Zum Inhalt wechseln


Foto

W32Time in einer Windows 2003 AD Umgebung


  • Bitte melde dich an um zu Antworten
9 Antworten in diesem Thema

#1 Gadget

Gadget

    Moderator

  • 5.082 Beiträge

 

Geschrieben 28. März 2005 - 02:11

Hallo Boardianer,

mir sind jetzt schon wirklich einige Beiträge über W32Timeuntergekommen und wollte hier mal ein paar Grundsätze klären und meinen Lösungsweg aufzeigen, da es bei 2k3 doch immer noch einige Probleme mit der Zeitsynchronisation gibt.

Wiso Zeitsynchronisation?

Die verschiedensten Vorgänge am Server werden mit einem Zeitstempel versehen Eventlog-Einträge, E-Mail´s etc. dabei sollte jedem sofort klar werden wie wichtig die korrekte Zeit wirklich sein kann, für den Admin und den Anwender.
hier gibts mehr dazu => http://www.msexchang...es/timesync.htm

Muss die Zeit stimmen?
Technische Vorraussetzungen für die richtige Uhrzeit im AD gibts es imho nicht wichtig ist es nur, dass alle Server + Workstation die gleiche Zeit haben, ob diese nun richtig oder falsch ist.
[quote name='http://www.microsoft.com/germany/sicherheit/guidance/modules/secmod118.mspx']Der W32-Zeitdienst synchronisiert die Clientuhren von Windows Server 2003-Computern mit den Domänencontrollern in einer Domäne. Dies ist für die korrekte Funktion des Kerberos-Authentifizierungsprotokolls Version 5 und von NTLMv2 erforderlich. Die einwandfreie Funktion einer Reihe von Komponenten der Windows Server-Produktfamilie setzt die genaue und synchronisierte Uhrzeit voraus. Wenn die Uhren auf den Clients nicht synchronisiert sind, kann es passieren, dass das Kerberos v5-Authentifizierungsprotokoll Anmeldungsversuche fälschlicherweise als Eindringungsversuche interpretiert und Benutzern den Zugriff verweigert.[/QUOTE]

Aus oben genannten gründen ist aber natürlich trotzdem Wünschenswert eine möglichst exakte Zeit zu haben.

Wer Sync't mit wem?
Alle Memberserver und Workstations synchronisieren mit dem DC der die Rolle des PDC-Emulators innehat.
Hier gibts mehr info unter dem Punkt "Time Hierarchy" => http://www.windowsne...me-Service.html

Wie Synchronisiere ich?
Normalweise würde man per w32tm ein paar Zeitserver angeben mit denen sich unser Server synchronisieren soll, dies hat sich aber in der Praxis seit 2k3 als sehr fehleranfällige Konfiguration herausgestellt. Grizzly hat in diesem Thread http://www.mcseboard...ead.php?t=45381 folgendes dazu geschrieben => [quote name='grizzly999']Das ist seit 2003 ein riesiges Problem geworden der Zeitdienst, ich kenne kaum eine Domäne, die nicht voll mit diesen Fehlern ist.
Traurig, aber wahr. Es gibt einen Pre-SP1 Patch, der die Fehler auf wenige Meldungen reduziert und die Synchrionisation dann anscheindend trotz der Fehlermeldung dann halbwegs anständig läuft: http://support.micro...kb;en-us;830092
grizzly999[/QUOTE]

Trotz des genannten Patches habe ich es unter 2k3 bei den meisten Servern nicht zum laufen bekommen.

Deswegen halte ich den Umweg über ein Drittherstellertool als besten Lösungsweg. =>
1. Konfiugrations des PDC-Emulators zur Verwendung der internen Hardwareuhr (CMOS-Clock) => http://support.micro...com/kb/816042#3 Die erscheinende Meldung im Eventlog soll uns nicht weiter stören, da wir ja über unser Tool synchronisieren.

2. Installation u. Konfiguration von Symmtime 2005 zur Synchronisation mit beiden NTP-Servern PTB Braunschweib: ptbtime1.ptb.de o. ptbtime2.ptb.de http://www.ntp-syste...om/symmtime.asp

3. Test der Konfig über w32time /monitor

Gruß Kohn

Konfuzius sagt: Fordere viel von dir selbst und erwarte wenig von den anderen. So wird dir Ärger erspart bleiben.

Kohn.blog


#2 Gadget

Gadget

    Moderator

  • 5.082 Beiträge

 

Geschrieben 28. März 2005 - 02:21

Links zum Thema:

PTB.de: Zeitsynchronisation von Rechnern

Microsoft.com: Windows Time Service Tools and Settings


Symmetricom Domain Time II LMCheck: Check your network´s time Synchronization!

#3 Ald-Edv

Ald-Edv

    Board Veteran

  • 525 Beiträge

 

Geschrieben 01. Juni 2006 - 09:12

Hi habe auch noch eine Frage dazu. Wenn ich am Server die Zeit synce mit dem Internet, muss ich dann noch etwas an den Clients einstellen? Bisher ist es so, dass die Meldung kommt: dem Client fehlt das Recht die Uhrzeit zu ändern. Wie kann ich das am besten behenben? Mit einer GPO?

#4 mawihst

mawihst

    Senior Member

  • 397 Beiträge

 

Geschrieben 01. Juni 2006 - 09:22

Hi habe auch noch eine Frage dazu. Wenn ich am Server die Zeit synce mit dem Internet, muss ich dann noch etwas an den Clients einstellen? Bisher ist es so, dass die Meldung kommt: dem Client fehlt das Recht die Uhrzeit zu ändern. Wie kann ich das am besten behenben? Mit einer GPO?


Hallo!
Wenn du eine Domäne hast dann "holen" sich die Clients die Zeit Automatisch-sprich an den Clients musst du nichts mehr einstellen...

Siehe Hier http://www.mcseboard...ght=client zeit
______Gruss Mawi____________________

070-210/ 070-215/ 070-290/70-291/70-227/70-293/70-294/70-297---MCSA 2003/MCSE 2003---

#5 lefg

lefg

    Expert Member

  • 20.481 Beiträge

 

Geschrieben 01. Juni 2006 - 09:59

Bisher ist es so, dass die Meldung kommt: dem Client fehlt das Recht die Uhrzeit zu ändern. Wie kann ich das am besten behenben? Mit einer GPO?

Lautet die Meldung tasächlich auf den Client oder auf dem Benutzer?

Falls der Benetzer das Recht erhalten soll, muss es ihm zugwiesen werden per Richtlinie.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#6 dippas

dippas

    Board Veteran

  • 1.674 Beiträge

 

Geschrieben 01. Juni 2006 - 15:25

Ich habe da vielleicht auch noch einen kleinen Tipp, den man ja mal ausprobieren kann.

Im W2k-Umfeld erscheint ein W32Time-Fehler auf dem DC natürlich auch. Klar, denn W2k hat ja keine Konfiguration nach der Installation, die ihm sagt, wer denn nun Zeitserver ist. Dummerweise nimmt er dann auch nicht sich selbst.

Aber:

Im Eventlog steht bei diesem Fehler genau drin, was man zu tun hat:

net time \\computername /setsntp:Zeitserver-Name

Diesen Befehl auf einem DC ausgeführt:

net time \\dc-name /setsntp:dc-name

bewirkt, dass er sich selbst, als Zeitserver für die Domäne nimmt. Damit ist die Uhr unten links das Maß der Dinge in der Domain.

Natürlich kann man auch z.B. den Zeitserver aus Braunschweig nehmen, was ich zumindest für DE empfehlen würde, denn der im W2k3-Umfeld gebräuchliche (weil voreingestellt) Server time.windows.com ist vermutlich nicht die beste Wahl.

Ach ja, der Befehl klappt auch unter W2k3, obwohl das nicht der wirklich empfohlene Weg ist ;)

grüße

dippas
MCSE-W2k+M, Microsoft Small Business Specialist, "Heuschrecke"
in Vorbereitung: MCSE-W2k3+M, Hobby: E2k3

#7 Das Urmel

Das Urmel

    Gast

  • 2.657 Beiträge

 

Geschrieben 01. Juni 2006 - 18:47

Merkwürdig ;)
Weder als DC noch als Memberserver macht der W2K3 hier Ärger.
Die vor SP1 unsinnige Meldung ID35 glaube ich? mal ausser acht gelassen.
mfg
Das Urmel
..lesen und verstehen - das Manko etlicher
... ich denke dennoch drüber nach, ehrlich :)

#8 arni64

arni64

    Newbie

  • 1 Beiträge

 

Geschrieben 16. Juli 2006 - 11:35

Hallo Kohn,
ich habe eine Domain mit 3 DC. Der PDC hat Windows2003 R2. Aus
Sicherheitsgründen möchte ich den Zeitabgleich über eine interne Funkuhr
vornehmen. Die Funkuhr ist am PDC und funktioniert.
Den PDC habe ich über w32tm /config /syncfromflags:domhier /reliable:yes
/update konfiguriert. Danach erhalte ich eine Ereignis ID 12 im Protokoll.
Das ist soweit auch in Ordnung. Nach 24 Stunden erhalte ich aber einen Fehler
mit der Ereignis ID 36 die besagt, dass der PDC keinen Zeitdienstanbieter
mit einem gültigen Zeitstempel finden kann und demzufolge auch keine Zeit
mehr zur Verfügung stellt! Was habe ich hier vergessen?
In der Registry habe ich unter w32tm ... Parameter: den Typ NT5DS
eingetragen, das Announcedflag ist 5.
Kannst Du helfen??
Holen sich wirklich alle Clients und Memberserver die Zeit vom PDC oder holen sich die Clients auch die Zeit vom Anmeldeserver?

#9 Ald-Edv

Ald-Edv

    Board Veteran

  • 525 Beiträge

 

Geschrieben 04. September 2006 - 13:20

Hallo, wie klappt es denn am besten? Variante1:

w32tm /config /syncfromflags:manual /manualpeerlist:xx.xx.xx.xx
w32tm /config /update
w32tm /resync

Variante2:

net time /setsntp:time.windows.com

würde mich sehr interessieren wer was und warum im Einsatz hat, vielen Dank,

Grüsse!!

#10 dippas

dippas

    Board Veteran

  • 1.674 Beiträge

 

Geschrieben 05. September 2006 - 22:12

zur Verwendung des net time /xyz unter Windows 2000 findest Du hier sicherlich einige hilfreiche Informationen:

netigator.de -

wenn Du Windows 2003 betreibst, wirst Du hier am besten glücklich:

Konfigurieren eines autorisierenden Zeitservers in Windows Server 2003

grüsse

dippas
MCSE-W2k+M, Microsoft Small Business Specialist, "Heuschrecke"
in Vorbereitung: MCSE-W2k3+M, Hobby: E2k3