Jump to content

GPO: Time Sync Problem


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich möchte unsere Windows Clients per Gruppenrichtlinie auf einen bestimmten Zeitserver festlegen.

 

Dazu habe ich alle Einstellungen hier gemacht:

 

Computer Configuration -> Administrative Templates -> System -> Windows Time Service

 

Als Zeitserver wurde der 1.DC eingetragen, Typ NTD5.

 

Jedoch ist es nicht möglich einen Client per "w32tm /resync" zu synchronisieren, es kommt der Fehler das keine Zeitdaten verfügbar waren.

 

Schaue ich in der Registry nach, finde ich folgendes vor:

 

HKLM\Software\policies\microsoft\Windows\W32Time

 

^^^Hier finde ich alle per GPO gesetzten Einstellungen

 

HKLM\SYSTEM\CurrentControLSet\Services\W32Time

 

^^^hier sind immer noch die Windows Standardeinstellungen (time.windows.com) --> dieser Server kann nicht erreicht werden, da der Client keinen Zugriff aufs Internet hat

 

Die Gruppenrichtlinie wird korrekt gezogen und angwendet (Gpresult ist ok und man sieht es ja daran, dass die Settings in der Registry landen unter HKLM\Software\Policies)

 

Jedoch sieht es wohl so aus, dass der Windows-Zeit-Dienst die Einstellungen von der anderen Stelle in der Registry verwendet?!

Warum das? Müsste nicht die Einstellung der GPo gelten?

 

Würde mich über Tips freuen, stehe da grade echt auf dem Schlauch ..

 

Danke!

Link zu diesem Kommentar
Hallo zusammen,

 

ich möchte unsere Windows Clients per Gruppenrichtlinie auf einen bestimmten Zeitserver festlegen.

 

Warum willst du das tun?

 

Dazu habe ich alle Einstellungen hier gemacht:

 

Computer Configuration -> Administrative Templates -> System -> Windows Time Service

 

Als Zeitserver wurde der 1.DC eingetragen, Typ NTD5.

 

Jedoch ist es nicht möglich einen Client per "w32tm /resync" zu synchronisieren, es kommt der Fehler das keine Zeitdaten verfügbar waren.

 

Machs wieder rückgängig.

 

^^^hier sind immer noch die Windows Standardeinstellungen (time.windows.com) --> dieser Server kann nicht erreicht werden, da der Client keinen Zugriff aufs Internet hat

 

Na und? Die werden ignoriert, weil die Einstellungen unter \Policies Vorrang haben.

 

 

Würde mich über Tips freuen, stehe da grade echt auf dem Schlauch ..

 

Erklär doch mal, warum du die Client anfäßt, die per Default die Zeit vom DC erhalten. Das was du jetzt tust, führt üblicherweise genau dazu, dass nichts mehr sinnvoll funktioniert.

Wenn du schon was konfigurieren willst, dann machs richtig.

 

Bye

Norbert

Link zu diesem Kommentar
Warum willst du das tun?

 

 

 

Machs wieder rückgängig.

 

 

 

Na und? Die werden ignoriert, weil die Einstellungen unter \Policies Vorrang haben.

 

 

 

 

Erklär doch mal, warum du die Client anfäßt, die per Default die Zeit vom DC erhalten. Das was du jetzt tust, führt üblicherweise genau dazu, dass nichts mehr sinnvoll funktioniert.

Wenn du schon was konfigurieren willst, dann machs richtig.

 

Bye

Norbert

 

Die Einstellungen unter HKLM\System\CurrentControLSet\..... werden anscheinend nicht ignoriert, sonst würde es ja funktionieren.

Wenn ich unter diesem Registry-Key den 1. DC manuell eintrage, funktioniert es problemlos.

 

Der Windows Zeitdienst scheint die Einstellungen der GPO nicht anzuwenden, ich wollte nur wissen, warum nicht.

 

In deinem Artikel beschreibst Du, die Clients auf "time.windows.com" zu konfigurieren - genau das will ich nicht..

Ich habe es übrigens genau so wie in deinem Artikel gemacht, nur eben als zeitserver mit meinem 1.DC

 

Aber wie gesagt, die Einstellungen ziehen nicht..

Link zu diesem Kommentar

Wenn Du einen bestimmten Server zum Zeitabgleich via NTP benutzen möchtest, dann benutze NTP. Wenn Du die Domänenhierarchie benutzen möchtest, dann trage NT5DS ein und keinen speziellen Server (da dieser Eintrag sowieso für die Katze ist).

Du solltest Deinen Forest-Root-DC zum Synchronisieren der Zeit mit einer externen Quelle konfigurieren und Deine Clients auf NT5DS einstellen ...

How to configure an authoritative time server in Windows Server

Link zu diesem Kommentar
In deinem Artikel beschreibst Du, die Clients auf "time.windows.com" zu konfigurieren

 

Nein beschreibe ich nicht. DU solltest lieber nicht nur selektiv lesen.

 

- genau das will ich nicht..

 

Hab ich auch nicht angenommen.

 

Ich habe es übrigens genau so wie in deinem Artikel gemacht, nur eben als zeitserver mit meinem 1.DC

 

Du verstehst es immer noch nicht, oder? Setze doch mal den kompletten Artikel genau so um, wie er dort stehe.

 

Aber wie gesagt, die Einstellungen ziehen nicht..

 

Weil du es falsch "konfigurierst". Glaubs doch einfach. ;) Im Übrigen würden sich die Clients die Zeit automatisch die Zeit vom DC holen, ohne dass du irgendwas konfigurieren mußt. Aber wahrscheinlich hast du das ja alles schon "verkonfiguriert" und glaubst es jetzt mit noch mehr Konfiguration wieder gradebiegen zu können. ;)

 

 

Bye

Norbert

Link zu diesem Kommentar
Wenn Du einen bestimmten Server zum Zeitabgleich via NTP benutzen möchtest, dann benutze NTP. Wenn Du die Domänenhierarchie benutzen möchtest, dann trage NT5DS ein und keinen speziellen Server (da dieser Eintrag sowieso für die Katze ist).

Du solltest Deinen Forest-Root-DC zum Synchronisieren der Zeit mit einer externen Quelle konfigurieren und Deine Clients auf NT5DS einstellen ...

How to configure an authoritative time server in Windows Server

 

Ok danke, mir war nicht bewusst das der Servereintrag bei NT5DS obsolet ist.

Aber ein w32tm /resync sollte dann doch trotzdem zu einem positiven Ergebnis führen, oder nicht?

Link zu diesem Kommentar

Ich hab jetzt alles rückgängig gemacht, aber immer noch dasselbe Problem.

 

Folgende Config ist jetzt aktiv:

 

DC1 (PDC): Synct mit externer NTP-Quelle, das funktioniert (w32tm /resync).

AnnounceFlag ist auf 5

 

Client (Win7): Alles zurück auf Standard gestellt (GPO weg, w32tm /unregister + /register, Typ = NT5DS)

 

Ein w32tm /resync auf dem Client bringt aber immer noch den Fehler, dass keine Zeitdaten verfügbar sind.

 

Firewall ist überall aus.

 

EDIT: Der DC scheint aber ok zu sein. Hier mal die Meldungen vom Eventlog nach dem starten und stoppen des Zeitdienstes:

 

- The Windows Time service entered the stopped state.

- The time service has started advertising as a time source.

- The time service has started advertising as a good time source.

- The Windows Time service entered the running state.

- The time provider NtpClient is currently receiving valid time data from 10.xxx.xx.xxx (ntp.m|0x0|0.0.0.0:123->10.xxx.xx.xxx:123).

 

 

Habt ihr noch Ideen?

Link zu diesem Kommentar

Hab ich gemacht, leider immer noch keinen Erfolg...

 

EDIT: Hier mal das Logfile vom Client, folgender Fehler ist zu sehen:

 

149628 14:33:26.6875000s - Response received from domain controller xxxDC01.xxx.LOCAL authenticated successfully.

149628 14:33:26.6875000s - Packet test 7 failed (bad stratum: system - 0, sample - 15).

149628 14:33:26.6875000s - Ignoring packet that failed tests from xxxDC01.xxx.LOCAL (ntp.d|0.0.0.0:123->10.xxx.xx.xx:123).

149628 14:33:41.2031250s - W32TmServiceMain: timeout

 

149628 14:33:41.7500000s - Rejecting packet w/ bad mode

149628 14:33:41.7500000s - Ignoring garbage packet.

 

Kann jemand damit was anfangen?

 

EDIT2: Anscheinend habe ich die Ursache des Problems im Logfile gefunden:

 

Poll Interval: 6 - 64s; Precision: 0 - out of valid range

 

Hier gibt es einen Artikel von Microsoft, der bezieht sich allerdings auf Windows 2003: http://support.microsoft.com/kb/940742/en-us

 

Da steht drin, ein zulässiger Precision Wert ist von -30 bis -3

 

Ich hab noch keine Ahnung was das genau ist und warum der bei mir 0 ist, aber ich forsche da morgen mal weiter. Ich vermute den Zusammenhang mit der externen NTP Quelle.

Falls es jemanden intressiert poste ich dann hier die weiteren Ergebnisse.

bearbeitet von Darksun777
Link zu diesem Kommentar

Hi,

 

also es geht jetzt, das Problem war zweigeteilt:

 

- Der interne NTP-Server im LAN (irgendein alter Unix-Server) sendet ein mit Windows 2008 / Windows 7 inkompatibles Flag. Das war im Logfile ersichtlich, der Server & die Clients haben die Pakete immer gedropt.

Danach habe ich den Server auf eine externe NTP-Quelle (internet) konfiguriert, aber auch das ging nicht, weil -->

 

- Die Netzwerkjungs hatten in der Route von der Server-IP zum Internet kein Natting aktiviert, sodaß der Rückweg der NTP-Pakete versperrt war

 

--> Netzwerkjungs haben NAT für die Route aktiviert, DC2008 auf pool.ntp.org konfiguriert --> geht :)

 

Danke nochmal für eure Mithilfe.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...