Zeitsynchronisation innerhalb einer Domäne
Hallo zusammen,
bei der letzten Zeitumstellung am Wochenende gab es das Problem, dass nicht alle Clients (Win10) ihre Zeiteinstellung synchronisiert haben. Auf einigen PCs fand überhaupt keine Zeitumstellung statt, auf anderen erfolgte diese, allerdings ergeben sich auch hier geringere Abweichungen (60 Sekunden) von der korrekten Zeit.
Die Zeit des PDC (Server 2012 R2) ist dabei korrekt, andere Domaincontroller haben ihre Zeitumstellung zwar vorgenommen, allerdings ergeben sich auch hier Abweichungen von rd. 60 Sekunden ggü. dem PDC. (Edit: Der PDC bezieht seine Zeit offenbar doch nicht korrekt von einem NTP-Server! Ein manueller Abgleich der Zeit von einem NTP-Server ist möglich, nicht jedoch der automatische Abgleich mit dem Dienst w32tm.)
Generell ist bei uns die Einrichtung gemäß https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ... erfolgt. Wenn ich im Anschluss auf den Clients manuell eine Zeitsynchronisierung anstoße, dann erhalte ich durchgängig
In der Ereignisprotokollierung der Clients konnte ich von der Quelle "Time-Service" ausschließlich Hinweise mit der ID 158 (betreffend VMICTimeProvider) finden - dies würde ich ignorieren. Andere Einträge sind nicht enthalten.
Was läuft hier schief? Habt ihr da noch einen Tipp?
Viele Grüße
Michael
bei der letzten Zeitumstellung am Wochenende gab es das Problem, dass nicht alle Clients (Win10) ihre Zeiteinstellung synchronisiert haben. Auf einigen PCs fand überhaupt keine Zeitumstellung statt, auf anderen erfolgte diese, allerdings ergeben sich auch hier geringere Abweichungen (60 Sekunden) von der korrekten Zeit.
Die Zeit des PDC (Server 2012 R2) ist dabei korrekt, andere Domaincontroller haben ihre Zeitumstellung zwar vorgenommen, allerdings ergeben sich auch hier Abweichungen von rd. 60 Sekunden ggü. dem PDC. (Edit: Der PDC bezieht seine Zeit offenbar doch nicht korrekt von einem NTP-Server! Ein manueller Abgleich der Zeit von einem NTP-Server ist möglich, nicht jedoch der automatische Abgleich mit dem Dienst w32tm.)
Generell ist bei uns die Einrichtung gemäß https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ... erfolgt. Wenn ich im Anschluss auf den Clients manuell eine Zeitsynchronisierung anstoße, dann erhalte ich durchgängig
Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar waren.
In der Ereignisprotokollierung der Clients konnte ich von der Quelle "Time-Service" ausschließlich Hinweise mit der ID 158 (betreffend VMICTimeProvider) finden - dies würde ich ignorieren. Andere Einträge sind nicht enthalten.
Was läuft hier schief? Habt ihr da noch einen Tipp?
Viele Grüße
Michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665266
Url: https://administrator.de/forum/zeitsynchronisation-innerhalb-einer-domaene-665266.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
26 Kommentare
Neuester Kommentar
Moin,
das ist fatal, du überlässt den Server sich selber. Man braucht immer mindestens einen gültigen Uplink-NTP z.B. ptbtime1.ptb.de, der muss bei Quelle drinstehen.
Die zweite Ausgabe besagt, dass dein PDC nicht weiß, dass er der Hauptzeitgeber ist. Das musst du korrigieren, dann läuft alles.
VG
Sprungindikator: 0(keine Warnung)
Quelle: Free-running System Clock
Quelle: Free-running System Clock
das ist fatal, du überlässt den Server sich selber. Man braucht immer mindestens einen gültigen Uplink-NTP z.B. ptbtime1.ptb.de, der muss bei Quelle drinstehen.
Die zweite Ausgabe besagt, dass dein PDC nicht weiß, dass er der Hauptzeitgeber ist. Das musst du korrigieren, dann läuft alles.
VG
mindestens einen gültigen Uplink-NTP z.B. ptbtime1.ptb.de, der muss bei Quelle drinstehen.
Keine gute Idee und sollte man besser bleiben lassen, denn die PTP sieht das nicht mehr so gerne und anhand der Absender IP ist man für die immer identifizierbar !!Besser man verwendet de.pool.ntp.org oder einen dedizierten NTP Server aus diese Liste und nicht die PTB !:
https://www.heise.de/ct/hotline/Oeffentliche-Zeitquellen-322978.html
Wird auch TCP benötigt?
Ja, von der RFC_Definition (Kapitel 16) her schon. Siehe: https://de.wikipedia.org/wiki/Network_Time_ProtocolTCP ist aber eher ungebräuchlich. Was dein Endgerät wirklich für NTP nutzt und ob die NTP Kommunikation überhaupt stattfindet, zeigt dir wie immer ein schneller Wireshark Trace.
Zitat von @aqui:
ptbtimex.ptb.de ist via TCP/UDP 123 von extern any erreichbar, in dem Moment ist es ein öffentlicher NTP. Wenn die das nicht wollen, müssen die die Ports dicht machen.mindestens einen gültigen Uplink-NTP z.B. ptbtime1.ptb.de, der muss bei Quelle drinstehen.
Keine gute Idee und sollte man besser bleiben lassen, denn die PTP sieht das nicht mehr so gerneund anhand der Absender IP ist man für die immer identifizierbar !!
Wie bei allen anderen Zeitgebern auch. Wer weiß, was für eine Datenkrake pool.ntp.org ist...
Hallo,
poste sonst mal die Ausgabe von:
auf deinem PDC.
Dort muss bei Typ "NTP" stehen! Bei allen anderen Rechnern "NT5DS"
Im Übrigen wird es übersichtlicher, die Zeiteinstellungen per GPO festzulegen. Wenn Du dann noch die GPOs für die Domänencontroller mit einem WMI-Filter für bzw. gegen die PDC-Rolle versiehst, klappt es sogar beim FSMO-Rollenwechsel.
Grüße
lcer
poste sonst mal die Ausgabe von:
w32tm /query /configuration
Dort muss bei Typ "NTP" stehen! Bei allen anderen Rechnern "NT5DS"
Im Übrigen wird es übersichtlicher, die Zeiteinstellungen per GPO festzulegen. Wenn Du dann noch die GPOs für die Domänencontroller mit einem WMI-Filter für bzw. gegen die PDC-Rolle versiehst, klappt es sogar beim FSMO-Rollenwechsel.
Grüße
lcer
Moin,
trage mal nur pool.ntp.org ein anstatt 0.de.pool.ntp.org 1.de.ntp.org.
Ich hatte neulich einen DC, an dem musste ich zusätzlich in der Registry alles einstellen, nur mit GPO wollte er immer lokal die Zeit holen.
Ich habe zusätzlich in der Registry bei TimeProvider VMICTimeProvider deaktiviert.
Das ist wenn ich mich nicht täusche der HyperV Zeitdienst.
trage mal nur pool.ntp.org ein anstatt 0.de.pool.ntp.org 1.de.ntp.org.
Ich hatte neulich einen DC, an dem musste ich zusätzlich in der Registry alles einstellen, nur mit GPO wollte er immer lokal die Zeit holen.
Ich habe zusätzlich in der Registry bei TimeProvider VMICTimeProvider deaktiviert.
Das ist wenn ich mich nicht täusche der HyperV Zeitdienst.
Sicherheitscheck auf NTP
reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters
Erwartet wird
Type (REG_SZ)="NTP"
Ansonsten entspricht dies genau Deinen bisherigen Beschreibungen
https://social.technet.microsoft.com/Forums/de-DE/4ca08530-a892-47ae-b1c ...
Lösung im letzten Drittel:
in Umstellen des Zeitservers brachte aber zunächst auch keinen Erfolg.
Erst nach Aktualisierung der Integrationsdienste erlaubte das System ein Ändern des Zeitservers und syncte ordentlich.
reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters
Erwartet wird
Type (REG_SZ)="NTP"
Ansonsten entspricht dies genau Deinen bisherigen Beschreibungen
https://social.technet.microsoft.com/Forums/de-DE/4ca08530-a892-47ae-b1c ...
Lösung im letzten Drittel:
in Umstellen des Zeitservers brachte aber zunächst auch keinen Erfolg.
Erst nach Aktualisierung der Integrationsdienste erlaubte das System ein Ändern des Zeitservers und syncte ordentlich.
Mahlzeit.
bei uns läuft die Zeitsynchronisation seit 2017 - da gab es mal ziemlich üble Probleme, weil mehrere Server meinten, sie seien das Zeitnormal - gut nach der folgenden Methode:
Auf dem "PDC":
Und auf allen anderen Servern ein bisschen umständlicher, weil wir die alten Einträge loswerden mussten:
Die übermäßige Dokumentation ist der Tatsache geschuldet, dass das auch noch nach Jahren verstanden werden soll. Das letztere Script wird jedes Mal ausgeführt, wenn eine neue Vorlage für die vmWare erstellt wird.
Nachtrag:
Es gibt ein paar Switche von HP, die in den "Auto DOS settings" erfolgreich jegliche NTP Kommunikation unterdrücken.
Siehe:
https://louwrentius.com/hp-procurve-auto-dos-feature-causing-network-pro ...
HP ProCurve Switch 1810G-24 netbios Protokoll geht nicht wenn Auto - Dos u. Storm control aktiviert sind
Noch ein Nachtrag:
Hier wird erklärt, wie man das in einer Domäne per GPO erledigen kann.,
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Grüße aus dem Feld an der Kre
bei uns läuft die Zeitsynchronisation seit 2017 - da gab es mal ziemlich üble Probleme, weil mehrere Server meinten, sie seien das Zeitnormal - gut nach der folgenden Methode:
Auf dem "PDC":
Rem Erst den Dienst beenden
net stop w32time
Rem Als nächstes wird der Server eingestellt, mit dem sich der Windows Server abgleicht,
w32tm /config /syncfromflags:manual /manualpeerlist:0.de.pool.ntp.org,1.de.pool.ntp.org,ptbtime1.ptb.de,ptbtime2.ptb.de,ptbtime3.ptb.de
Rem Fehlt nur noch, dass andere Clients sich auch die Zeit vom Server abholen dürfen, hierfür ist folgende Option notwendig
w32tm /config /reliable:yes
Rem Nur noch den NTP-Dienst aktiveren und schon ist alles gemacht!
net start w32time
Und auf allen anderen Servern ein bisschen umständlicher, weil wir die alten Einträge loswerden mussten:
Rem Erst den Dienst beenden
net stop w32time
Rem Als nächstes wird der Dienst deinstalliert, dabei werden alle Registryenträge automatisch gelöscht!!
w32tm /unregister
REM 20 Sekunden warten
Ping -n 20 localhost>NUL
Rem Dienst wieder installieren. Dadurch wird alles auf Standardwerte gesetzt.
w32tm /register
Rem Nur noch den NTP-Dienst aktiveren und schon ist alles gemacht!
net start w32time
REM Im Regelfall reicht das aus, aber für den Fall, dass da irgendetwas zufällig klemmt
REM setzen wir die Synchronisation noch auf den zuständigen Domaincontroller
w32tm /config /syncfromflags:domhier /update
REM Und den Dienst sicherheitshalber noch einmal neu starten.
net stop w32time
net start w32time
Die übermäßige Dokumentation ist der Tatsache geschuldet, dass das auch noch nach Jahren verstanden werden soll. Das letztere Script wird jedes Mal ausgeführt, wenn eine neue Vorlage für die vmWare erstellt wird.
Nachtrag:
Es gibt ein paar Switche von HP, die in den "Auto DOS settings" erfolgreich jegliche NTP Kommunikation unterdrücken.
Siehe:
https://louwrentius.com/hp-procurve-auto-dos-feature-causing-network-pro ...
HP ProCurve Switch 1810G-24 netbios Protokoll geht nicht wenn Auto - Dos u. Storm control aktiviert sind
Noch ein Nachtrag:
Hier wird erklärt, wie man das in einer Domäne per GPO erledigen kann.,
https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaen ...
Grüße aus dem Feld an der Kre