frunky
Oct 27, 2020
view8583
view10
0
Goto Top

Windows 10 NTP Zeitsynchronisation Windows Domäne (local cmos clock) Uhrzeit und Datum synchronisiert nicht

GermansolvedQuestionWindows 10Microsoft
Hallo Zusammen,

ich habe in meiner Domäne (Windows Server 2019) mit Windows 10 Pro als Clients Probleme mit der Zeitsynchronisation.
Ich habe bereits entsprechende GPOs angelegt, um die Zeit zu synchronisieren.
Wenn ich den Status mit w32tm /query /status abfrage bekomme ich dieses Ergebnis:

Sprungindikator: 0(keine Warnung)
Stratum: 1 (Primärreferenz - synchron. über Funkuhr)
Präzision: -23 (119.209ns pro Tick)
Stammverzögerung: 0.0000000s
Stammabweichung: 10.0000000s
Referenz-ID: 0x4C4F434C (Quellname: "LOCL")
Letzte erfolgr. Synchronisierungszeit: 27.10.2020 18:51:51
Quelle: Local CMOS Clock
Abrufintervall: 10 (1024s)

Wenn ich mit w32tm /query /configuration die Konfiguration abfrage sieht das so aus:

[Konfiguration]

EventLogFlags: 2 (Lokal)
AnnounceFlags: 5 (Lokal)
TimeJumpAuditOffset: 28800 (Lokal)
MinPollInterval: 10 (Lokal)
MaxPollInterval: 15 (Lokal)
MaxNegPhaseCorrection: 4294967295 (Lokal)
MaxPosPhaseCorrection: 4294967295 (Lokal)
MaxAllowedPhaseOffset: 300 (Lokal)

FrequencyCorrectRate: 4 (Lokal)
PollAdjustFactor: 5 (Lokal)
LargePhaseOffset: 50000000 (Lokal)
SpikeWatchPeriod: 900 (Lokal)
LocalClockDispersion: 10 (Lokal)
HoldPeriod: 5 (Lokal)
PhaseCorrectRate: 1 (Lokal)
UpdateInterval: 30000 (Lokal)


[Zeitanbieter]

NtpClient (Lokal)
DllName: C:\WINDOWS\system32\w32time.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
CrossSiteSyncFlags: 2 (Richtlinie)
AllowNonstandardModeCombinations: 1 (Lokal)
ResolvePeerBackoffMinutes: 15 (Richtlinie)
ResolvePeerBackoffMaxTimes: 7 (Richtlinie)
CompatibilityFlags: 2147483648 (Lokal)
EventLogFlags: 0 (Richtlinie)
LargeSampleSkew: 3 (Lokal)
SpecialPollInterval: 1024 (Richtlinie)
Type: NT5DS (Richtlinie)

NtpServer (Lokal)
DllName: C:\WINDOWS\system32\w32time.dll (Lokal)
Enabled: 0 (Lokal)
InputProvider: 0 (Lokal)

Ich habe die entsprechende Firewall-Ausnahme für den UDP-Port 123 eingerichtet.

Benutze ich auf einen der Clients diesen Befehl
net time /set

so wird die Zeit einmalig mit dem Domänen Controller synchronisiert.

Vielen Dank für eure Hilfe!

Frank
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 616510

Url: https://administrator.de/contentid/616510

Printed on: April 19, 2024 at 13:04 o'clock

10 Comments
Latest comment
Goto Top
Member: primary
primary Oct 27, 2020 at 19:40:13 (UTC)
Goto Top
Entschuldige, wenn ich jetzt vielleicht auf dem Schlauch stehe.. Aber was genau ist deine Frage?
Member: jsysde
jsysde Oct 27, 2020 at 20:33:13 (UTC)
Goto Top
N'Abend.

Zitat von @frunky:
[...]Ich habe bereits entsprechende GPOs angelegt, um die Zeit zu synchronisieren.[...]
Warum? Jeder domain-joined Client fragt einen DC und synchronisiert seine Uhrzeit damit. Die DCs untereinander syncen ihre Zeit mit dem PDC-Emulator. Und das ist damit der einzige Server im AD, bei dem man die Zeitquelle irgendwie konfigurieren muss - ist dort alles gut, geht alles andere ohne weiteres Zutun, GPOs etc.

Cheers,
jsysde
heart1
Member: TK1987
TK1987 Oct 27, 2020 at 21:07:20 (UTC)
Goto Top
Moin,
w32tm /config /​syncfromflags:DOMHIER /update
net stop w32time
net start w32time

Gruß Thomas
Member: lcer00
lcer00 Oct 28, 2020 at 06:18:12 (UTC)
Goto Top
Hallo,


Zitat von @TK1987:

Moin,
w32tm /config /​syncfromflags:DOMHIER /update
> net stop w32time
> net start w32time

Domhier ist das Zauberwort.

Ansonsten - was für GPOs hast Du denn eingestellt?

Grüße

lcer
Member: frunky
frunky Oct 28, 2020 at 07:36:07 (UTC)
Goto Top
Ich habe dann heute die Lösung gefunden. Es handelt sich bei dem DC um eine VM auf HyperV Basis. Dort war bei den Integrationsdiensten der Haken gesetzt bei "Zeit mit Host synchronisieren". Den Haken habe ich entfernt und anschließend den DC neu gestartet. Danach fingen die PCs in der Domäne an sich direkt mit den DC zu synchroiniseren.
Das konnte ich mit dem Befehl

w32tm /query /status

überprüfen.

Euch allen vielen Dank für eure Hilfe.

Frank
Member: lcer00
lcer00 Oct 28, 2020 updated at 08:03:57 (UTC)
Goto Top
Hallo,
Zitat von @frunky:

Ich habe dann heute die Lösung gefunden. Es handelt sich bei dem DC um eine VM auf HyperV Basis. Dort war bei den Integrationsdiensten der Haken gesetzt bei "Zeit mit Host synchronisieren". Den Haken habe ich entfernt und anschließend den DC neu gestartet. Danach fingen die PCs in der Domäne an sich direkt mit den DC zu synchroiniseren.
Das ist aber nicht das zwingend empfohlene Setup - siehe z.B.:
https://www.windowspro.de/wolfgang-sommergut/zeiteinstellungen-windows-d ...

Leider ist der Blogbeitrag von Ben Armstrong nicht mehr auffindbar. kann aber hier: https://web.archive.org/web/20150213092132/http://blogs.msdn.com/b/virtu ... nachgelesen werden.

nachgelesen werden.

soll heißen: man kann die hyper-V Zeitsynchronisation an lassen, und den VM-PDC trotzdem als zuverlässige Zeitquelle verwenden. Auf diesem sollte dann allerdings ein externer Zeitserver (ntp) als Quelle eingestellt sein.

Grüße

lcer
Member: satosan
satosan Oct 28, 2020 updated at 11:41:54 (UTC)
Goto Top
Oder DC und jeden Client mit zBsp. NetTime syncronisieren damit alle die gleiche externe Quelle haben. Gerade im Bereich DC und Virtualisierung wuerde ich auf eine Syncronisation der Clients vom virtualisierten DC abraten.

VG Sato
Member: lcer00
lcer00 Oct 28, 2020 at 11:58:28 (UTC)
Goto Top
Hallo,
Zitat von @satosan:

Oder DC und jeden Client mit zBsp. NetTime syncronisieren damit alle die gleiche externe Quelle haben.
also das ist definitiv falsch! der PDC ist die Zeitquelle der Domäne und Ende. Alle Clients, Member-Server und DCs sollten nur mit dem PDC synchronisieren -> siehe oben: domhier!

Gerade im Bereich DC und Virtualisierung wuerde ich auf eine Syncronisation der Clients vom virtualisierten DC abraten.
siehe oben. Wenn überhaupt kann man das für den virtuellen PDC erwägen, ist aber nicht nötig, wenn der eine externe Zeitquelle hat. Die Zeitsynchronisation Hyper-V auf DC kann man sich in diesem Fall als eine Art Rhythmusgeber vorstellen, ein externer Zeitserver wird ja nicht alle paar Sekunden abgefragt, die Glättung von "virtuellen Zeitfluktuationen" besorgt die Hyper-V Synchronisierung. Sauber konfiguriert, funktioniert das.

Grüße

lcer
Member: jsysde
jsysde Oct 28, 2020 at 19:53:58 (UTC)
Goto Top
N'Abend.

Zitat von @lcer00:

Hallo,
Zitat von @satosan:
also das ist definitiv falsch! der PDC ist die Zeitquelle der Domäne und Ende. Alle Clients, Member-Server und DCs sollten nur mit dem PDC synchronisieren -> siehe oben: domhier!
Obacht - DOMHIER bedeutet NICHT, dass alle Maschinen im AD den PDC-Emulator befragen!
In einem AD wird jeder DC als vertrauenswürdige Zeitquelle angesehen, per default. Korrekt ist: Alle DCs synchronisieren gegen den PDC-Emulator, alle Server und Clients gegen den DC, der ihnen am nächsten ist/ihr Logoonserver ist.

Ben Armstrong in Ehren, aber ich schalte die Zeitsynchronisierung für virtuelle Maschinen prinzipiell ab, egal welcher Hypervisor da läuft. Der PDC-Emulator wird für NTP-Sync konfiguriert, der Rest nach DOMHIER-Manier. Damit fahre ich persönlich bisher am besten und zuverlässigsten.

Cheers,
jsysde

P.S.:
Bei der Frage, gegen welche Zeitserver sich der PCD-Emulator sich synchronisieren sollte, scheiden sich die Geister. Ich nutze vorrangig (in DE) die Server der PTB oder, wenn eben kein NTP "nach draußen" stattfinden darf, den Zeitserver des jeweiligen Gateways.
Member: lcer00
lcer00 Oct 28, 2020 updated at 21:58:27 (UTC)
Goto Top
Hallo,
Zitat von @jsysde:

Obacht - DOMHIER bedeutet NICHT, dass alle Maschinen im AD den PDC-Emulator befragen!
In einem AD wird jeder DC als vertrauenswürdige Zeitquelle angesehen, per default. Korrekt ist: Alle DCs synchronisieren gegen den PDC-Emulator, alle Server und Clients gegen den DC, der ihnen am nächsten ist/ihr Logoonserver ist.

Genau das ist ja auch der Sinn der Sache. Damit die Authentifizierung am Logonserver/DC klappt und die Kerberos-Tickets gültig sind muss hier die Uhrzeit übereinstimmen. Damit die DCs sich untereinander vertrauet, muss deren Zeit überein stimmen.
Ben Armstrong in Ehren, aber ich schalte die Zeitsynchronisierung für virtuelle Maschinen prinzipiell ab, egal welcher Hypervisor da läuft.
Naja... klar, das löst erst einmal ein paar Konfigurationshürden. Aber wie entsteht Zeit denn in der VM? Aus virtuellen zugeteilten (überbuchten ?) CPU-Takten? Wie lang sind die? Immer gleich?
Bei Linux-VMs unter Hyper-V mit aktivierter Zeitsynchronisation (z.B. Debian mit hyperv-daemons) kann man im syslog schön den Effekt nachvollziehen. Das log ist teilweise „vollgespammt“ mit Zeitkorrekturmeldungen. Die VM hat ja erst mal nur eine virtuelle Uhr. Die geht mal zu langsam, mal zu schnell. Da tickt kein Pendel. Die Zeitsynchronisation sorgt für eine regelmäßigere VM-Zeit. Die Synchronisation mit dem DC erfolgt seltener als dieser Mechanismus. Zeitsprünge werden dadurch kleiner, allerdings häufiger.
Der PDC-Emulator wird für NTP-Sync konfiguriert, der Rest nach DOMHIER-Manier. Damit fahre ich persönlich bisher am besten und zuverlässigsten.
Genau.

Grüße

lcer
GermansolvedQuestionWindows 10Microsoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment