Zum Inhalt wechseln


Foto

Server 2012 R2 - NTP Server an Server und Clients verteilen

Windows Server 2012 R2 GPO

  • Bitte melde dich an um zu Antworten
15 Antworten in diesem Thema

#1 Gu4rdi4n

Gu4rdi4n

    Board Veteran

  • 498 Beiträge

 

Geschrieben 20. Dezember 2016 - 14:20

Hi, 

 

ich habe einen Server 2012 R2 auf dem AD läuft.

 

Nun habe ich folgende Einstellungen gemacht:

 

Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Syste, -> Windows-Zeitdienst -> Zeitanbieter

 

Windows-NTP-Client aktivieren -> Aktiviert

Windows-NTP-Client konfigurieren -> Aktiviert

- NTP Server: 10.10.0.1,0x9 (meine Firewall)

- Type: NTP

- CrossSiteSyncFlags: 2

- ResolvePeerBackoffMinutes : 15

- ResolvePeerBackMaxTimes: 7

- SpecialPollInterval: 3600

- EventLogFlags: 0

 

 Die GPO wird zwar gezogen, allerdings gibt mit w32tm /monitor folgendes aus:

SRV1.Domain.de *** PDC ***[10.10.10.10:123]:

ICMP: 0ms Verzögerung

NTP: +0.0000000.s Offset von SRV1.Domain.de

RefID: 80.84.77.86.rev.sfr.net [86.77.84.80]

Stratum: 2

 

Der DHCP gibt keinen NTP mit.

 

Eigentlich sollte er ja den NTP mit 10.10.0.1 vergeben.

 

Kann mir jemand sagen was hier schief läuft?


Bearbeitet von Gu4rdi4n, 20. Dezember 2016 - 14:20.

"When life gives you lemons, don’t make lemonade. Make life take the lemons back! Get mad! I don’t want your damn lemons, what the hell am I supposed to do with these? Demand to see life’s manager! Make life rue the day it thought it could give Cave Johnson lemons! Do you know who I am? I’m the man who’s gonna burn your house down! With the lemons! I’m gonna get my engineers to invent a combustible lemon that burns your house down!"

#2 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 20. Dezember 2016 - 14:48

Wieso sollte der dhcp einen timeserver vergeben, wenn du das per gpo konfigurierst? Für das Thema timesync und gpo schau mal hier, bevor was schiefläuft.
http://www.gruppenri...server-per-gpo/

Make something i***-proof and they will build a better i***.


#3 Gu4rdi4n

Gu4rdi4n

    Board Veteran

  • 498 Beiträge

 

Geschrieben 20. Dezember 2016 - 15:02

Wieso sollte der dhcp einen timeserver vergeben, wenn du das per gpo konfigurierst? Für das Thema timesync und gpo schau mal hier, bevor was schiefläuft.
http://www.gruppenri...server-per-gpo/

 

Das war ein bischen b***d geschrieben.

Ich wollte nur sagen, dass im DHCP Server die bereichsoption 4 nicht aktiv ist

 

Mit "Eigentlich sollte er..." meinte ich den AD Server

 

Ich les es mir mal durch, danke!

 

Kleine anmerkung noch:

Der Hyper V Host zieht die richtlinie richtig und stellt auch den richtigen Zeitserver ein.

Nur die VMs machen das nicht

 

edit:

 

Beim erstellen des WMI Filters bekomme ich folgende Meldung:

Angehängte Datei  Unbenannt-1.jpg   31,91K   0 Mal heruntergeladen


Bearbeitet von Gu4rdi4n, 20. Dezember 2016 - 15:12.

"When life gives you lemons, don’t make lemonade. Make life take the lemons back! Get mad! I don’t want your damn lemons, what the hell am I supposed to do with these? Demand to see life’s manager! Make life rue the day it thought it could give Cave Johnson lemons! Do you know who I am? I’m the man who’s gonna burn your house down! With the lemons! I’m gonna get my engineers to invent a combustible lemon that burns your house down!"

#4 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 20. Dezember 2016 - 15:18

Ich kann dir nur abraten da einen ntp Server per gpo zu verteilen. Lies dir mal den Link durch, dann wird auch klar, warum das die bessere Methode ist.
  • Gu4rdi4n gefällt das

Make something i***-proof and they will build a better i***.


#5 Dunkelmann

Dunkelmann

    Expert Member

  • 1.860 Beiträge

 

Geschrieben 20. Dezember 2016 - 18:37

Moin,

 

erst Mal muss ich Norbert zustimmen. NTP richtig per GPO konfigurieren und das Thema ist gegessen.

 

Möchtest Du wirklich, ich wiederhole _wirklich_, dass die VMs ihre Zeit von einem NTP und nicht vom Hypervisor beziehen, muss in den VM Eigenschaften/Integrationsdienste die Zeitsynchronisierung abgeschaltet werden.


  • Gu4rdi4n gefällt das

Keep It Small - Keep It Simple


#6 Gu4rdi4n

Gu4rdi4n

    Board Veteran

  • 498 Beiträge

 

Geschrieben 21. Dezember 2016 - 07:49

Also momentan sieht die w32tm /monitor abfrage so aus:

 

C:\Users\administrator.domain>w32tm /monitor
Server1.domain.de *** PDC ***[10.10.10.10:123]:
    ICMP: 0ms Verzögerung
    NTP: +0.0000000s Offset von Server1.domain.de
        RefID: 80.84.77.86.rev.sfr.net [86.77.84.80]
        Stratum: 2
[Warnung]
Die Reversenamenauflösung ist die beste Möglichkeit. Sie ist ggf. nicht
korrekt, da sich das Ref-ID-Feld in Zeitpaketen im Bereich von
NTP-Implementierungen unterscheidet und ggf. keine IP-Adressen verwendet.
 
Soll man das dann also so lassen?
Laut deinem Link soll man den PDC Emulator konfigurieren. Warum denn, wenn ich sowieso den standard timeserver nehme und nichts abändere?
 
 

Moin,

 

erst Mal muss ich Norbert zustimmen. NTP richtig per GPO konfigurieren und das Thema ist gegessen.

 

Möchtest Du wirklich, ich wiederhole _wirklich_, dass die VMs ihre Zeit von einem NTP und nicht vom Hypervisor beziehen, muss in den VM Eigenschaften/Integrationsdienste die Zeitsynchronisierung abgeschaltet werden.

 
Also doch konfigurieren, aber nur die VM's die Zeit vom Hyper V host ziehen lassen?

Ich blick jetzt nichtmehr so ganz durch was gut und was nicht gut ist.

Bearbeitet von Gu4rdi4n, 21. Dezember 2016 - 07:52.

"When life gives you lemons, don’t make lemonade. Make life take the lemons back! Get mad! I don’t want your damn lemons, what the hell am I supposed to do with these? Demand to see life’s manager! Make life rue the day it thought it could give Cave Johnson lemons! Do you know who I am? I’m the man who’s gonna burn your house down! With the lemons! I’m gonna get my engineers to invent a combustible lemon that burns your house down!"

#7 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 21. Dezember 2016 - 08:04

Wenn deine Clients Mitglied der Domäne sind, lass alles so wie es ist (keine externen ntp Server für die Clients), oder konfiguriere es nach dem how to. So schwer zu verstehen ist das doch nicht. ;)

Make something i***-proof and they will build a better i***.


#8 Gu4rdi4n

Gu4rdi4n

    Board Veteran

  • 498 Beiträge

 

Geschrieben 21. Dezember 2016 - 08:27

ok, verstanden. 

 

Mich hat nur verwirrt was in deinem Link stand.

 

"Viele Fragen in Foren und Newsgroups betreffen die Zeitsynchronisation innerhalb einer Domäne. Normalerweise funktioniert der Zeitabgleich automatisch und es muss nur der PDC Emulator entsprechend konfiguriert werden."

 

Aber scheinbar muss ja nichts wirklich konfiguriert werden!

 

Danke für die hilfe!  :thumb1:


"When life gives you lemons, don’t make lemonade. Make life take the lemons back! Get mad! I don’t want your damn lemons, what the hell am I supposed to do with these? Demand to see life’s manager! Make life rue the day it thought it could give Cave Johnson lemons! Do you know who I am? I’m the man who’s gonna burn your house down! With the lemons! I’m gonna get my engineers to invent a combustible lemon that burns your house down!"

#9 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 21. Dezember 2016 - 08:35

Doch der pdc muss seine Zeit ja irgendwo herbekommen. ;)

Make something i***-proof and they will build a better i***.


#10 Gu4rdi4n

Gu4rdi4n

    Board Veteran

  • 498 Beiträge

 

Geschrieben 21. Dezember 2016 - 10:21

Die bekommt er doch vom Hyper V Host oder nicht?!


"When life gives you lemons, don’t make lemonade. Make life take the lemons back! Get mad! I don’t want your damn lemons, what the hell am I supposed to do with these? Demand to see life’s manager! Make life rue the day it thought it could give Cave Johnson lemons! Do you know who I am? I’m the man who’s gonna burn your house down! With the lemons! I’m gonna get my engineers to invent a combustible lemon that burns your house down!"

#11 Sunny61

Sunny61

    Expert Member

  • 22.094 Beiträge

 

Geschrieben 21. Dezember 2016 - 10:25

Die bekommt er doch vom Hyper V Host oder nicht?!

 

Und genau das sollte er ja nicht. Der Artikel ist zwar von 2010, hat aber sicherlich nichts an Aktualität verloren: http://www.faq-o-mat...leme-vermeiden/

 

EDIT: Noch einer: http://www.faq-o-mat...len-umgebungen/


Bearbeitet von Sunny61, 21. Dezember 2016 - 10:26.

Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#12 NorbertFe

NorbertFe

    Expert Member

  • 30.597 Beiträge

 

Geschrieben 21. Dezember 2016 - 10:26

Die bekommt er doch vom Hyper V Host oder nicht?!


Nee sollte er hoffentlich nicht. Denn bei keiner konfiguration wird der ntp Server des Dcs irgendwann keine vertrauenswürdige Zeit mehr an die Clients liefern.

Make something i***-proof and they will build a better i***.


#13 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 21. Dezember 2016 - 10:26

Moin,

 

und woher bekommt der Host seine Zeit, wenn er AD-Mitglied ist? :rolleyes:

 

Warum postet man dir hier Links, wenn du sie ignorierst? Der Artikel von Norbert auf Gruppenrichtlinien.de stellt den State of the Art dar. So macht man das, nicht anders.

 

Zu dem Thema "Zeitabgleich mit dem VM-Host" hier noch ein Link zum Ignorieren:

[Zeitsynchronisation in virtuellen Umgebungen | faq-o-matic.net]
http://www.faq-o-mat...len-umgebungen/

 

Meine Empfehlung dazu lautet, für alle DCs und alle AD-Mitglieder die Zeitsynchronisation mit dem Host abzuschalten.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#14 Gu4rdi4n

Gu4rdi4n

    Board Veteran

  • 498 Beiträge

 

Geschrieben 22. Dezember 2016 - 10:47

Ich habe die links nicht ignoriert.

 

Ich bin nur sehr verwirrt. 

 

Einerseits schreibt ihr hier:
"Ich kann dir nur abraten da einen ntp Server per gpo zu verteilen."

 

dann

"Wenn deine Clients Mitglied der Domäne sind, lass alles so wie es ist (keine externen ntp Server für die Clients), oder konfiguriere es nach dem how to"

 

Um jetzt nochmal klarzustellen:

 

  • Ich sollte den PDC emulator konfigurieren, damit der PDC die Firewall als Zeitgeber hat.
  • Dazu muss ich in den Integrationsdiensten bei jeder VM die Zeitsynchronisierung abschalten
  • Ich sollte NICHT die Clients auf den externen Zeitgeber einstellen, da diese die Zeit vom PDC bekommen

richtig?

 

@NilsK

dein link sagt folgendes: 

"Um hier Probleme zu vermeiden, sollte der DC mit der PDCe-Rolle nicht virtualisiert sein, sondern auf Hardware laufen (alle anderen DCs können prinzipiell auch virtualisiert sein). Nur dieser Server sollte seine Zeit von einer externen Quelle holen, also einem NTP-Server im Internet oder einer lokalen Uhr."

Ich habe allerdings nur einen DC und der ist Virtualisiert. Großes problem?

 

 

Edit:

im Link von Norbert steht noch das hier:

 

"Schritt 2:

eine Richtlinie für alle anderen Domänenmitglieder konfigurieren, um eine eventuelle Fehlkonfiguration zu korrigieren.
Da diese Richtlinie für alle Computer innerhalb der Domäne gelten soll, ist es das Einfachste, diese auf Domänenebene zu verknüpfen, oder eventuell die Default Domain Policy dafür zu verwenden. Unabhängig davon für welche Variante man sich entscheidet, muss im Gruppenrichtlinieneditor die folgende Richtlinie aktiviert und konfiguriert werden:"

 

Soll ich jetzt doch die Clients auf die Firewall setzen? Es hieß doch, dass ich alles so lassen soll?

 

Die aussagen in dem link und hier widersprechen sich irgendwie. 

 

Oder habe ich gerade irgendwie tomaten auf den augen?


Bearbeitet von Gu4rdi4n, 22. Dezember 2016 - 10:55.

"When life gives you lemons, don’t make lemonade. Make life take the lemons back! Get mad! I don’t want your damn lemons, what the hell am I supposed to do with these? Demand to see life’s manager! Make life rue the day it thought it could give Cave Johnson lemons! Do you know who I am? I’m the man who’s gonna burn your house down! With the lemons! I’m gonna get my engineers to invent a combustible lemon that burns your house down!"

#15 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 22. Dezember 2016 - 11:22

Moin,

 

also ...

  • Du liest Norberts Artikel noch mal in Ruhe.
  • Du prüfst, ob deine Firewall wirklich das bestgeeignete Gerät ist, um die Zeitquelle für alle zu sein.
  • Du richtest die beiden Gruppenrichtlinien nach Norberts Artikel ein. Damit erreichst du, dass der PDC-Emulator auch nach einem Rollenwechsel korrekt konfiguriert ist. Außerdem korrigiert die Lösung auch Fehlkonfigurationen bei den Clients.
  • Du stellst für alle Domänenmitglieder (DCs, Server, Clients) die Zeitsynchronisation mit dem VM-Host ab.

Nur einen DC zu haben, ist grob fahrlässig, wenn es mehr als fünf oder zehn Unser gibt. (In dem Fall können wir uns aber auch den Aufwand hier sparen.)

Wenn alle DCs virtuell sind, hat man eine ungünstige Abhängigkeit von der VM-Umgebung. Die Nachteile für den Zeitdienst sind dann eher sekundär.

 

Und die von dir zitierten Aussagen widersprechen sich nicht. Du willst vielleicht noch mal über die Bedeutung des Worts "oder" nachdenken.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!




Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2012 R2, GPO