Jump to content
Sign in to follow this  
Darksun777

GPO: Time Sync Problem

Recommended Posts

Hallo zusammen,

 

ich möchte unsere Windows Clients per Gruppenrichtlinie auf einen bestimmten Zeitserver festlegen.

 

Dazu habe ich alle Einstellungen hier gemacht:

 

Computer Configuration -> Administrative Templates -> System -> Windows Time Service

 

Als Zeitserver wurde der 1.DC eingetragen, Typ NTD5.

 

Jedoch ist es nicht möglich einen Client per "w32tm /resync" zu synchronisieren, es kommt der Fehler das keine Zeitdaten verfügbar waren.

 

Schaue ich in der Registry nach, finde ich folgendes vor:

 

HKLM\Software\policies\microsoft\Windows\W32Time

 

^^^Hier finde ich alle per GPO gesetzten Einstellungen

 

HKLM\SYSTEM\CurrentControLSet\Services\W32Time

 

^^^hier sind immer noch die Windows Standardeinstellungen (time.windows.com) --> dieser Server kann nicht erreicht werden, da der Client keinen Zugriff aufs Internet hat

 

Die Gruppenrichtlinie wird korrekt gezogen und angwendet (Gpresult ist ok und man sieht es ja daran, dass die Settings in der Registry landen unter HKLM\Software\Policies)

 

Jedoch sieht es wohl so aus, dass der Windows-Zeit-Dienst die Einstellungen von der anderen Stelle in der Registry verwendet?!

Warum das? Müsste nicht die Einstellung der GPo gelten?

 

Würde mich über Tips freuen, stehe da grade echt auf dem Schlauch ..

 

Danke!

Share this post


Link to post
Hallo zusammen,

 

ich möchte unsere Windows Clients per Gruppenrichtlinie auf einen bestimmten Zeitserver festlegen.

 

Warum willst du das tun?

 

Dazu habe ich alle Einstellungen hier gemacht:

 

Computer Configuration -> Administrative Templates -> System -> Windows Time Service

 

Als Zeitserver wurde der 1.DC eingetragen, Typ NTD5.

 

Jedoch ist es nicht möglich einen Client per "w32tm /resync" zu synchronisieren, es kommt der Fehler das keine Zeitdaten verfügbar waren.

 

Machs wieder rückgängig.

 

^^^hier sind immer noch die Windows Standardeinstellungen (time.windows.com) --> dieser Server kann nicht erreicht werden, da der Client keinen Zugriff aufs Internet hat

 

Na und? Die werden ignoriert, weil die Einstellungen unter \Policies Vorrang haben.

 

 

Würde mich über Tips freuen, stehe da grade echt auf dem Schlauch ..

 

Erklär doch mal, warum du die Client anfäßt, die per Default die Zeit vom DC erhalten. Das was du jetzt tust, führt üblicherweise genau dazu, dass nichts mehr sinnvoll funktioniert.

Wenn du schon was konfigurieren willst, dann machs richtig.

 

Bye

Norbert

Share this post


Link to post
Warum willst du das tun?

 

 

 

Machs wieder rückgängig.

 

 

 

Na und? Die werden ignoriert, weil die Einstellungen unter \Policies Vorrang haben.

 

 

 

 

Erklär doch mal, warum du die Client anfäßt, die per Default die Zeit vom DC erhalten. Das was du jetzt tust, führt üblicherweise genau dazu, dass nichts mehr sinnvoll funktioniert.

Wenn du schon was konfigurieren willst, dann machs richtig.

 

Bye

Norbert

 

Die Einstellungen unter HKLM\System\CurrentControLSet\..... werden anscheinend nicht ignoriert, sonst würde es ja funktionieren.

Wenn ich unter diesem Registry-Key den 1. DC manuell eintrage, funktioniert es problemlos.

 

Der Windows Zeitdienst scheint die Einstellungen der GPO nicht anzuwenden, ich wollte nur wissen, warum nicht.

 

In deinem Artikel beschreibst Du, die Clients auf "time.windows.com" zu konfigurieren - genau das will ich nicht..

Ich habe es übrigens genau so wie in deinem Artikel gemacht, nur eben als zeitserver mit meinem 1.DC

 

Aber wie gesagt, die Einstellungen ziehen nicht..

Share this post


Link to post

Wenn Du einen bestimmten Server zum Zeitabgleich via NTP benutzen möchtest, dann benutze NTP. Wenn Du die Domänenhierarchie benutzen möchtest, dann trage NT5DS ein und keinen speziellen Server (da dieser Eintrag sowieso für die Katze ist).

Du solltest Deinen Forest-Root-DC zum Synchronisieren der Zeit mit einer externen Quelle konfigurieren und Deine Clients auf NT5DS einstellen ...

How to configure an authoritative time server in Windows Server

Share this post


Link to post
In deinem Artikel beschreibst Du, die Clients auf "time.windows.com" zu konfigurieren

 

Nein beschreibe ich nicht. DU solltest lieber nicht nur selektiv lesen.

 

- genau das will ich nicht..

 

Hab ich auch nicht angenommen.

 

Ich habe es übrigens genau so wie in deinem Artikel gemacht, nur eben als zeitserver mit meinem 1.DC

 

Du verstehst es immer noch nicht, oder? Setze doch mal den kompletten Artikel genau so um, wie er dort stehe.

 

Aber wie gesagt, die Einstellungen ziehen nicht..

 

Weil du es falsch "konfigurierst". Glaubs doch einfach. ;) Im Übrigen würden sich die Clients die Zeit automatisch die Zeit vom DC holen, ohne dass du irgendwas konfigurieren mußt. Aber wahrscheinlich hast du das ja alles schon "verkonfiguriert" und glaubst es jetzt mit noch mehr Konfiguration wieder gradebiegen zu können. ;)

 

 

Bye

Norbert

Share this post


Link to post
Wenn Du einen bestimmten Server zum Zeitabgleich via NTP benutzen möchtest, dann benutze NTP. Wenn Du die Domänenhierarchie benutzen möchtest, dann trage NT5DS ein und keinen speziellen Server (da dieser Eintrag sowieso für die Katze ist).

Du solltest Deinen Forest-Root-DC zum Synchronisieren der Zeit mit einer externen Quelle konfigurieren und Deine Clients auf NT5DS einstellen ...

How to configure an authoritative time server in Windows Server

 

Ok danke, mir war nicht bewusst das der Servereintrag bei NT5DS obsolet ist.

Aber ein w32tm /resync sollte dann doch trotzdem zu einem positiven Ergebnis führen, oder nicht?

Share this post


Link to post

Nochmal ganz langsam: In einer Domäne ab Windows 2000 muss dort ABSOLUT 0 komma nix konfiguriert werden. PC in die Domäne nehmen, fertig, geht. Es muss nur der DC mit der FSMO-Rolle "PDC-Emulator" mit einer externen Uhr (z.B. per NTP) synchronisiert werden. Gruppenrichlinien sind da komplett für die Katz.

 

-Zahni

Share this post


Link to post
Ok danke, mir war nicht bewusst das der Servereintrag bei NT5DS obsolet ist.

 

Aha.

 

Aber ein w32tm /resync sollte dann doch trotzdem zu einem positiven Ergebnis führen, oder nicht?

 

Vorausgesetzt dein DC ist richtig konfiguriert...

 

Bye

Norbert

Share this post


Link to post

Womit wir wieder wo wären? ;) Beim genauen Abarbeiten des geposteten Links. Denn dann würde es schon funktionieren. Ja, es ist sogar der Hinweise bzgl. Firewall und ntp vorhanden. ;)

 

Bye

Norbert

Share this post


Link to post

Ich hab jetzt alles rückgängig gemacht, aber immer noch dasselbe Problem.

 

Folgende Config ist jetzt aktiv:

 

DC1 (PDC): Synct mit externer NTP-Quelle, das funktioniert (w32tm /resync).

AnnounceFlag ist auf 5

 

Client (Win7): Alles zurück auf Standard gestellt (GPO weg, w32tm /unregister + /register, Typ = NT5DS)

 

Ein w32tm /resync auf dem Client bringt aber immer noch den Fehler, dass keine Zeitdaten verfügbar sind.

 

Firewall ist überall aus.

 

EDIT: Der DC scheint aber ok zu sein. Hier mal die Meldungen vom Eventlog nach dem starten und stoppen des Zeitdienstes:

 

- The Windows Time service entered the stopped state.

- The time service has started advertising as a time source.

- The time service has started advertising as a good time source.

- The Windows Time service entered the running state.

- The time provider NtpClient is currently receiving valid time data from 10.xxx.xx.xxx (ntp.m|0x0|0.0.0.0:123->10.xxx.xx.xxx:123).

 

 

Habt ihr noch Ideen?

Share this post


Link to post

Mach bei einem Client mal folgendes:

W32TM /CONFIG /SYNCFROMFLAGS: DOMHIER (ohne Leerschritt nach dem : )

W32TM /CONFIG /UPDATE

NET STOP W32TIME && NET START W32TIME

Share this post


Link to post

Hab ich gemacht, leider immer noch keinen Erfolg...

 

EDIT: Hier mal das Logfile vom Client, folgender Fehler ist zu sehen:

 

149628 14:33:26.6875000s - Response received from domain controller xxxDC01.xxx.LOCAL authenticated successfully.

149628 14:33:26.6875000s - Packet test 7 failed (bad stratum: system - 0, sample - 15).

149628 14:33:26.6875000s - Ignoring packet that failed tests from xxxDC01.xxx.LOCAL (ntp.d|0.0.0.0:123->10.xxx.xx.xx:123).

149628 14:33:41.2031250s - W32TmServiceMain: timeout

 

149628 14:33:41.7500000s - Rejecting packet w/ bad mode

149628 14:33:41.7500000s - Ignoring garbage packet.

 

Kann jemand damit was anfangen?

 

EDIT2: Anscheinend habe ich die Ursache des Problems im Logfile gefunden:

 

Poll Interval: 6 - 64s; Precision: 0 - out of valid range

 

Hier gibt es einen Artikel von Microsoft, der bezieht sich allerdings auf Windows 2003: http://support.microsoft.com/kb/940742/en-us

 

Da steht drin, ein zulässiger Precision Wert ist von -30 bis -3

 

Ich hab noch keine Ahnung was das genau ist und warum der bei mir 0 ist, aber ich forsche da morgen mal weiter. Ich vermute den Zusammenhang mit der externen NTP Quelle.

Falls es jemanden intressiert poste ich dann hier die weiteren Ergebnisse.

Edited by Darksun777

Share this post


Link to post

Hi,

 

also es geht jetzt, das Problem war zweigeteilt:

 

- Der interne NTP-Server im LAN (irgendein alter Unix-Server) sendet ein mit Windows 2008 / Windows 7 inkompatibles Flag. Das war im Logfile ersichtlich, der Server & die Clients haben die Pakete immer gedropt.

Danach habe ich den Server auf eine externe NTP-Quelle (internet) konfiguriert, aber auch das ging nicht, weil -->

 

- Die Netzwerkjungs hatten in der Route von der Server-IP zum Internet kein Natting aktiviert, sodaß der Rückweg der NTP-Pakete versperrt war

 

--> Netzwerkjungs haben NAT für die Route aktiviert, DC2008 auf pool.ntp.org konfiguriert --> geht :)

 

Danke nochmal für eure Mithilfe.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...