Jump to content

Zeitsynchronisation des PDC - verbastelte Default Domain Controller Policy


Go to solution Solved by NorbertFe,

Recommended Posts

Hallo zusammen,

und zwar bin ich dabei 2x Server 2012 R2 Domänen-Controller gegen zwei frische Server 2019 DC's abzulösen. Aktuell stolpere ich allerdings über ein Problem bei der Zeitsynchronisation.

Das alte Systemhaus hatte "leider" an der Default Domain Controller Policy Hand angelegt und folgende Einstellungen getroffen die jetzt auf alle in Betrieb befindlichen DC's wirken. (2x alte Server 2012R2 und 2x neue Server 2019):

ddcp.thumb.jpg.4a7cebf5b23c82dfa717521bb20af203.jpg

 

Die IPs sind unsere alten VPN Gateways (inkl. NTP) die demnächst Offline gehen. Also muss hier eine andere Quelle eingetragen werden. Das soll unser Internetgateway (Firewall) werden.

 

Da ich mir nicht sicher war, ob ich die EInstellungen in der Default Domain Controller Policy einfach wieder auf "nicht konfiguriert" stellen kann, habe ich erstmal die IP des Internetgateways eingetragen.

Soweit so gut.

 

Leider zeigt mir DCDIAG nach 2 Tagen des "DCPROMO" auf meinem neuen DC01 (besitzt alle FSMO Rollen):

 

      Starting test: SystemLog
         Warnung. Ereignis-ID: 0x0000008E
            Erstellungszeitpunkt: 04/29/2021   11:42:44
            Ereigniszeichenfolge:
            Der Zeitdienst wird nicht mehr als Zeitquelle angekündigt, da die lokale Systemuhr nicht synchronisiert ist.
         Warnung. Ereignis-ID: 0x00000032
            Erstellungszeitpunkt: 04/29/2021   11:42:44
            Ereigniszeichenfolge:
            Der Zeitdienst hat eine Zeitdifferenz von mehr als 128 ms auf 90 Sekunden festgestellt. Die Zeitdifferenz wurde möglicherweise durch die Synchronisation mit einer ungenauen Zeitquelle oder durch schlechte Netzwerkbedingungen verursacht. Von nun an wird der Zeitdienst nicht mehr synchronisiert, die Zeit keinem weiteren Client mehr zur Verfügung gestellt und die Systemuhr nicht mehr synchronisiert. Sobald ein gültiger Zeitstempel von einem Zeitdienstanbieter empfangen wird, wird der Zeitdienst sich selbst korrigieren.
         Warnung. Ereignis-ID: 0x000003FC

 

Nach einem:

w32tm /resync

Verschwindet vorest die Fehlermeldung.

 

Dafür bekomme ich auf einem der alten DC's, nach dem ich dort ebenfalls den Befehl ausgeführt habe, folgenden Fehler im Eventlog:
 

EventID: 142

Der Zeitdienst wird nicht mehr als Zeitquelle angekündigt, da die lokale Systemuhr nicht synchronisiert ist.

 

Nun ist es doch so, dass nur der PDC mit der externen Zeitquelle synchronisiert werden sollte. Dadurch aber die Zeiteinstellung in der Default Domain Controller Policy konfiguriert ist, erhalten immer alle DCs die externe Quelle.

 

Wie kann ich die Zeitserver jetzt wieder sauber einstellen?

Bzw. kann ich gefahrlos die Default Domain Controller Policy zurückbauen?

 

Wenn ich eine GPO verwende dann lieber nach dem Bsp. von Mark: https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo

Oder manuell:

w32tm /config /syncfromflags:manual /manualpeerlist:"<IP Gateway>" /update

 

Link to post

Moin,

 

den maßgeblichen Artikel (der übrigens von @NorbertFe ist,  nicht von Mark) hast du ja schon. Nimm das Zeug aus der DDCP raus und richte die GPOs nach dem Artikel ein. Damit solltest du es richten können. 

 

Gruß, Nils

 

Link to post
  • Solution
vor 4 Minuten schrieb michelo82:

Die IPs sind unsere alten VPN Gateways (inkl. NTP) die demnächst Offline gehen. Also muss hier eine andere Quelle eingetragen werden. Das soll unser Internetgateway (Firewall) werden.

 

Also eigentlich macht man das einfach so:

https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo

 

Dann klappts auch mit neuen DCs usw. Kurz das Grundsätzliche. Nur der PDC Emulator holt die Zeit von "extern" wo auch immer und alle DCs holen sich die Zeit vom PDC Emulator und alle anderen dann von ihren Anmeldeservern.

Link to post

Genau: Wenn man als Basis eine unverbastelte Domäne nimmt, muss die Zeitserver-Konfiguration nur und ausschließlich (manuell) auf dem PDC-Emulator erfolgen.

Notfalls löscht man die GPO und prüft nach der Übernahme der Selbigen, was in der Registry steht. 

Link to post
vor 10 Minuten schrieb michelo82:

Die Einstellungen in der Default Domain Controller Policy einfach wieder "zurücknehmen" klappt?

 

Ja warum denn nicht?

vor 10 Minuten schrieb michelo82:

Bei manchen Einstellunge bleiben die ja in der Registry vorhanden und werden nicht "zurückgenommen".

 

Aber doch nicht bei ADM/Registry Teilen.

vor 7 Minuten schrieb zahni:

Notfalls löscht man die GPO und prüft nach der Übernahme der Selbigen, was in der Registry steht. 

Ne die würde man "notfalls" resetten.

Link to post

Ich habe die DDCP Einstellungen bezüglich der Zeit auf "nicht konfiguriert" gesetzt und die neue GPO wie im Link beschrieben aktiviert.

Auf dem PDC ist die Einstellung korrekt:
 

C:\Windows\system32>w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 3 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -23 (119.209ns pro Tick)
Stammverzögerung: 0.0134410s
Stammabweichung: 7.7806677s
Referenz-ID: 0xC0A86424 (Quell-IP:  192.168.100.xx)
Letzte erfolgr. Synchronisierungszeit: 29.04.2021 15:02:40
Quelle: gateway01.meinefirma.de
Abrufintervall: 6 (64s)


C:\Windows\system32>w32tm /query /source
gateway01.meinefirma.de

 

Einer der alten DCs zeigt es auch korrekt:


 

C:\Windows\system32>w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 4 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -6 (15.625ms pro Tick)
Stammverzögerung: 0.0447388s
Stammabweichung: 7.8287715s
Referenz-ID: 0xC0A86411 (Quell-IP:  192.168.100.xx)
Letzte erfolgr. Synchronisierungszeit: 29.04.2021 15:00:01
Quelle: DC01.meinefirma.de
Abrufintervall: 10 (1024s)


C:\Windows\system32>w32tm /query /source
DC01.meinefirma.de

 

Nur die beiden anderen "hängen" auch nach einem gpupdate und Neustart des Zeitdienst auf der alten Einstellung.

Link to post
vor 1 Minute schrieb michelo82:

Nur die beiden anderen "hängen" auch nach einem gpupdate und Neustart des Zeitdienst auf der alten Einstellung.

Ja, du wirst dort vermutlich etwas "nachhelfen" müssen. Bei "verbastelten" Umgebungen ist der schnellste Weg:

net Stop W32time
W32tm.exe /unregister
W32tm.exe /register
net Start W32time

 

Wenns zuviele DCs dafür sind, müßte man genau vergleichen, welche deiner Werte dazu führen, dass die Dinger meinen nicht zurückzuschwenken. :) 

  • Thanks 1
Link to post
vor 10 Stunden schrieb zahni:

Zeitserver-Konfiguration nur und ausschließlich (manuell) auf dem PDC-Emulator erfolgen.

Manuell macht man da gar nichts... GPP Registry, Zielgruppenadressierung auf die Computerrolle, und der "aktuelle" PDCe bekommt die externe Zeitquelle.

Oder wenn man's mit mehreren GPOs machen möchte, WMI-Filter, Win32_Computersystem.DomainRole (4=DC, 5=PDC). Damit sind dann auch FSMO-Transfers kein Thema mehr.

Link to post
vor 11 Stunden schrieb daabm:

Manuell macht man da gar nichts... GPP Registry, Zielgruppenadressierung auf die Computerrolle, und der "aktuelle" PDCe bekommt die externe Zeitquelle.

Oder wenn man's mit mehreren GPOs machen möchte, WMI-Filter, Win32_Computersystem.DomainRole (4=DC, 5=PDC). Damit sind dann auch FSMO-Transfers kein Thema mehr.

Das ist Geschmackssache. Als Admin sollte man schon wissen, wer sein PDC-Emulator ist. Normalerweise wird das auch nicht täglich geändert.

Aber jeder so wie er es mag. Wir haben hier definitiv andere Probleme ;-)

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...