sammy2ooo 10 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 Hallo zusammen, wir haben zwei virtuelle W2k3 Domänencontroller auf zwei verschiedenen ESX 3.0.1 laufen. Der DC mit der PDC Emulator Rolle synchronisiert sich mit einer externen Zeitquelle erfolgreich: Registrykeys vom DC1: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] "ServiceMain"="SvchostEntry_W32Time" "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,33,00,\ 32,00,74,00,69,00,6d,00,65,00,2e,00,64,00,6c,00,6c,00,00,00 "Type"="NTP" "ntpserver"="pool.ntp.org,0x1" Allerdings erhalte ich auf dem DC2 immer wieder die Events w32time Id: 29 und 47 obwohl man den DC2 problemlos mit dem DC1 synchronisieren kann: H:\>net time /set Current time at \\DC1 is 25.09.2007 09:55 The current local clock is 25.09.2007 09:55 Do you want to set the local computer's time to match the time at \\DC1? (Y/N) [Y]: The command completed successfully. Event Type: Error Event Source: W32Time Event Category: None Event ID: 29 Date: 24.09.2007 Time: 14:01:42 User: N/A Computer: DC2 Description: The time provider NtpClient is configured to acquire time from one or more time sources, however none of the sources are currently accessible. No attempt to contact a source will be made for 960 minutes. NtpClient has no source of accurate time. For more information, see Help and Support Center at Events And Errors Message Center: Basic Search. Event Type: Warning Event Source: W32Time Event Category: None Event ID: 47 Date: 24.09.2007 Time: 14:01:42 User: N/A Computer: DC2 Description: Time Provider NtpClient: No valid response has been received from manually configured peer DC1 after 8 attempts to contact it. This peer will be discarded as a time source and NtpClient will attempt to discover a new peer with this DNS name. For more information, see Help and Support Center at Events And Errors Message Center: Basic Search. hier die w32time Parameter von DC2 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] "ServiceMain"="SvchostEntry_W32Time" "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,33,00,\ 32,00,74,00,69,00,6d,00,65,00,2e,00,64,00,6c,00,6c,00,00,00 "Type"="NTP" "ntpserver"="DC1" Wir hatten auch schon das Problem, dass man sich nach einem Neustart der Domaincontroller nicht mehr an der Domäne anmelden konnte, weil die DC's nicht mehr synchron waren. Ich werde daraus einfach nicht schlau. Kann mir jemand weiterhelfen? Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 M.E. sollte am DC2 in 'Type' der Wert NT5DS stehen, damit der 'AD-integrierte' Zeitabgleich zum tragen kommt. Zitieren Link zu diesem Kommentar
sammy2ooo 10 Geschrieben 25. September 2007 Autor Melden Teilen Geschrieben 25. September 2007 danke für die Antwort. Habe den Eintrag abgeändert und den w32time service neugestartet. net time /set funktioniert wunderbar, allerdings tauchen wieder die gleichen Einträge im Eventviewer auf... Zitieren Link zu diesem Kommentar
ducke 11 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 VMware Knowledge Base - View Document Nutze die Synchronisation mit VMWare Tools und stell auf dem PDC den Type auf NoSync Hilfreiche Links findest du auch hier: VMware Links VMware Links Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 Nutze die Synchronisation mit VMWare Tools und stell auf dem PDC den Type auf NoSync Au weia - bitte mach das nicht. Das ist eines der schlimmsten Dinge, die Du Deinem PDC Emulator (und auch anderen Domänencontrollern und Domänenmembern) antun kannst, siehe Considerations when hosting Active Directory domain controller in virtual hosting environments bzw. Download details: Using Domain Controller Virtual Machines Zum Thema an sich: Gab es nicht so einen Schalter (ich erinnere mich grau an "0x8" als Wert), mit dem man den Master näher definieren konnte (Microsoft NTP oder Drittprodukt)? [EDIT]Hier noch der entsprechende KB-Artikel: Time synchronization may not succeed when you try to synchronize with a non-Windows NTP server in Windows Server 2003 zum "0x8" ;) Du müßtest dementsprechend 0x1 verwenden.[/EDIT] Gruß olc Zitieren Link zu diesem Kommentar
ducke 11 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 @olc Dann erkläre mal bitte warum man das auf einem ESX nicht machen soll. Deine Links erklären das IMHO nicht. Dort ist von Virtual Server 2005 die Rede. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 Hallo ducke, mit diesem Thema wirst Du überall in Bezug auf virtuelle Maschinen konfrontiert. Ich denke, daß dieses Thema auch hier auf dem Board zur Genüge diskutiert wurde und mache mir dementsprechend jetzt nicht die Mühe, das Thema noch einmal redundant auszuführen. Das erste Dokument behandelt nicht ausschließlich den Virtual Server, sondern gibt allgemeine Hinweise in Bezug auf virtualisierte DCs. VMWare wird sogar explizit als Produkt aufgeführt. In dem Whitepaper (der zweite Link) wird explizit auf das Thema Zeitsynchronisation eingegangen. Das Thema ist immer relevant, egal auf welcher Produktbasis Du virtualisierst. Time Synchronization RecommendationsFor virtual machines that are configured as domain controllers, the Host time synchronization feature of Virtual Machine Additions should always be disabled. Instead, accept the default W32time domain hierarchy time synchronization. The Host time synchronization feature allows guest operating systems to synchronize their system clocks with the system clock of the host operating system. Because domain controllers have their own time synchronization mechanism, Host time synchronization must be disabled on virtual machines that are configured as domain controllers. If domain controllers synchronize time from their own source and also synchronize time from the host, the domain controller time can change frequently. Off-Topic: P.S.: Es tut dem Umgangston recht gut wenn man keine Sätze wie "Dann erkläre mal bitte warum [...]" verwendet. Eine sachliche Nachfrage kann Wunder bewirken. In diesem konkreten Fall hätte ich mich durch eine freundlichere Nachfrage durchaus dazu durchgerungen, ein paar mehr Zeilen dazu zu schreiben, anstatt der Verweise auf die Boardsuche. Gruß olc Zitieren Link zu diesem Kommentar
ducke 11 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 Off-Topic:Wenigstens sage ich bitte :))) Sorry wenn das zu forsch rüber kam. Sollte auf keinen Fall so sein.Nochmal zum Thema Zeitsyncronisation auf dem ESXSteh da ein wenig auf dem Schlauch. Laut Whitepaper VMWare und diverser Forenbeiträge wird folgende Best Practice empfohlen:ESX Host via NTP syncen (oder 3.Party)PDC Rolleninhaber via VMToolsRest über PDCSollte ich da was falsch verstehen? Dann bitte ich um AufklärungBest regards Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 Alles klar. Schön, daß Du das noch einmal aufgegriffen hast. :) Zum PDC: Es macht im Grunde nur in wenigen Fällen wirklich Sinn, den PDCE über eine externe Zeitquelle abzugleichen bzw. die Zeitsynchronisation automatisiert durchzuführen. Hintergrund ist, daß Du Dich niemals 100% darauf verlassen kannst, daß die externe Zeitangabe korrekt ist. Es kann z.B. bei Zeitumstellungen (z.B. Sommer- / Winterzeit), Systemfehlern der NTP-Quelle oder gar bei Angriffen auf diese Struktur zu Fehlern in der Zeitübermittlung bzw. der gelieferten Zeit kommen. Stellt dann Dein PDC ohne Beaufsichtigung die Zeit um, hast Du ein wirklich großes Problem innerhalb Deiner AD-Umgebung... Also, Best Practice ist: Der PDC wird ohne externe Zeitquelle manuell mit der korrekten Zeit versorgt. Ob die Zeitquelle nun wirklich extern ist oder über den ESX ist im Grunde also egal. Zu nicht PDC Systemen: Sämtliche auf Windows basierenden (aktuellen) Betriebsysteme als Mitglied einer Domäne gleichen ihre Zeit beim Systemstart miteinander ab (bzw. am PDC), noch bevor sie weitere Aktionen durchführen, die auf synchrone Zeiten angewiesen sind (Kerberos Authentifizierung etc.). Daher ist es nicht sinnvoll, den Systemen eine Zeit über eine emulierte - im Vergleich zu "hardware clocks" nicht immer korrekt laufende - Uhren abzugleichen. Damit unterdrückst Du diesen "Selbstheilungsmechanismus". Und das kann in Folge zu Problemen führen. Übrigens empfiehlt Microsoft die Server, die FSMO-Rollen halten, erst gar nicht zu virtualisieren (siehe Whitepaper). Gerade beim PDCE ist das aus den oben beschriebenen Gründen auch eine recht gute Idee (hardware clock <---> emulierte Taktung) So, nu' aber schnell wieder zurück zum Thread-Thema. ;) Gruß olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.