Zum Inhalt wechseln


Foto

Zeitserver verschieben (mal wieder)


  • Bitte melde dich an um zu Antworten
22 Antworten in diesem Thema

#1 Küstennebel

Küstennebel

    Newbie

  • 35 Beiträge

 

Geschrieben 23. Oktober 2017 - 07:43

Moin,

 

ein neuer DC (Server 2016) wurde vor ein paar Tagen in unsere 2003er Domäne integriert. Zunächst als Member Server, dann hochgestuft zum DC. Am Wochenende wurden nun alle 5 FSMO Rollen ohne Probleme übertragen. Eine Kontrollabfrage hat dies auch bestätigt.

 

Nun bin ich davon ausgegangen, dass der Zeitdienst auch an der PDC Rolle hängt und auf den neuen DC übergeht. Eine Abfrage vom neuen DC aus, zeigt aber, dass der alte immer noch NTP Server für die Domäne ist.

 

Ein wenig googlen brachte nun die diversen Möglichkeiten zum Vorschein, den NTP Server zu ändern - die beste ist wohl über GPO ( https://www.gruppenr...rver-per-gpo/ )

 

Meine Frage ist nun: Muss ich mich wirklich darum kümmern und dies über eine Gruppenrichtlinie steuern oder erübrigt sich das "Problem" von alleine, wenn ich in den nächsten Tagen den alten 2003er DC runterstufe und aus der Domäne herausnehme? (Natürlich will ich dann auch noch die Domänefunktionseben und Gesamtfunktionsebene hochsetzen)

 

Gruß

Jörg



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.818 Beiträge

 

Geschrieben 23. Oktober 2017 - 07:49

Der alte bleibt ja auch weiterhin Zeitserver. Was genau hast du denn abgefragt? Das How To funktioniert eigentlich immer und dann braucht man vor allem nicht jedesmal überlegen. Manuell wird der neue Server jedenfalls nicht einfach nach extern gehen und die Zeit abholen. ;)

Make something i***-proof and they will build a better i***.


#3 zahni

zahni

    Expert Member

  • 16.468 Beiträge

 

Geschrieben 23. Oktober 2017 - 07:53

Prinzipiell sind alle DCs in der Domäne "NTP-Zeitserver". Die Frage ist, wer der Chef ist und "extern synchronisiert werden muss". Das ist der  PDC-Emulator.

Lies hier am Besten nochmal nach:

 

https://msdn.microso...3(v=ws.10).aspx

 

Den alten DC solltest Du auf NT5DS konfigurieren, den neuen PDC-Emulator auf  einen externen NTP-Server. 


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#4 Küstennebel

Küstennebel

    Newbie

  • 35 Beiträge

 

Geschrieben 23. Oktober 2017 - 07:55

Die Abfrage (vom neuen DC) aus lautete: w32tm /query /source. Als Ergebnis wurde der alte DC angezeigt. (Auf dem Alten funktioniert diese Abfrage nicht, da 2003 die Option /query wohl noch nicht enthalten war)

 

Ich würde nur gerne wissen wollen, was passiert, wenn der alte DC (momentan NTP Server) dann runtergestuft und aus der Domäne genommen wird. Ist dann gar kein Zeitserver mehr in der Domäne oder überträgt er dann den Dienst automatisch, sodass ich mir ein Konfigurieren von Gruppenrichtlinien sparen kann?



#5 NorbertFe

NorbertFe

    Expert Member

  • 30.818 Beiträge

 

Geschrieben 23. Oktober 2017 - 08:04

Nur der PDC Emulator muß nach aussen synchen alle anderen DCs agieren als Timeserver und holen ihre Zeit beim PDC Emulator. Alle Memberserver und PCs der Domäne holen sich die Zeit bei ihrem Anmelde-DC.

Make something i***-proof and they will build a better i***.


#6 Küstennebel

Küstennebel

    Newbie

  • 35 Beiträge

 

Geschrieben 23. Oktober 2017 - 08:20

Nur der PDC Emulator muß nach aussen synchen alle anderen DCs agieren als Timeserver und holen ihre Zeit beim PDC Emulator. Alle Memberserver und PCs der Domäne holen sich die Zeit bei ihrem Anmelde-DC.

 

Das ist mir soweit klar. Aber was passiert, wenn ich an der NTP Konfiguration erst mal nichts ändere und dann aber, wie geplant, den alten DC herabstufe und komplett aus der Domäne entferne? Geht dann die NTP Geschichte automatisch auf den neuen DC über oder steht die Domäne auf einmal ohne NTP Abgleich nach außen da?



#7 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 23. Oktober 2017 - 08:24

Moin,

 

was spricht dagegen, die Gruppenrichtlinien zu konfigurieren? Das dauert zehn Minuten.

 

Wichtig dann: Die Firewall muss NTP auch durchlassen ...

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#8 Küstennebel

Küstennebel

    Newbie

  • 35 Beiträge

 

Geschrieben 23. Oktober 2017 - 08:32

Moin,

 

was spricht dagegen, die Gruppenrichtlinien zu konfigurieren?

 

Mein Unvermögen  (Selbstkritik ist der erste Weg zur Besserung :) ). Ich administriere unsere Domäne halt nur nebenbei und muss mir alles anlesen. Deshalb gehe ich den Weg des geringsten Widerstandes. Und wenn sich bei Herabstufen des Alten alles von alleine regelt, bin ich happy und kann mich wieder meiner "normalen" Arbeit zuwenden.

 

... aber ich sehe, Ihr redet auch um den heißen Brei herum (nur Spaß), was passiert, wenn der alte DC (momentaner NTP Server) heruntergestuft und aus der Domäne entfernt wird.

 

Gruß

Jörg



#9 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 23. Oktober 2017 - 08:42

Moin,

 

sorry, ich kann dir nicht folgen. Deine Fragen sind beantwortet und dir ist eine Best-Practice-Empfehlung gegeben worden.

 

Alle DCs sind NTP-Server. Wenn du einen davon entfernst, sind die anderen immer noch NTP-Server. Die angegebenen Gruppenrichtlinien sorgen für eine dauerhafte Automatisierung der "Besonderheiten" für den PDC-Emulator. Einmal einrichten, nie wieder anfassen müssen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#10 zahni

zahni

    Expert Member

  • 16.468 Beiträge

 

Geschrieben 23. Oktober 2017 - 08:42

Dann holt er und die anderen Gräte sich  die Zeit vom anderen DC.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#11 Küstennebel

Küstennebel

    Newbie

  • 35 Beiträge

 

Geschrieben 23. Oktober 2017 - 09:08

Dann holt er und die anderen Gräte sich  die Zeit vom anderen DC.

 

Also muss ich doch nichts weiter tun, als hinterher (wenn der Alte nicht mehr in der Domäne ist) zu checken, dass der neue DC sich die Zeit vom richtigen externen NTP holt und fertig.

 

Na, ich werd's wohl einfach ausprobieren und hinterher mal abfragen, wer dann in der Domäne für die Zeit zuständig ist.

 

Die GPO Geschichte kann ich dann immer noch durchführen.

 

Danke und ruhige Woche ohne Rechnerabstürze

 

Jörg



#12 Sunny61

Sunny61

    Expert Member

  • 22.182 Beiträge

 

Geschrieben 23. Oktober 2017 - 09:20

Du kannst die GPO-Geschichte aber auch gleich machen und dich anschließend wieder hinlegen. Dann brauchst Du dieses Thema aber auch NIE wieder anzufassen.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#13 NorbertFe

NorbertFe

    Expert Member

  • 30.818 Beiträge

 

Geschrieben 23. Oktober 2017 - 09:44

Also muss ich doch nichts weiter tun, als hinterher (wenn der Alte nicht mehr in der Domäne ist) zu checken, dass der neue DC sich die Zeit vom richtigen externen NTP holt und fertig.


Oder du implementierst JETZT das How To und fertig. :rolleyes:

Bye
Norbert

Make something i***-proof and they will build a better i***.


#14 Küstennebel

Küstennebel

    Newbie

  • 35 Beiträge

 

Geschrieben 23. Oktober 2017 - 15:00

Oder du implementierst JETZT das How To und fertig. :rolleyes:

 

Ich hab's getan...      

Die Gruppenrichtlinienverwaltung ist ja glücklicherweise seit Server 2003 viel übersichtlicher geworden. Da komm' sogar ich jetzt halbwegs intuitiv durch.

 

Die Abfrage "w32tm /query /configuration" brachte auf dem neuen DC den eingestellten externen NTP Server zurück. Auf den Client Rechnern (nach gpupdate) wurde der neue DC als Zeitquelle ausgegeben. Nur der alte 2003er DC gibt mir noch seine alte externe Zeitquelle an. Aber den nehmen wir ja eh bald aus der Domäne.

 

Vielleicht könnt Ihr mir aber noch bei zwei kleinen offenen Punkten helfen:

 

1 Es gibt ein (nicht verknüpftes) Gruppenrichtlinienobjekt "ODC Zeitserverkonfiguration". Was ist das?

 

2 Die Ereignisanzeige des neuen DC enthält eine Info:

"Der Zeitanbieter 'VMICTimeProvider' hat angegeben, dass die aktuelle Hardware- und Betriebssystemumgebung nicht unterstützt wird und beendet wurde. Dieses Verhalten wird für VMICTimeProvider in Nicht-HyperV-Gastumgebungen erwartet. Dies kann auch das vom aktuellen Anbieter erwartete Verhalten in der aktuellen Betriebsumgebung sein."  Google bringt dazu nichts Gescheites. Habt Ihr eine Idee?

 

Gruß

Jörg



#15 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 23. Oktober 2017 - 15:04

Moin,

 

1) woher sollen wir das wissen? Aber wenn das GPO nicht verknüpft ist und du nicht weißt, was es ist, kannst du es auch löschen. Wirkungslos ist es ja ohnehin.

2) Ist der Server eine VM, die von Hyper-V nach VMware übertragen wurde?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!