zeit aus dem Netz und der Rest von ihm.
Hinweis: Die Hyper-V hosts sind alle Domain-Members.
Mit falsch gehen ist gemeint: Manche gehen vor, manche nach.
Das mit den 5 Min bei Kerberos ist mir bekannt, daher frage ich hier nach
Schaue mir jetzt mal den Link von MS an und werde das denke so umbauen.
Gruß
Hinweis: Die Hyper-V hosts sind alle Domain-Members.
Mit falsch gehen ist gemeint: Manche gehen vor, manche nach.
Das mit den 5 Min bei Kerberos ist mir bekannt, daher frage ich hier nach
Schaue mir jetzt mal den Link von MS an und werde das denke so umbauen.
Gruß
Zitat von @killtec:
Ok, dann ändere ich mein System der Zeitsync mal auf 1. Physischer Server zieht Zeit aus dem Netz und der Rest von ihm.
Wenn es der DC mit PDC-Emulator der Stammdomäne ist.Ok, dann ändere ich mein System der Zeitsync mal auf 1. Physischer Server zieht Zeit aus dem Netz und der Rest von ihm.
Ja, ist er, ist bewusst wegen eines HA-Clusters ein physischer Server.
Ich brauche ja nur den Win32 Time Dienst zurück setzen, richtig?
Gruß
Ich brauche ja nur den Win32 Time Dienst zurück setzen, richtig?
net Stop W32time
W32tm.exe /unregister
W32tm.exe /register
net Start W32timeGruß
Ich ein ähnliches Problem letztens.
Darauf hin habe ich eine GPO für die DCs konfiguriert, in die der gewünschte NTP Server eingetragen wurde.
Nach einem Tag schlugen wieder alle Herzen im selben Takt (Abweichung max. 2s).
Gruß
Looser
P.S.: Unsere VM-Hosts holen sich ihre Zeit beim physischen DC. Somit würde es auch nichts ausmachen, wenn sich eine VM versehentlich mal die Zeit beim Host abholen würde.
Darauf hin habe ich eine GPO für die DCs konfiguriert, in die der gewünschte NTP Server eingetragen wurde.
Nach einem Tag schlugen wieder alle Herzen im selben Takt (Abweichung max. 2s).
Gruß
Looser
P.S.: Unsere VM-Hosts holen sich ihre Zeit beim physischen DC. Somit würde es auch nichts ausmachen, wenn sich eine VM versehentlich mal die Zeit beim Host abholen würde.
Hi,
ich würde das via GPO wie hier beschrieben machen:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Müsste ich dann nicht im Teil 2 den Namen des PDC Emulators angeben?
Gruß
ich würde das via GPO wie hier beschrieben machen:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Müsste ich dann nicht im Teil 2 den Namen des PDC Emulators angeben?
Gruß
Ich habe nur in der Domain-Controller-Policy unter
Computerkonfig - Adm.Vorlagen - System - Windows-Zeitdienst
den NTP-Client aktiviert
den Client mit dem NTP-Server versehen
Das wars. Seit dem läuft das, wie oben beschrieben.
Computerkonfig - Adm.Vorlagen - System - Windows-Zeitdienst
den NTP-Client aktiviert
den Client mit dem NTP-Server versehen
Das wars. Seit dem läuft das, wie oben beschrieben.
Also demnach nur den Schritt 1 davon gemacht?
oder hast du die WMIC Filter raus gelassen? Hab eine separate Policy dafür.
Gruß
oder hast du die WMIC Filter raus gelassen? Hab eine separate Policy dafür.
Gruß
Zitat von @killtec:
Hi,
ich würde das via GPO wie hier beschrieben machen:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Ich halte beides, den von Dir genannten Artikel sowie den dort genannten Blog-Artikel, für überflüssig bzw. sehe dieses nur in einem anderen Szenario.Hi,
ich würde das via GPO wie hier beschrieben machen:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Man kann einen Windows Computer als Zeitquelle für "Dritte" einrichten. Mit "Dritte" meine ich alle Geräte, welche eine Zeitquelle brauchen und keine Windows Computer als Domain Member sind. Switche, Router, Kaffemaschinen, Staubsauger, Waschmaschinen usw.
Da eine GPO mit WMI-Filter aber eh nur für Domain Member gilt, halte ich sowas dafür für sinnlos/überflüssig, weil das ja in der Hierarchie des AD schon geregelt ist, wo und wie sich die Domain Member abgleichen sollen.
Zitat von @killtec:
Also demnach nur den Schritt 1 davon gemacht?
oder hast du die WMIC Filter raus gelassen? Hab eine separate Policy dafür.
Gruß
Also demnach nur den Schritt 1 davon gemacht?
oder hast du die WMIC Filter raus gelassen? Hab eine separate Policy dafür.
Gruß
Ich habe keine WMI Filter gesetzt. Mir ging es nur darum, dass der NTP, den ich vorgebe von den DCs auch benutzt wird.
Ich will ja nur,
dass die Server alle die gleiche Zeit haben, das haben Sie leider nicht, daher mein 1. Versuch wie oben beschrieben. Leider sind diese immer noch unterschiedlich.
Daher würde ich das System gern so haben, dass alle Server sich in der AD die Zeit holen, und die AD'S, bzw. PDC Emulator die Zeit aus dem Netz von einem Zeitserver.
Unsere Kaffeemaschinen sind leider noch nicht am Netz, sonst könnte ich meinen Kaffee vorbestellen... ;)
Gruß
dass die Server alle die gleiche Zeit haben, das haben Sie leider nicht, daher mein 1. Versuch wie oben beschrieben. Leider sind diese immer noch unterschiedlich.
Daher würde ich das System gern so haben, dass alle Server sich in der AD die Zeit holen, und die AD'S, bzw. PDC Emulator die Zeit aus dem Netz von einem Zeitserver.
Unsere Kaffeemaschinen sind leider noch nicht am Netz, sonst könnte ich meinen Kaffee vorbestellen... ;)
Gruß
kann es sein das du in deinem host einfach eingestellt hast das er über den Hyper-V-Dienst die Zeiten auch aktuallisiert? Weil dann is klar - wenn dessen Zeit falsch geht (bzw. vom DC abweicht) dann springt das hin und her...
WIll ich nicht ausschließen, habe dies aber nicht explizit ein / umgestellt.
Die Hyper-V Hosts sind allergins Domain Members und sollten sich somit die Zeit vom PDC Emulator oder einem Der DC's holen... Nur wenn hier schon was quer hängt...
Gruß
Die Hyper-V Hosts sind allergins Domain Members und sollten sich somit die Zeit vom PDC Emulator oder einem Der DC's holen... Nur wenn hier schon was quer hängt...
Gruß
So, hab die Integration der Zeitsyn abgeschaltet, mal schauen wie das System nun läuft.
Moin,
Dem kann ich nur zustimmen. Es wird wohl niemals aufhören, dass die Leuts an der Zeitsynchronisierung in der Domain rumfummeln und sich dann wundern, warum es hinterher nicht mehr geht.
Allerdings ist der Artikel nicht vollkommen überflüssig. Da steht ja am Anfang:
Das ist also eher eine Reparaturanweisung, wenn man es vollkommen versaut hat.
Liebe Grüße
Erik
Zitat von @emeriks:
Zitat von @killtec:
Hi,
ich würde das via GPO wie hier beschrieben machen:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Ich halte beides, den von Dir genannten Artikel sowie den dort genannten Blog-Artikel, für überflüssig bzw. sehe dieses nur in einem anderen Szenario.Hi,
ich würde das via GPO wie hier beschrieben machen:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Dem kann ich nur zustimmen. Es wird wohl niemals aufhören, dass die Leuts an der Zeitsynchronisierung in der Domain rumfummeln und sich dann wundern, warum es hinterher nicht mehr geht.
Allerdings ist der Artikel nicht vollkommen überflüssig. Da steht ja am Anfang:Es gibt allerdings auch Probleme, die mit Hilfe dieses How-To's korrigiert, bzw. vermieden werden können.
1. fehlerhaft konfigurierte Zeitdiensteinstellungen auf Servern und PCs einer Domäne Viele werden in den Newsgroups/Foren dann ebenfalls Aussagen finden, die sinngemäß lauten: „Fasse den Zeitdienst nicht an, dann funktioniert auch alles.“ Wenn allerdings schon „Verschlimmbesserungen“ versucht wurden, steht mittels Gruppenrichtlinien eine schnelle, einfache und zentrale Möglichkeit zur Verfügung, die Fehler zu korrigieren.
Das ist also eher eine Reparaturanweisung, wenn man es vollkommen versaut hat.
Liebe Grüße
Erik
Hallo,
ich habe das gleiche Problem. Habe alle möglichen Howtos durch:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
https://think.unblog.ch/windows-server-2012-ntp-konfiguration/
Die Uhrzeit bleibt falsch. Sogar wenn ich sie manuell ändere (ich war schon so verzweifelt) springt sie sofort wieder auf die falsche Uhrzeit.
In der Ereignisanzeige steht:
Ein paar Sekunden später steht:
Habt ihr noch eine Idee?
ich habe das gleiche Problem. Habe alle möglichen Howtos durch:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
https://think.unblog.ch/windows-server-2012-ntp-konfiguration/
Die Uhrzeit bleibt falsch. Sogar wenn ich sie manuell ändere (ich war schon so verzweifelt) springt sie sofort wieder auf die falsche Uhrzeit.
In der Ereignisanzeige steht:
Der Zeitanbieter "NtpClient" empfängt derzeit gültige Zeitdaten von 0.de.pool.ntp.org (ntp.m|0x0|0.0.0.0:123->144.76.76.107:123). Ein paar Sekunden später steht:
Der Zeitdienst synchronisiert die Systemzeit mit folgender Zeitquelle: VM IC Time Synchronization Provider.Habt ihr noch eine Idee?
Zitat von @M4rtin1:
Hallo,
ich habe das gleiche Problem. Habe alle möglichen Howtos durch:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
https://think.unblog.ch/windows-server-2012-ntp-konfiguration/
Die Uhrzeit bleibt falsch. Sogar wenn ich sie manuell ändere (ich war schon so verzweifelt) springt sie sofort wieder auf die falsche Uhrzeit.
In der Ereignisanzeige steht:
Ein paar Sekunden später steht:
Habt ihr noch eine Idee?
Hallo,
ich habe das gleiche Problem. Habe alle möglichen Howtos durch:
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
https://think.unblog.ch/windows-server-2012-ntp-konfiguration/
Die Uhrzeit bleibt falsch. Sogar wenn ich sie manuell ändere (ich war schon so verzweifelt) springt sie sofort wieder auf die falsche Uhrzeit.
In der Ereignisanzeige steht:
Der Zeitanbieter "NtpClient" empfängt derzeit gültige Zeitdaten von 0.de.pool.ntp.org (ntp.m|0x0|0.0.0.0:123->144.76.76.107:123). Ein paar Sekunden später steht:
Der Zeitdienst synchronisiert die Systemzeit mit folgender Zeitquelle: VM IC Time Synchronization Provider.Habt ihr noch eine Idee?
Bitte neuen Thread erstellen.
