Jump to content
Rumak18

NTP in AD 2012R2 - GPO werden nicht übernommen

Recommended Posts

Hi,

 

wie der Betreff schon sagt...die Zeit in meiner Domäne war von anderen Admins wohl konfiguriert worden mit GPOs, die es teils nicht mehr gibt. Nach einem ordnetlichen Aufräumvorgang habe ich zwar keine Probleme, aber irgendwie habe ich das Gefühl ,dass die Zeit nicht das tut , was sie machen soll. In meiner Domain existieren zwei DCs (PDC: 192.168.168.20 ; DC2: 192.168.168.30) und ich möchte die Sophos Firewall (192.168.168.10) als DNS Server für den PDC konfigurieren.  Ich habe gemäß Microsoft Empfehlungen eine GPO für meinen PDC erstellt (WMI Filter etc.) Für den zweiten DC und Clients wurde nichts konfiguriert.

 

Der PDC hat in seiner GPO die folgenden Einstellungen:

 

Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers -> Windows-NTP-Client konfigurieren:

NTPSERVER: 192.168.168.10      // Bei dieser Einstellung bin ich nicht sicher, ob und welches FLAG gesetzt werden muss (Es gibt ja 0x1,0x2 aber auch 0x01 , 0x02, 0x09 etc)

Type: NTP

CrossSiteSyncFlags:2

ResolvePeerBackoffMinutes:15

ResolvePeerBackOffMaxtimes: 7

SpecialPollInterval:3600

EventLogFlags: 0

Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers -> Windows-NTP-Client aktivieren:

Aktiv

Computer Configuration > Administrative Templates > System > Windows Time Service > Globale Konfigurationseinstellungen:

 

FrequencyCorrectRate 4

HoldPeriod 5
LargePhaseOffset 50000000
MaxAllowedPhaseOffset 300
MaxNegPhaseCorrection 172800
MaxPosPhaseCorrection 172800
PhaseCorrectRate 1
PollAdjustFactor 5
SpikeWatchPeriod 900
UpdateInterval 100
Allgemeine Parameter
AnnounceFlags 5
EventLogFlags 2
LocalClockDispersion 10
MaxPollInterval 10
MinPollInterval 6
RequireSecureTimeSyncRequests 0
UtilizeSslTimeData 1
ChainEntryTimeout 16
ChainMaxEntries 128
ChainMaxHostEntries 4
ChainDisable 0
ChainLoggingRate 30

 

Das Problem mit PDC:

Registry:

Unter dem Registry Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters" des PDCS sehe ich auf dem unter dem Registry Schüssel "NTPServer" immer noch  "time.windows.com,0x8", obwohl ich durch die GPO ja "192.168.168.10" eingegeben habe. Auch der "Type" steht anstatt auf "NTP" auf "NT5DS".

Die GPO für den PDC selber wird aber angewendet, zumindest sagt das "gpresult /r".

Werden die Registry Schlüssel per GPO denn nicht aktualisiert?

 

Das Problem auf den Clients oder Mitgliedsservern:

Nun habe ich das Problem, dass die "Clients" (Der zweite DC, Server und Desktops) nicht die exakte Zeit haben wie der PDC. Selbst nach einem "w32tm /resync" Befehl nicht. Es sind immer ca. 30 Sekunden Unterschied. Nichts schlimmes, aber das suggeriert mir, dass es nicht funktioniert.

Ausserdem erhalte ich auf einem Client mit dem Befehl "w32tm /query /configuration" folgendes:
[Konfiguration]

EventLogFlags: 2 (Lokal)
AnnounceFlags: 10 (Lokal)
TimeJumpAuditOffset: 28800 (Lokal)
MinPollInterval: 6 (Lokal)
MaxPollInterval: 10 (Lokal)
MaxNegPhaseCorrection: 4294967295 (Lokal)
MaxPosPhaseCorrection: 4294967295 (Lokal)
MaxAllowedPhaseOffset: 300 (Lokal)

FrequencyCorrectRate: 4 (Lokal)
PollAdjustFactor: 5 (Lokal)
LargePhaseOffset: 50000000 (Lokal)
SpikeWatchPeriod: 900 (Lokal)
LocalClockDispersion: 10 (Lokal)
HoldPeriod: 5 (Lokal)
PhaseCorrectRate: 1 (Lokal)
UpdateInterval: 100 (Lokal)


[Zeitanbieter]

NtpClient (Lokal)
DllName: C:\Windows\system32\w32time.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
CrossSiteSyncFlags: 2 (Richtlinie)
AllowNonstandardModeCombinations: 1 (Lokal)
ResolvePeerBackoffMinutes: 15 (Richtlinie)
ResolvePeerBackoffMaxTimes: 7 (Richtlinie)
CompatibilityFlags: 2147483648 (Lokal)
EventLogFlags: 0 (Richtlinie)
LargeSampleSkew: 3 (Lokal)
SpecialPollInterval: 7200 (Richtlinie)
Type: NT5DS (Richtlinie)

VMICTimeProvider (Lokal)
DllName: C:\Windows\System32\vmictimeprovider.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
NtpServer (Lokal)
DllName: C:\Windows\system32\w32time.dll (Lokal)
Enabled: 0 (Lokal)
InputProvider: 0 (Lokal)

 

während mir "w32tm /monitor" auf dem selben Client andere Einstellungen liefert:

DC01.int.local *** PDC ***[192.168.168.20:123]:
    ICMP: 1ms Verzögerung
    NTP: +0.0000000s Offset von DC01.int.local
        RefID: 80.84.77.86.rev.sfr.net [86.77.84.80]
        Stratum: 2
DC02.int.local[192.168.168.30:123]:
    ICMP: 0ms Verzögerung
    NTP: -21.1807467s Offset von DC01.int.local
        RefID: 'VMTP' [0x50544D56]
        Stratum: 1
[Warnung]
Die Reversenamenauflösung ist die beste Möglichkeit. Sie ist ggf. nicht
korrekt, da sich das Ref-ID-Feld in Zeitpaketen im Bereich von
NTP-Implementierungen unterscheidet und ggf. keine IP-Adressen verwendet.

 

 

 

Danke für euere Hilfe!

Share this post


Link to post
Share on other sites
vor 1 Minute schrieb Rumak18:

Unter dem Registry Pfad "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters" des PDCS sehe ich auf dem unter dem Registry Schüssel "NTPServer" immer noch  "time.windows.com,0x8", obwohl ich durch die GPO ja "192.168.168.10" eingegeben habe. Auch der "Type" steht anstatt auf "NTP" auf "NT5DS".

Die GPO für den PDC selber wird aber angewendet, zumindest sagt das "gpresult /r".

Werden die Registry Schlüssel per GPO denn nicht aktualisiert?

Logisch, aber eben unter "Policies" Das was du das siehst sind halt die Registry-Daten ohne Policy.

 

Wenn da Unterschiede sind, dann klappt irgendwas nicht so, wie es soll. Also ja, einfach mal schauen, dass dein PDC per GPO korrekt die Daten von deiner Firewall holt und dann schauen wir weiter.

Share this post


Link to post
Share on other sites

Hi,

 

nein, habe gerade die DGPOs nochmals überprüft. Sie werden laut "gpresult /r" übernommen.

Auf dem DC01 (PDC) wird mit "w32tm /monitor" weiterhin die Anzeige wie oben beschrieben gezeigt. Nicht der tatsächlich konfiguriert NTP.

Für die Clients sind gar keine GPOs konfiguriert, was die Zeit anbelangt.

Ich könnte das Ganze natürlich per Registry manuell anpassen, aber dann halte ich die GPOs für überflüssig. Der PDC hat seiner Registry immer noch den von Windows Server verwendeten "time.windows.com,0x8", trotz GPO.

 

Auffällig nun: "w32tm /query /source" liefert:

Local CMOS Clock

 

Das sollte wohl was anderes sein.

Edited by Rumak18

Share this post


Link to post
Share on other sites
vor 13 Minuten schrieb Rumak18:

Der PDC hat seiner Registry immer noch den von Windows Server verwendeten "time.windows.com,0x8", trotz GPO.

JAHAAAAAA. DAs ist normal, weil die Policy in einen anderen Zweig der Registry schreibt. Schrub ich aber auch schon oben.

Share this post


Link to post
Share on other sites

OK. Ich glaube ich hab den Grund gefunden. Der Hyper-V Host hat die INtegrationsdienste "Zeitsynchronisierung" aktiv gehabt. Ich habe den Haken entfernt. Der vorherige Fehler mit "Local CMOS Clock" war eine Folge meiner Ungeduld. Nach einem "w32tm /resync" erhalte ich nun den korrekten Server.

vor 6 Minuten schrieb NorbertFe:

JAHAAAAAA. DAs ist normal, weil die Policy in einen anderen Zweig der Registry schreibt. Schrub ich aber auch schon oben. 

Das ging eigentlich aus der ersten Nachricht von dir nicht hervor. Zumindest nicht für mich. Sorry. Und WO schreibt dann die GPO diese Einstellungen in der Registry?

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb Rumak18:

Und WO schreibt dann die GPO diese Einstellungen in der Registry?

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time

Share this post


Link to post
Share on other sites

Noooorbert...! Das hast Du sogar selber geschrieben: https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/

Gut, könnte man mal alles in eine einzige GPO packen, per GPP Registry verteilen, dort mit Collections arbeiten, die ein ILT auf die Domainrole haben. Aber grundsätzlich ist es immer noch richtig :-)

Share this post


Link to post
Share on other sites

Sorry, will nicht pingelig, aber ich bin es nun mal ;-)

 

Die Einstellungen der GPO Settings für NTP werden unter

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\Parameters

und

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders

angewendet.

Nicht unter "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\Parameters", wo man anscheinend die Default Werte sieht. 

Nur der Vollständigkeit halber. 

Edited by Rumak18

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...