You are here

Zeitgeber NTP vs. ADDS w32tm

Zeitgeber NTP vs. ADDS w32tm


Problemstellung

Wenn in Ihrem Netzwerk die Zeiten auf den PCs, Servern, Netzwerkelementen usw. nicht passen, kann dies zu einer Menge von Problemen führen. Beispielsweise gibt es bereits Probleme beim Zugriff auf einen Windows Dateiserver, wenn die Zeit auf dem Client-PC um 5 Minuten abweicht. Dieser Beitrag löst die Probleme, die häufig im NTP-Umfeld gemacht werden.

Wie läuft es in der Domäne - Ein häufig gemachter Fehler

Der Domaincontroller mit der PDC-Rolle ist der Zeitgeber für alle Domänenmitglieder. Der PDC Server eignet sich jedoch nicht für die Synchronisation mit Geräten, die sich nicht in der Domäne befinden, wie z.B. Switches, VMware Hosts. Die Ursache liegt darin begründet, dass der PDC Server für die Zeitsynchronisation mit den Domänen PCs kein NTP nutzt. Somit können beispielsweise Switches keine Synchronisation mit dem PDC Server durchführen. Ein zentraler dem NTP Protokoll entsprechenden Zeitservice ist häufig auf den zentralen Firewalls konfigurierbar. Nicht-Domänenmitglieder müssen die Zeiten also von den mit NTP konfigurierten Firewalls oder Switchen oder NTP-Servern holen.

Die Prozesskette

1.    Die Domänen Computer holen die Zeit vom PDC Server. Bei Problemen mit der Sync auf den Clients, bitte folgende Kommandos in einer administrativen CMD ausführen
 # w32tm.exe /config /syncfromflags:domhier
 # w32tm.exe /config /update
 # w32tm.exe /resync
 # gegebenenfalls den Dienst Windows-Zeigeber neu starten 

2.    Der Domänencontroller mit der PDC Rolle holt seine Zeit vom NTP-Server - also beispielsweise einer Firewall; Bei Problemen mit der Sync auf dem Domänencontroller mit der PDC Rolle bitte folgende Kommandos ausführen:
 # w32tm.exe /config /manualpeerlist:<<IP-Adresse-NTP-Server>>
 # w32tm.exe /config /syncfromflags:MANUAL /reliable:yes
 # w32tm.exe /config /update
 # w32tm.exe /resync
 # gegebenenfalls den Dienst Windows-Zeigeber neu starten

3.    Nichtdomänenmitglieder und der PDC holen die Zeit vom NTP-Server - also also beispielsweise einer Firewall

Überpüfung

Mit Hilfe des Kommandos w32tm /stripchart /computer:<NTP-SERVER-ADRESSE> kann man die NTP-Verfügbarkeit prüfen.

Mit Hilfe des Kommandos w32tm /query /status erhält man beispielhaft folgende Ausgabe:

Sprungindikator: 0(keine Warnung)
Stratum: 4 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -6 (15.625ms pro Tick)
Stammverzögerung: 0.0726166s
Stammabweichung: 0.0891288s
Referenz-ID: 0xAC100005 (Quell-IP:  <NTP-SERVER-ADDRESSE>)
Letzte erfolgr. Synchronisierungszeit: 28.03.2018 10:37:49
Quelle: <NTP-SERVER-ADDRESSE>
Abrufintervall: 7 (128s)

Wichtig ist hier die Angabe in der Zeile Stratum! Fehlt hier "synchr. über (S)NTP", dann funktioniert die NTP Sync nicht!

Wichtige Hinweise für virtuelle Maschinen

Bei virtuellen Maschinen ist es oftmals so, dass diese die Zeit vom Virtualisierungshost erhalten bzw. synchronisieren. Stimmt auf dem Virtualiserungshost die Zeit nicht, so kann dies zu Zeitdifferenzen mit anderen physischen Maschinen oder dem PDC führen. Die Zeitsynchronisation zwischen VMware Host und virtueller Maschine kann über die VM Option "Uhrzeit des Gastsystems mit Host synchronisieren" aktiviert bzw. deaktiviert werden.

Der VMware Host selber kann über die Uhrzeitkonfiguration zur Synchronisation mit einem NTP-Server bewegt werden.

Slides zum Thema

Zeitgeber neu starten

VM Zeiteinstellungen

ESXi Zeiteinstellungen