Hallo Boardianer,
mir sind jetzt schon wirklich einige Beiträge über W32Timeuntergekommen und wollte hier mal ein paar Grundsätze klären und meinen Lösungsweg aufzeigen, da es bei 2k3 doch immer noch einige Probleme mit der Zeitsynchronisation gibt.
Wiso Zeitsynchronisation?
Die verschiedensten Vorgänge am Server werden mit einem Zeitstempel versehen Eventlog-Einträge, E-Mail´s etc. dabei sollte jedem sofort klar werden wie wichtig die korrekte Zeit wirklich sein kann, für den Admin und den Anwender.
hier gibts mehr dazu =>
http://www.msexchangefaq.de/verschiedenes/timesync.htm
Muss die Zeit stimmen?
Technische Vorraussetzungen für die richtige Uhrzeit im AD gibts es imho nicht wichtig ist es nur, dass alle Server + Workstation die gleiche Zeit haben, ob diese nun richtig oder falsch ist.
Zitat von http://www.microsoft.com/germany/sicherheit/guidance/modules/secmod118.mspx
Der W32-Zeitdienst synchronisiert die Clientuhren von Windows Server 2003-Computern mit den Domänencontrollern in einer Domäne. Dies ist für die korrekte Funktion des Kerberos-Authentifizierungsprotokolls Version 5 und von NTLMv2 erforderlich. Die einwandfreie Funktion einer Reihe von Komponenten der Windows Server-Produktfamilie setzt die genaue und synchronisierte Uhrzeit voraus. Wenn die Uhren auf den Clients nicht synchronisiert sind, kann es passieren, dass das Kerberos v5-Authentifizierungsprotokoll Anmeldungsversuche fälschlicherweise als Eindringungsversuche interpretiert und Benutzern den Zugriff verweigert.
|
Aus oben genannten gründen ist aber natürlich trotzdem Wünschenswert eine möglichst exakte Zeit zu haben.
Wer Sync't mit wem?
Alle Memberserver und Workstations synchronisieren mit dem DC der die Rolle des PDC-Emulators innehat.
Hier gibts mehr info unter dem Punkt "Time Hierarchy" =>
http://www.windowsnetworking.com/art...e-Service.html
Wie Synchronisiere ich?
Normalweise würde man per w32tm ein paar Zeitserver angeben mit denen sich unser Server synchronisieren soll, dies hat sich aber in der Praxis seit 2k3 als sehr fehleranfällige Konfiguration herausgestellt. Grizzly hat in diesem Thread
http://www.mcseboard.de/showthread.php?t=45381 (W32time Zeitabgleich mit NTP) folgendes dazu geschrieben =>
Zitat von grizzly999
Das ist seit 2003 ein riesiges Problem geworden der Zeitdienst, ich kenne kaum eine Domäne, die nicht voll mit diesen Fehlern ist.
Traurig, aber wahr. Es gibt einen Pre-SP1 Patch, der die Fehler auf wenige Meldungen reduziert und die Synchrionisation dann anscheindend trotz der Fehlermeldung dann halbwegs anständig läuft: http://support.microsoft.com/default...b;en-us;830092
grizzly999
|
Trotz des genannten Patches habe ich es unter 2k3 bei den meisten Servern nicht zum laufen bekommen.
Deswegen halte ich den Umweg über ein Drittherstellertool als besten Lösungsweg. =>
1. Konfiugrations des PDC-Emulators zur Verwendung der internen Hardwareuhr (CMOS-Clock) =>
http://support.microsoft.com/kb/816042#3 Die erscheinende Meldung im Eventlog soll uns nicht weiter stören, da wir ja über unser Tool synchronisieren.
2. Installation u. Konfiguration von Symmtime 2005 zur Synchronisation mit beiden NTP-Servern PTB Braunschweib: ptbtime1.ptb.de o. ptbtime2.ptb.de
http://www.ntp-systems.com/symmtime.asp
3. Test der Konfig über w32time /monitor
Gruß Kohn
