Zeitsyncronisation in der Domäne

Hallo,

um mich kurz vorzustellen, ich bin Admin von knapp 100 Clients und 4 Servern (1 W2003, 3 W2K).

Nun aber zum eigentlichen Problem:

Das Thema Zeitsyncronisation ist ein heikles Thema. Egal was man wo liest, immer gibt es ne andere Aussage zu dem Thema. Einen Durchblick zu kriegen - fast unmöglich.

Lt. einigen Websites syncronisiert der DC (bei uns der W2003-Server) automatisch mit den Clients. Fakt ist: Er tut es nicht.

Die Benutzer sind bei uns User, also besitzen sie auch keine lokalen Adminrechte. Sie dürfen defacto garnix, was ja auch Sinn macht. Wir sind da sehr restriktiv.

Nun, wie gehe ich jetzt vor um die Zeitsyncronisation zu nutzen? Der DC hat nen Zeitserver hinterlegt. Wenn ich:

net time /querysntp

eingebe, wird er auch ausgeben. Auf den Clients ist kein Zeitserver hinterlegt. Ein "net time" Befehl im Logonscript hätte keine Wirkung, weil User ja nicht die Möglichkeit haben, die Uhrzeit zu ändern.

So, wie schaut es aus, hat einer von euch eine Idee?

Greetz,

Dominik

Guten morgen und willkommen im Board!

Schonmal in eventlog nachgesehen, ob der DC sich mit NTP synchronisiert? Falls nicht, an der Firewall Port 123 freischalten.

Ansonsten sollte der Rechner, falls bei den Gruppenrichtlinien die Domänensynchronisation richtig eingestellt wurde, sich beim Anmelden eines Domänen-Benutzers automatisch mit der Domäne (DC) synchronisieren.

Grüße

Original geschrieben von xtragood

Guten morgen und willkommen im Board!

 

Schonmal in eventlog nachgesehen, ob der DC sich mit NTP synchronisiert? Falls nicht, an der Firewall Port 123 freischalten.

Hallo und danke für die schnelle Antwort!

Im Eventlog steht garnix dazu, ich hab schon alle Logs durchgeschaut - nirgends steht dazu ein Eintrag.

edit:

was mir noch einfällt.

Der Windows-Zeitdienst muss doch auf den Clients aktiviert sein.

Ich wollte das jetzt in den Gruppenrichtlinien eingeben, aber ich werde da nicht so schlau raus.

Also es gibt nur 2 Möglichkeiten. Entweder du bekommst auf deinem DC folgenden Eintrag im System-Eventlog:

Quelle: W32Time

Ereigniskennung: 35

Beschreibung: Der Zeitdienst synchronisiert die Systemzeit mit folgender Zeitquelle: ptbtime2.ptb.de (ntp.m|0x0|<IP>:123->192.53.103.104:123).

oder du bekommst folgenden Eintrag im System-Eventlog:

Quelle: W32Time

Ereigniskennung: 36

Beschreibung: Der Zeitdienst hat die Systemzeit seit <sekunden> Sekunden nicht synchronisiert, da kein Zeitdienstanbieter einen gültigen Zeitstempel anbieten konnte. Der Zeitdienst wird nicht mehr synchronisiert, die Uhrzeit wird keinem anderen Client mehr angeboten und die Systemuhr nicht mehr aktualisiert. Überprüfen Sie die Systemereignisse in der Ereignisanzeige, um sicher zu stellen, dass kein schwerwiegendes Problem besteht.

2. Eintrag lässt sich etwas schwerer überprüfen, da dieser nur alle 2-4 Tage einmal geloggt wird. 1. Eintrag kommt noch seltener (eventuell nur bei Neustart des Servers?!)

Du solltest den Zeitdienst deines DC's mit w32tm vornehmen. Beispiel einer gültigen Konfiguration:

w32tm /config /update /manualpeerlist:"ptbtime1.ptb.de ptbtime2.ptb.de" /syncfromflags:manual /reliable:yes
w32tm /resync /nowait /rediscover

Wobei die Option reliable wichtig ist, damit andere Workstations deinen DC als Zeitquelle anerkennen.

Alternative:

- Active Directory-Bnenutzer und -Computer öffnen

- Rechtsklick auf deine Domain -> Eigenschaften -> Gruppenrichtlinie

- Eine Verknüpfung bearbeiten (z.B. Default Domain Policy)

- Computerkonfiguartion ->Administrative Vorlagen -> System -> Windows-Zeitdienst

- NTP-Client aktivieren und konfigurieren aktivieren

- NTP-Server: (z.B. time.windows.com,0x1)

- Typ: NT5DS (für Domänen-Synchonisation)

Ich hoffe, das langt erstmal...?

Grüße

Zeitdienst muss natürlich aktiviert sein...!

Danke erstmal für die Hilfe.

Du siehst ja das oben gepostete Bild. Muss ich die dritte Option auch aktivieren (NTP Server aktivieren?)

Solange du deinen DC nicht zum NTP-Server machen willst, nein.

Versuch mal 3th patry software, ich habe sehr gute Erfahrungen mit Tardis gemacht. Es entspricht Deinen Anforderungen.

Original geschrieben von clabo

Versuch mal 3th patry software, ich habe sehr gute Erfahrungen mit Tardis gemacht. Es entspricht Deinen Anforderungen.

Es geht hier nicht um 3rd Party Software, sondern um die seit W2K integrierte Zeitsynchronisation. Damit ist es nur noch nötig, den PDC-Emulator der Root-Domain mit einem NTP Server zu synchen.

Alles anderen Rechner (Workastaions, Memberserver, Controller) holen sich dann die Zeit von dem PDC ganz automatisch.

Das habe ich schon verstanden. Warum aber ein Haufen Aufwand, wenn das Problem mit 3th party galant und schnell gelöst werden kann?

Der W32Time läuft meiner Erfahrung nach nirgends wirklich zufriedenstellend.

Original geschrieben von clabo

Das habe ich schon verstanden. Warum aber ein Haufen Aufwand, wenn das Problem mit 3th party galant und schnell gelöst werden kann?

 

Der W32Time läuft meiner Erfahrung nach nirgends wirklich zufriedenstellend.

Eben doch.... solange man keine 3rd Party einsetzt.....

Ich kenn' das aus Erfahrung, da niemand die W32T zu kennen scheint!

Aber wenn es bei dir klappt, auch gut!!! :cool: :cool: :cool:

hallo,

ich möchte noch einen draufsetzen.

wir machen den sync mit loginscript und net time. funktioniert prima (w2k).

problem: user darf systemzeit verstellen.

möchte ich aber nicht. wie kann man das nach dem sync wieder abschalten. am besten per loginscript. (vielleicht: über ntrights bla SeSystemTime Recht entziehen?) aber wie sofort aktualisieren?

für tipps wäre ich dankbar

Eigentlich sollte das alles über die Gruppenrichtlinien zu machen sein...

hi,

1.bei anmeldung recht setzten darf systemzeit stellen

2.sync mit dc

3.dann recht entziehen darf systemzeit setzen

4.sofortige aktualisierung der rechte

wie könnte das über die gruppenrichtlinien zu machen sein?

Hallo,

der Mörder ist immer der Gärtner, der Hauptverdächtige erstmal der DNS.

In einer Domäne mit funktionierenden DNS synchronisieren die Clients ihre Zeit mit der des DC. Vorausgesetzt, niemand hat an Diensten, Richtlinien etc. gedreht ohne zu wissen, zu was die Schraube gut ist und zu welchen Folgen ein Verstellen führt.

Gruß

Edgar