Magroll 10 Geschrieben 13. Januar 2016 Melden Teilen Geschrieben 13. Januar 2016 Hallo zusammen, ich habe ein Problem mit der Zeitkonfiguration auf einigen 2008R2 Servern im AD, der DC ist ein 2012R2 Server und hat die aktuelle Zeit. Ich verteile via Policy folgende Settings: NTP-Client aktivieren NTP-Client konfigurieren - NTP Server: meinserver.domain.com,0x09 - Type: NT5DS - CrossiteSyncFlags:0 - ResolvePeerBackoffMaxTimes:15 - ResolvePeerBackoffMaxTimes:7 - SpecialPollIntervall:3600 - EventlogFlags:0 Auf dem Server kamen bisher folgende Time Warnungen im Eregnislog, leider längere Zeit unbemerkt: - Der Zeitdienst hat eine Zeitdifferenz von mehr als 5000 ms auf 900 Sekunden festgestellt. Die Zeitdifferenz wurde möglicherweise durch die Synchronisation mit einer ungenauen Zeitquelle oder durch schlechte Netzwerkbedingungen verursacht. Von nun an wird der Zeitdienst nicht mehr synchronisiert, die Zeit keinem weiteren Client mehr zur Verfügung gestellt und die Systemuhr nicht mehr synchronisiert. Sobald ein gültiger Zeitstempel von einem Zeitdienstanbieter empfangen wird, wird der Zeitdienst sich selbst korrigieren. - Aufgrund eines Ermittlungsfehlers konnte von "NtpClient" kein Domänenpeer als Zeitquelle festgelegt werden. In 3473457 Minuten wird ein weiterer Versuch ausgeführt und das Intervall für weitere Versuche anschließend verdoppelt Fehler: Der Eintrag wurde nicht gefunden. (0x800706E1) - Der Zeitdienst hat die Systemzeit für 86400 Sekunden nicht synchronisiert, weil keiner der Zeitdienstanbieter einen verwendbaren Zeitstempel bereitgestellt hat. Der Zeitdienst aktualisiert die lokale Systemzeit nur dann, wenn die Synchronisierung mit einer Zeitquelle möglich ist. Wenn das lokale System als Zeitserver für Clients konfiguriert ist, beendet es die Ankündigung als Zeitquelle für Clients. Der Zeitdienst versucht weiter, die Zeit mit den Zeitquellen zu synchronisieren. Überprüfen Sie, ob das Systemereignisprotokoll andere W32time-Ereignisse enthält, um weitere Details zu erhalten. Führen Sie "w32tm /resync" aus, um eine sofortige Zeitsynchronisierung zu erzwingen. Die Namensauflösung scheint einwandfrei zu funktionieren, ein w32tm /resync gibt folgenden Fehler: Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar waren. Weiß jemand Rat? Danke, Mag Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 13. Januar 2016 Melden Teilen Geschrieben 13. Januar 2016 Was steht denn bei den Servern unter Announceflags? Bei allen ausser dem PDC Emulator sollte dort 10 stehen. Zitieren Link zu diesem Kommentar
NilsK 2.777 Geschrieben 13. Januar 2016 Melden Teilen Geschrieben 13. Januar 2016 (bearbeitet) Moin, bitte ignorieren. Ich las falsch. Gruß, Nils bearbeitet 13. Januar 2016 von NilsK Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 13. Januar 2016 Autor Melden Teilen Geschrieben 13. Januar 2016 (bearbeitet) Was steht denn bei den Servern unter Announceflags? Bei allen ausser dem PDC Emulator sollte dort 10 stehen. Unter: HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config steht auf dem DC steht eine 5, auf den "Clients" eine 10. Ich habe das noch nicht zu 100% sicher geprüft, habe aber das Gefühl, das nur Server betroffen sind, welche sich in einem anderen Standort befinden und mit dem DC via WAN kommunizieren. Als primärer DNS Server ist aber überall der DC eingetragen und Netzwerkprobleme, Namensauflösungsprobleme usw. sind auf den ersten Blick nicht erkennbar. bearbeitet 13. Januar 2016 von Magroll Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 13. Januar 2016 Melden Teilen Geschrieben 13. Januar 2016 Naja udp 123 geht auch durch den Tunnel? Was steht hier: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\Config Bye Norbert Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 13. Januar 2016 Autor Melden Teilen Geschrieben 13. Januar 2016 (bearbeitet) Hi Norbert, da ist kein Tunnel, dieses WAN ist bei uns Layer 2 dark fiber. Da wird nix gefiltert, sind nur 2 unserer eigenen Router zwischen. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\Config gibt es bei mir nicht. Nur w32Time/Parameters und w32Time/TimeProviders/NtpClient, hier sind exact die Settings zu sehen, welche ich via Policy (siehe oben) verteile. gruß, Mag bearbeitet 13. Januar 2016 von Magroll Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 13. Januar 2016 Melden Teilen Geschrieben 13. Januar 2016 Funktioniert es auf dem PDC Emulator? Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 13. Januar 2016 Autor Melden Teilen Geschrieben 13. Januar 2016 In meinem Fall ist der primäre Domaincontroller, Zeitserver und PDC. Gruß, Mag Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 13. Januar 2016 Melden Teilen Geschrieben 13. Januar 2016 Äh... ja... und? Das wäre auch komisch, wenn es nicht so wäre. Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 13. Januar 2016 Autor Melden Teilen Geschrieben 13. Januar 2016 Hmmm.. okay ^^ Dann verstehe ich Deine Frage nicht ganz? Funktioniert es auf dem PDC Emulator? Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 13. Januar 2016 Melden Teilen Geschrieben 13. Januar 2016 (bearbeitet) Die Namensauflösung scheint einwandfrei zu funktionieren, ein w32tm /resync gibt folgenden Fehler: Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar waren. Passiert das da oben auch auf dem PDC Emulator? bearbeitet 13. Januar 2016 von NorbertFe Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 13. Januar 2016 Autor Melden Teilen Geschrieben 13. Januar 2016 Nein, der Befehl wird erfolgreich ausgeführt, wie auf den meisten anderen Servern auch, welche ich getestet habe. Zitieren Link zu diesem Kommentar
NorbertFe 1.798 Geschrieben 13. Januar 2016 Melden Teilen Geschrieben 13. Januar 2016 ok, auf einem Server wo das nicht funktioniert. Wie groß ist der Zeitunterschied? Ist es ggf. eine virtuelle Maschine? Zitieren Link zu diesem Kommentar
Magroll 10 Geschrieben 13. Januar 2016 Autor Melden Teilen Geschrieben 13. Januar 2016 Hi, was mir weiter aufgefallen ist: Wenn ich ein C:\Windows\system32>w32tm /query /configuration starte, sehe ich z.B. auf dem DC einen Eintrag für NtpServer: de.pool.ntp.org,0x1 (Richtlinie), auf den Servern welche nicht funktionieren, fehlt dieser EIntrag völlig, obwohl er ja via Richtlinie verteilt wird und auch in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time sichtbar ist? Gehört das so? DC: C:\Windows\system32>w32tm /query /configuration [Konfiguration] EventLogFlags: 2 (Lokal) AnnounceFlags: 10 (Lokal) TimeJumpAuditOffset: 28800 (Lokal) MinPollInterval: 6 (Lokal) MaxPollInterval: 10 (Lokal) MaxNegPhaseCorrection: 172800 (Lokal) MaxPosPhaseCorrection: 172800 (Lokal) MaxAllowedPhaseOffset: 300 (Lokal) FrequencyCorrectRate: 4 (Lokal) PollAdjustFactor: 5 (Lokal) LargePhaseOffset: 50000000 (Lokal) SpikeWatchPeriod: 900 (Lokal) LocalClockDispersion: 10 (Lokal) HoldPeriod: 5 (Lokal) PhaseCorrectRate: 7 (Lokal) UpdateInterval: 100 (Lokal) [Zeitanbieter] NtpClient (Lokal) DllName: C:\Windows\system32\w32time.dll (Lokal) Enabled: 1 (Lokal) InputProvider: 1 (Lokal) AllowNonstandardModeCombinations: 1 (Lokal) ResolvePeerBackoffMinutes: 15 (Richtlinie) ResolvePeerBackoffMaxTimes: 7 (Richtlinie) CompatibilityFlags: 2147483648 (Lokal) EventLogFlags: 0 (Richtlinie) LargeSampleSkew: 3 (Lokal) SpecialPollInterval: 900 (Richtlinie) Type: NTP (Richtlinie) NtpServer: de.pool.ntp.org,0x1 (Richtlinie) NtpServer (Lokal) DllName: C:\Windows\system32\w32time.dll (Lokal) Enabled: 1 (Lokal) InputProvider: 0 (Lokal) AllowNonstandardModeCombinations: 1 (Lokal) VMICTimeProvider (Lokal) DllName: C:\Windows\System32\vmictimeprovider.dll (Lokal) Enabled: 0 (Lokal) InputProvider: 1 (Lokal) Server der nicht funktioniert: C:\Windows\system32>w32tm /query /configuration [Konfiguration] EventLogFlags: 2 (Lokal) AnnounceFlags: 10 (Lokal) TimeJumpAuditOffset: 28800 (Lokal) MinPollInterval: 10 (Lokal) MaxPollInterval: 15 (Lokal) MaxNegPhaseCorrection: 4294967295 (Lokal) MaxPosPhaseCorrection: 4294967295 (Lokal) MaxAllowedPhaseOffset: 300 (Lokal) FrequencyCorrectRate: 4 (Lokal) PollAdjustFactor: 5 (Lokal) LargePhaseOffset: 50000000 (Lokal) SpikeWatchPeriod: 900 (Lokal) LocalClockDispersion: 10 (Lokal) HoldPeriod: 5 (Lokal) PhaseCorrectRate: 1 (Lokal) UpdateInterval: 30000 (Lokal) [Zeitanbieter] NtpClient (Lokal) DllName: C:\Windows\system32\w32time.dll (Lokal) Enabled: 1 (Lokal) InputProvider: 1 (Lokal) CrossSiteSyncFlags: 0 (Richtlinie) AllowNonstandardModeCombinations: 1 (Lokal) ResolvePeerBackoffMinutes: 15 (Richtlinie) ResolvePeerBackoffMaxTimes: 7 (Richtlinie) CompatibilityFlags: 2147483648 (Lokal) EventLogFlags: 0 (Richtlinie) LargeSampleSkew: 3 (Lokal) SpecialPollInterval: 3600 (Richtlinie) Type: NT5DS (Richtlinie) VMICTimeProvider (Lokal) DllName: C:\Windows\System32\vmictimeprovider.dll (Lokal) Enabled: 1 (Lokal) InputProvider: 1 (Lokal) NtpServer (Lokal) DllName: C:\Windows\system32\w32time.dll (Lokal) Enabled: 0 (Lokal) InputProvider: 0 (Lokal) ok, auf einem Server wo das nicht funktioniert. Wie groß ist der Zeitunterschied? Ist es ggf. eine virtuelle Maschine? Unterschied ca. 5 Minuten, hab ich mittlerweile auch mal manuell auf richtige Zeit gesetzt und dann /resync probiert, hat nicht geholfen. Es ist eine VM auf einem ESXi 5.5. Zitieren Link zu diesem Kommentar
Beste Lösung NorbertFe 1.798 Geschrieben 13. Januar 2016 Beste Lösung Melden Teilen Geschrieben 13. Januar 2016 Wenn ich ein C:\Windows\system32>w32tm /query /configuration starte, sehe ich z.B. auf dem DC einen Eintrag für NtpServer: de.pool.ntp.org,0x1 (Richtlinie), auf den Servern welche nicht funktionieren, fehlt dieser EIntrag völlig, obwohl er ja via Richtlinie verteilt wird und auch in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time sichtbar ist? Gehört das so? Warum sollten Memberserver auch de.pool.ntp.org oder so nutzen? Du willst doch, dass die die Zeit von den DCs ziehen. Und wenn du schon was mit GPO konfigurierst, warum überhaupt? Sieht mir irgendwie sehr "konfus" aus. Kennst du: http://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ ? Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.