Jump to content

W32Time in einer Windows 2003 AD Umgebung


Gadget
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Boardianer,

 

mir sind jetzt schon wirklich einige Beiträge über W32Timeuntergekommen und wollte hier mal ein paar Grundsätze klären und meinen Lösungsweg aufzeigen, da es bei 2k3 doch immer noch einige Probleme mit der Zeitsynchronisation gibt.

 

Wiso Zeitsynchronisation?

 

Die verschiedensten Vorgänge am Server werden mit einem Zeitstempel versehen Eventlog-Einträge, E-Mail´s etc. dabei sollte jedem sofort klar werden wie wichtig die korrekte Zeit wirklich sein kann, für den Admin und den Anwender.

hier gibts mehr dazu => http://www.msexchangefaq.de/verschiedenes/timesync.htm

 

Muss die Zeit stimmen?

Technische Vorraussetzungen für die richtige Uhrzeit im AD gibts es imho nicht wichtig ist es nur, dass alle Server + Workstation die gleiche Zeit haben, ob diese nun richtig oder falsch ist.

Der W32-Zeitdienst synchronisiert die Clientuhren von Windows Server 2003-Computern mit den Domänencontrollern in einer Domäne. Dies ist für die korrekte Funktion des Kerberos-Authentifizierungsprotokolls Version 5 und von NTLMv2 erforderlich. Die einwandfreie Funktion einer Reihe von Komponenten der Windows Server-Produktfamilie setzt die genaue und synchronisierte Uhrzeit voraus. Wenn die Uhren auf den Clients nicht synchronisiert sind, kann es passieren, dass das Kerberos v5-Authentifizierungsprotokoll Anmeldungsversuche fälschlicherweise als Eindringungsversuche interpretiert und Benutzern den Zugriff verweigert.

 

Aus oben genannten gründen ist aber natürlich trotzdem Wünschenswert eine möglichst exakte Zeit zu haben.

 

Wer Sync't mit wem?

Alle Memberserver und Workstations synchronisieren mit dem DC der die Rolle des PDC-Emulators innehat.

Hier gibts mehr info unter dem Punkt "Time Hierarchy" => http://www.windowsnetworking.com/articles_tutorials/Configuring-Windows-Time-Service.html

 

Wie Synchronisiere ich?

Normalweise würde man per w32tm ein paar Zeitserver angeben mit denen sich unser Server synchronisieren soll, dies hat sich aber in der Praxis seit 2k3 als sehr fehleranfällige Konfiguration herausgestellt. Grizzly hat in diesem Thread http://www.mcseboard.de/showthread.php?t=45381 folgendes dazu geschrieben =>

Das ist seit 2003 ein riesiges Problem geworden der Zeitdienst, ich kenne kaum eine Domäne, die nicht voll mit diesen Fehlern ist.

Traurig, aber wahr. Es gibt einen Pre-SP1 Patch, der die Fehler auf wenige Meldungen reduziert und die Synchrionisation dann anscheindend trotz der Fehlermeldung dann halbwegs anständig läuft: http://support.microsoft.com/default.aspx?scid=kb;en-us;830092

grizzly999

 

Trotz des genannten Patches habe ich es unter 2k3 bei den meisten Servern nicht zum laufen bekommen.

 

Deswegen halte ich den Umweg über ein Drittherstellertool als besten Lösungsweg. =>

1. Konfiugrations des PDC-Emulators zur Verwendung der internen Hardwareuhr (CMOS-Clock) => http://support.microsoft.com/kb/816042#3 Die erscheinende Meldung im Eventlog soll uns nicht weiter stören, da wir ja über unser Tool synchronisieren.

 

2. Installation u. Konfiguration von Symmtime 2005 zur Synchronisation mit beiden NTP-Servern PTB Braunschweib: ptbtime1.ptb.de o. ptbtime2.ptb.de http://www.ntp-systems.com/symmtime.asp

 

3. Test der Konfig über w32time /monitor

 

Gruß Kohn

Link zu diesem Kommentar
  • 1 Jahr später...
Hi habe auch noch eine Frage dazu. Wenn ich am Server die Zeit synce mit dem Internet, muss ich dann noch etwas an den Clients einstellen? Bisher ist es so, dass die Meldung kommt: dem Client fehlt das Recht die Uhrzeit zu ändern. Wie kann ich das am besten behenben? Mit einer GPO?

 

Hallo!

Wenn du eine Domäne hast dann "holen" sich die Clients die Zeit Automatisch-sprich an den Clients musst du nichts mehr einstellen...

 

Siehe Hier http://www.mcseboard.de/showthread.php?t=89495&highlight=client+zeit

Link zu diesem Kommentar

Ich habe da vielleicht auch noch einen kleinen Tipp, den man ja mal ausprobieren kann.

 

Im W2k-Umfeld erscheint ein W32Time-Fehler auf dem DC natürlich auch. Klar, denn W2k hat ja keine Konfiguration nach der Installation, die ihm sagt, wer denn nun Zeitserver ist. Dummerweise nimmt er dann auch nicht sich selbst.

 

Aber:

 

Im Eventlog steht bei diesem Fehler genau drin, was man zu tun hat:

 

net time \\computername /setsntp:Zeitserver-Name

 

Diesen Befehl auf einem DC ausgeführt:

 

net time \\dc-name /setsntp:dc-name

 

bewirkt, dass er sich selbst, als Zeitserver für die Domäne nimmt. Damit ist die Uhr unten links das Maß der Dinge in der Domain.

 

Natürlich kann man auch z.B. den Zeitserver aus Braunschweig nehmen, was ich zumindest für DE empfehlen würde, denn der im W2k3-Umfeld gebräuchliche (weil voreingestellt) Server time.windows.com ist vermutlich nicht die beste Wahl.

 

Ach ja, der Befehl klappt auch unter W2k3, obwohl das nicht der wirklich empfohlene Weg ist ;)

 

grüße

 

dippas

Link zu diesem Kommentar
  • 1 Monat später...

Hallo Kohn,

ich habe eine Domain mit 3 DC. Der PDC hat Windows2003 R2. Aus

Sicherheitsgründen möchte ich den Zeitabgleich über eine interne Funkuhr

vornehmen. Die Funkuhr ist am PDC und funktioniert.

Den PDC habe ich über w32tm /config /syncfromflags:domhier /reliable:yes

/update konfiguriert. Danach erhalte ich eine Ereignis ID 12 im Protokoll.

Das ist soweit auch in Ordnung. Nach 24 Stunden erhalte ich aber einen Fehler

mit der Ereignis ID 36 die besagt, dass der PDC keinen Zeitdienstanbieter

mit einem gültigen Zeitstempel finden kann und demzufolge auch keine Zeit

mehr zur Verfügung stellt! Was habe ich hier vergessen?

In der Registry habe ich unter w32tm ... Parameter: den Typ NT5DS

eingetragen, das Announcedflag ist 5.

Kannst Du helfen??

Holen sich wirklich alle Clients und Memberserver die Zeit vom PDC oder holen sich die Clients auch die Zeit vom Anmeldeserver?

Link zu diesem Kommentar
  • 1 Monat später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...