image2

You Are here: Start Kategorie als Blog Zeitsynchronisation in der Domain

Zeitsynchronisation in der Domain PDF Drucken E-Mail
Mittwoch, den 02. März 2011 um 14:01 Uhr

Die Uhrzeit ist ein sehr wichtiger Aspekt, weshalb ich hier mal einige Punkte zusammenfüge. Ein Client hat grundsätzliche verschiedene Möglichkeiten seine Zeit zu aktualisieren. Zum einen kann der Administrator sich darum kümmern, der Server kann sich die Zeit aus der Hardware holen – immer eine Knopfzelle 2032 bereithalten - oder man kann eine GPS-Device bzw. eine externe Zeitquelle nutzen.

In einer Domain ist die Uhrzeit bzw. die Differenz zwischen Domain-Controller und Client sehr wichtig, denn sie sollte gegen null gehen, damit der Client sich mit einem Kerberos-Ticket im Netzwerk bewegen kann. Die Standardabweichung kann bis zu 5Minuten betragen und man kann diese über eine Kerberos Policy anpassen (Maximum tolerance for computer clock synchronization). Einfacher ist es natürlich sich um eine richtige Zeitsynchronisation zu kümmern.
http://technet.microsoft.com/en-us/library/cc779260(WS.10).aspx

Es ist nicht so schön folgende Meldungen zu bekommen und sich nicht mehr anmelden zu können:

 


In einer Domain holen sich die Clients die Uhrzeit standardmäßig nach einer bestimmten Hierarchie, die hier sehr schön zu sehen ist:


Dabei synchronisieren die Clients von ihren DCs, die DCs von Ihrem PDC und dieser wird manuell eingerichtet.

Der PDC kann über folgenden Befehl angepasst werden:
w32tm /config /update /syncfromflags:MANUAL /manualpeerlist:ptbtime1.ptb, time.windows.com.de /reliable:YES

Prüft man andere DCs sieht man, dass sie mit dem primären DC synchronisieren:


Im Eventlog sieht man die entsprechenden Meldungen und eine Beschreibung der EventIDs gibt’s natürlich auch:
http://technet.microsoft.com/en-us/library/ee410927(WS.10).aspx

 

 

Dem Client kann man jetzt noch beibringen, ob er mit der Domain Hierarchie (NT5DS), manuell mit einem NTP-Server (NTP), gar nicht (NoSync) oder mit allen verfügbaren Mechanismen (AllSync), wobei die Domain den Vorrang hat. Dazu muss nur der Type unter “Windows Time Service\Time Providers” angepasst werden:
http://technet.microsoft.com/en-us/library/bb490845.aspx

 

Sollte ein DC virtualisiert sein, ist darauf zu achten, dass die Virtualisierungssoftware die Zeit nicht beeinflusst, in dem sie synchronisiert wird:

 

Zum Schluss sei noch kurz auf die Konfigurationsmöglichkeit über die Gruppenrichtlinie verwiesen:
http://www.gruppenrichtlinien.de/HowTo/Zeitserver_per_GPO.htm


siehe:
http://blogs.msdn.com/b/w32time/archive/2007/09/04/keeping-the-domain-on-time.aspx
http://technet.microsoft.com/en-us/library/bb490845.aspx
http://technet.microsoft.com/en-us/library/cc773263(WS.10).aspx
http://www.msxfaq.de/verschiedenes/timesync.htm