Windows 10 NTP Zeitsynchronisation Windows Domäne (local cmos clock) Uhrzeit und Datum synchronisiert nicht
Hallo Zusammen,
ich habe in meiner Domäne (Windows Server 2019) mit Windows 10 Pro als Clients Probleme mit der Zeitsynchronisation.
Ich habe bereits entsprechende GPOs angelegt, um die Zeit zu synchronisieren.
Wenn ich den Status mit w32tm /query /status abfrage bekomme ich dieses Ergebnis:
Sprungindikator: 0(keine Warnung)
Stratum: 1 (Primärreferenz - synchron. über Funkuhr)
Präzision: -23 (119.209ns pro Tick)
Stammverzögerung: 0.0000000s
Stammabweichung: 10.0000000s
Referenz-ID: 0x4C4F434C (Quellname: "LOCL")
Letzte erfolgr. Synchronisierungszeit: 27.10.2020 18:51:51
Quelle: Local CMOS Clock
Abrufintervall: 10 (1024s)
Wenn ich mit w32tm /query /configuration die Konfiguration abfrage sieht das so aus:
[Konfiguration]
EventLogFlags: 2 (Lokal)
AnnounceFlags: 5 (Lokal)
TimeJumpAuditOffset: 28800 (Lokal)
MinPollInterval: 10 (Lokal)
MaxPollInterval: 15 (Lokal)
MaxNegPhaseCorrection: 4294967295 (Lokal)
MaxPosPhaseCorrection: 4294967295 (Lokal)
MaxAllowedPhaseOffset: 300 (Lokal)
FrequencyCorrectRate: 4 (Lokal)
PollAdjustFactor: 5 (Lokal)
LargePhaseOffset: 50000000 (Lokal)
SpikeWatchPeriod: 900 (Lokal)
LocalClockDispersion: 10 (Lokal)
HoldPeriod: 5 (Lokal)
PhaseCorrectRate: 1 (Lokal)
UpdateInterval: 30000 (Lokal)
[Zeitanbieter]
NtpClient (Lokal)
DllName: C:\WINDOWS\system32\w32time.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
CrossSiteSyncFlags: 2 (Richtlinie)
AllowNonstandardModeCombinations: 1 (Lokal)
ResolvePeerBackoffMinutes: 15 (Richtlinie)
ResolvePeerBackoffMaxTimes: 7 (Richtlinie)
CompatibilityFlags: 2147483648 (Lokal)
EventLogFlags: 0 (Richtlinie)
LargeSampleSkew: 3 (Lokal)
SpecialPollInterval: 1024 (Richtlinie)
Type: NT5DS (Richtlinie)
NtpServer (Lokal)
DllName: C:\WINDOWS\system32\w32time.dll (Lokal)
Enabled: 0 (Lokal)
InputProvider: 0 (Lokal)
Ich habe die entsprechende Firewall-Ausnahme für den UDP-Port 123 eingerichtet.
Benutze ich auf einen der Clients diesen Befehl
net time /set
so wird die Zeit einmalig mit dem Domänen Controller synchronisiert.
Vielen Dank für eure Hilfe!
Frank
ich habe in meiner Domäne (Windows Server 2019) mit Windows 10 Pro als Clients Probleme mit der Zeitsynchronisation.
Ich habe bereits entsprechende GPOs angelegt, um die Zeit zu synchronisieren.
Wenn ich den Status mit w32tm /query /status abfrage bekomme ich dieses Ergebnis:
Sprungindikator: 0(keine Warnung)
Stratum: 1 (Primärreferenz - synchron. über Funkuhr)
Präzision: -23 (119.209ns pro Tick)
Stammverzögerung: 0.0000000s
Stammabweichung: 10.0000000s
Referenz-ID: 0x4C4F434C (Quellname: "LOCL")
Letzte erfolgr. Synchronisierungszeit: 27.10.2020 18:51:51
Quelle: Local CMOS Clock
Abrufintervall: 10 (1024s)
Wenn ich mit w32tm /query /configuration die Konfiguration abfrage sieht das so aus:
[Konfiguration]
EventLogFlags: 2 (Lokal)
AnnounceFlags: 5 (Lokal)
TimeJumpAuditOffset: 28800 (Lokal)
MinPollInterval: 10 (Lokal)
MaxPollInterval: 15 (Lokal)
MaxNegPhaseCorrection: 4294967295 (Lokal)
MaxPosPhaseCorrection: 4294967295 (Lokal)
MaxAllowedPhaseOffset: 300 (Lokal)
FrequencyCorrectRate: 4 (Lokal)
PollAdjustFactor: 5 (Lokal)
LargePhaseOffset: 50000000 (Lokal)
SpikeWatchPeriod: 900 (Lokal)
LocalClockDispersion: 10 (Lokal)
HoldPeriod: 5 (Lokal)
PhaseCorrectRate: 1 (Lokal)
UpdateInterval: 30000 (Lokal)
[Zeitanbieter]
NtpClient (Lokal)
DllName: C:\WINDOWS\system32\w32time.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
CrossSiteSyncFlags: 2 (Richtlinie)
AllowNonstandardModeCombinations: 1 (Lokal)
ResolvePeerBackoffMinutes: 15 (Richtlinie)
ResolvePeerBackoffMaxTimes: 7 (Richtlinie)
CompatibilityFlags: 2147483648 (Lokal)
EventLogFlags: 0 (Richtlinie)
LargeSampleSkew: 3 (Lokal)
SpecialPollInterval: 1024 (Richtlinie)
Type: NT5DS (Richtlinie)
NtpServer (Lokal)
DllName: C:\WINDOWS\system32\w32time.dll (Lokal)
Enabled: 0 (Lokal)
InputProvider: 0 (Lokal)
Ich habe die entsprechende Firewall-Ausnahme für den UDP-Port 123 eingerichtet.
Benutze ich auf einen der Clients diesen Befehl
net time /set
so wird die Zeit einmalig mit dem Domänen Controller synchronisiert.
Vielen Dank für eure Hilfe!
Frank
Please also mark the comments that contributed to the solution of the article
Content-ID: 616510
Url: https://administrator.de/contentid/616510
Printed on: December 14, 2024 at 00:12 o'clock
10 Comments
Latest comment
N'Abend.
Cheers,
jsysde
Zitat von @frunky:
[...]Ich habe bereits entsprechende GPOs angelegt, um die Zeit zu synchronisieren.[...]
Warum? Jeder domain-joined Client fragt einen DC und synchronisiert seine Uhrzeit damit. Die DCs untereinander syncen ihre Zeit mit dem PDC-Emulator. Und das ist damit der einzige Server im AD, bei dem man die Zeitquelle irgendwie konfigurieren muss - ist dort alles gut, geht alles andere ohne weiteres Zutun, GPOs etc.[...]Ich habe bereits entsprechende GPOs angelegt, um die Zeit zu synchronisieren.[...]
Cheers,
jsysde
Hallo,
Domhier ist das Zauberwort.
Ansonsten - was für GPOs hast Du denn eingestellt?
Grüße
lcer
Zitat von @TK1987:
Moin,
Moin,
w32tm /config /syncfromflags:DOMHIER /update
> net stop w32time
> net start w32time
Domhier ist das Zauberwort.
Ansonsten - was für GPOs hast Du denn eingestellt?
Grüße
lcer
Hallo,
https://www.windowspro.de/wolfgang-sommergut/zeiteinstellungen-windows-d ...
Leider ist der Blogbeitrag von Ben Armstrong nicht mehr auffindbar. kann aber hier: https://web.archive.org/web/20150213092132/http://blogs.msdn.com/b/virtu ... nachgelesen werden.
nachgelesen werden.
soll heißen: man kann die hyper-V Zeitsynchronisation an lassen, und den VM-PDC trotzdem als zuverlässige Zeitquelle verwenden. Auf diesem sollte dann allerdings ein externer Zeitserver (ntp) als Quelle eingestellt sein.
Grüße
lcer
Zitat von @frunky:
Ich habe dann heute die Lösung gefunden. Es handelt sich bei dem DC um eine VM auf HyperV Basis. Dort war bei den Integrationsdiensten der Haken gesetzt bei "Zeit mit Host synchronisieren". Den Haken habe ich entfernt und anschließend den DC neu gestartet. Danach fingen die PCs in der Domäne an sich direkt mit den DC zu synchroiniseren.
Das ist aber nicht das zwingend empfohlene Setup - siehe z.B.:Ich habe dann heute die Lösung gefunden. Es handelt sich bei dem DC um eine VM auf HyperV Basis. Dort war bei den Integrationsdiensten der Haken gesetzt bei "Zeit mit Host synchronisieren". Den Haken habe ich entfernt und anschließend den DC neu gestartet. Danach fingen die PCs in der Domäne an sich direkt mit den DC zu synchroiniseren.
https://www.windowspro.de/wolfgang-sommergut/zeiteinstellungen-windows-d ...
Leider ist der Blogbeitrag von Ben Armstrong nicht mehr auffindbar. kann aber hier: https://web.archive.org/web/20150213092132/http://blogs.msdn.com/b/virtu ... nachgelesen werden.
nachgelesen werden.
soll heißen: man kann die hyper-V Zeitsynchronisation an lassen, und den VM-PDC trotzdem als zuverlässige Zeitquelle verwenden. Auf diesem sollte dann allerdings ein externer Zeitserver (ntp) als Quelle eingestellt sein.
Grüße
lcer
Hallo,
Grüße
lcer
Zitat von @satosan:
Oder DC und jeden Client mit zBsp. NetTime syncronisieren damit alle die gleiche externe Quelle haben.
also das ist definitiv falsch! der PDC ist die Zeitquelle der Domäne und Ende. Alle Clients, Member-Server und DCs sollten nur mit dem PDC synchronisieren -> siehe oben: domhier!Oder DC und jeden Client mit zBsp. NetTime syncronisieren damit alle die gleiche externe Quelle haben.
Gerade im Bereich DC und Virtualisierung wuerde ich auf eine Syncronisation der Clients vom virtualisierten DC abraten.
siehe oben. Wenn überhaupt kann man das für den virtuellen PDC erwägen, ist aber nicht nötig, wenn der eine externe Zeitquelle hat. Die Zeitsynchronisation Hyper-V auf DC kann man sich in diesem Fall als eine Art Rhythmusgeber vorstellen, ein externer Zeitserver wird ja nicht alle paar Sekunden abgefragt, die Glättung von "virtuellen Zeitfluktuationen" besorgt die Hyper-V Synchronisierung. Sauber konfiguriert, funktioniert das.Grüße
lcer
N'Abend.
In einem AD wird jeder DC als vertrauenswürdige Zeitquelle angesehen, per default. Korrekt ist: Alle DCs synchronisieren gegen den PDC-Emulator, alle Server und Clients gegen den DC, der ihnen am nächsten ist/ihr Logoonserver ist.
Ben Armstrong in Ehren, aber ich schalte die Zeitsynchronisierung für virtuelle Maschinen prinzipiell ab, egal welcher Hypervisor da läuft. Der PDC-Emulator wird für NTP-Sync konfiguriert, der Rest nach DOMHIER-Manier. Damit fahre ich persönlich bisher am besten und zuverlässigsten.
Cheers,
jsysde
P.S.:
Bei der Frage, gegen welche Zeitserver sich der PCD-Emulator sich synchronisieren sollte, scheiden sich die Geister. Ich nutze vorrangig (in DE) die Server der PTB oder, wenn eben kein NTP "nach draußen" stattfinden darf, den Zeitserver des jeweiligen Gateways.
Zitat von @lcer00:
Hallo,
also das ist definitiv falsch! der PDC ist die Zeitquelle der Domäne und Ende. Alle Clients, Member-Server und DCs sollten nur mit dem PDC synchronisieren -> siehe oben: domhier!
Obacht - DOMHIER bedeutet NICHT, dass alle Maschinen im AD den PDC-Emulator befragen!Hallo,
also das ist definitiv falsch! der PDC ist die Zeitquelle der Domäne und Ende. Alle Clients, Member-Server und DCs sollten nur mit dem PDC synchronisieren -> siehe oben: domhier!
In einem AD wird jeder DC als vertrauenswürdige Zeitquelle angesehen, per default. Korrekt ist: Alle DCs synchronisieren gegen den PDC-Emulator, alle Server und Clients gegen den DC, der ihnen am nächsten ist/ihr Logoonserver ist.
Ben Armstrong in Ehren, aber ich schalte die Zeitsynchronisierung für virtuelle Maschinen prinzipiell ab, egal welcher Hypervisor da läuft. Der PDC-Emulator wird für NTP-Sync konfiguriert, der Rest nach DOMHIER-Manier. Damit fahre ich persönlich bisher am besten und zuverlässigsten.
Cheers,
jsysde
P.S.:
Bei der Frage, gegen welche Zeitserver sich der PCD-Emulator sich synchronisieren sollte, scheiden sich die Geister. Ich nutze vorrangig (in DE) die Server der PTB oder, wenn eben kein NTP "nach draußen" stattfinden darf, den Zeitserver des jeweiligen Gateways.
Hallo,
Genau das ist ja auch der Sinn der Sache. Damit die Authentifizierung am Logonserver/DC klappt und die Kerberos-Tickets gültig sind muss hier die Uhrzeit übereinstimmen. Damit die DCs sich untereinander vertrauet, muss deren Zeit überein stimmen.
Bei Linux-VMs unter Hyper-V mit aktivierter Zeitsynchronisation (z.B. Debian mit hyperv-daemons) kann man im syslog schön den Effekt nachvollziehen. Das log ist teilweise „vollgespammt“ mit Zeitkorrekturmeldungen. Die VM hat ja erst mal nur eine virtuelle Uhr. Die geht mal zu langsam, mal zu schnell. Da tickt kein Pendel. Die Zeitsynchronisation sorgt für eine regelmäßigere VM-Zeit. Die Synchronisation mit dem DC erfolgt seltener als dieser Mechanismus. Zeitsprünge werden dadurch kleiner, allerdings häufiger.
Grüße
lcer
Zitat von @jsysde:
Obacht - DOMHIER bedeutet NICHT, dass alle Maschinen im AD den PDC-Emulator befragen!
In einem AD wird jeder DC als vertrauenswürdige Zeitquelle angesehen, per default. Korrekt ist: Alle DCs synchronisieren gegen den PDC-Emulator, alle Server und Clients gegen den DC, der ihnen am nächsten ist/ihr Logoonserver ist.
Obacht - DOMHIER bedeutet NICHT, dass alle Maschinen im AD den PDC-Emulator befragen!
In einem AD wird jeder DC als vertrauenswürdige Zeitquelle angesehen, per default. Korrekt ist: Alle DCs synchronisieren gegen den PDC-Emulator, alle Server und Clients gegen den DC, der ihnen am nächsten ist/ihr Logoonserver ist.
Genau das ist ja auch der Sinn der Sache. Damit die Authentifizierung am Logonserver/DC klappt und die Kerberos-Tickets gültig sind muss hier die Uhrzeit übereinstimmen. Damit die DCs sich untereinander vertrauet, muss deren Zeit überein stimmen.
Ben Armstrong in Ehren, aber ich schalte die Zeitsynchronisierung für virtuelle Maschinen prinzipiell ab, egal welcher Hypervisor da läuft.
Naja... klar, das löst erst einmal ein paar Konfigurationshürden. Aber wie entsteht Zeit denn in der VM? Aus virtuellen zugeteilten (überbuchten ?) CPU-Takten? Wie lang sind die? Immer gleich?Bei Linux-VMs unter Hyper-V mit aktivierter Zeitsynchronisation (z.B. Debian mit hyperv-daemons) kann man im syslog schön den Effekt nachvollziehen. Das log ist teilweise „vollgespammt“ mit Zeitkorrekturmeldungen. Die VM hat ja erst mal nur eine virtuelle Uhr. Die geht mal zu langsam, mal zu schnell. Da tickt kein Pendel. Die Zeitsynchronisation sorgt für eine regelmäßigere VM-Zeit. Die Synchronisation mit dem DC erfolgt seltener als dieser Mechanismus. Zeitsprünge werden dadurch kleiner, allerdings häufiger.
Der PDC-Emulator wird für NTP-Sync konfiguriert, der Rest nach DOMHIER-Manier. Damit fahre ich persönlich bisher am besten und zuverlässigsten.
Genau.Grüße
lcer