Jump to content

GPO: Time Sync Problem

Darksun777

Von Darksun777
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

  • 3 Jahre später...
speed Experienced

speed   11

Geschrieben
Geschrieben

Hallo Norbert,

 

ich weiß das der Tread schon was älter ist, aber ich stecke irgendwo fest und verrenne mich glaube ich gerade mächtig.

Laut deiner Anleitung http://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ habe ich "versucht" die GPO so zu erstellen.
Bisher hatten wir immer einen andreen Server der ein Kollege konfiguriert hat der DC und gleichzeitig auch Zeitgeber war.

Nun habe ich gestern den alten DC depromoviert und möchte nun den neuem DC die Aufgabe verpassen, da der andere auf kurz oder lang abgeschlatet wird.

Darauf habe ich die GPO und die WMI-Filterung so wie Du es beschrieben hast angelegt und den Wert Announceflags von 10 auf 5 gesetzt.
Die GPO Zeitserverkonfiguration habe ich nicht erzwungen und nciht verlinkt, jedoch dem Domaincontoler der OU zugewisen. Auch der WMI-Filter ist gesetzt. Ich meine das ich die Schritt erfolgreich ausgeführt habe. Nun verusche ich auf dem DC ein w32tm/resync zu starten, doch nach einer kurzen Zeit bekomme ich die Meldung "Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar sind"


Eigentlich müsste der DC doch schon den Befehl ausführen. Auf den Clients kann es ja somit auch nciht funktionieren.
Ich gehe doch recht ind er Annahme das es auf dem DC funktioert mit dem Befehl und dann im zweiten Schritt die Client es auch erhalten wenn der DC die Syncro hinbekommt.

Ich habe die Anleitung drei bis vier mal gelesen und vergliechen aber ich finde keinen Fehler.
Im Systemprotokoll steht:

 

Der Zeitdienst wird als Zeitquelle angekündigt. / ID 139

Der Zeitdienst wird als gute Zeitquelle angekündigt. / ID143

 

Meiner Meinung nach sieht das doch schon mal gut aus, aber eine Syncro ist leider nicht erfolgreich.
Was kann das sein, oder wo kann ich  noch schauen?


Wenn ich in der Befehlszeile "net time eingebe, dann bekomme ich als Angabe
"Aktuelle Zeit auf Client000 ist 19.11.2013 17:13:57,
Aber das ist ein Testclient von uns und nciht der von mir gewünschte DC

Ich hofffe Du kannst mir da helfen? Würde mich freuen von Dir zu lesen.

Bis dahin und Danke!

 


 

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.034

Geschrieben
Geschrieben

Warum muß eigentlich JEDER mit "net time" irgendwas testen wollen? Das GEHT NICHT!

Die GPO Zeitserverkonfiguration habe ich nicht erzwungen und nciht verlinkt, jedoch dem Domaincontoler der OU zugewisen.

Wie macht man sowas? Wenns nicht verlinkt wäre, wie soll es dann zugewiesen werden?

Auch der WMI-Filter ist gesetzt. Ich meine das ich die Schritt erfolgreich ausgeführt habe.

Du meinst, oder du weißt? Prüfs halt nach, sollte sich in der Registry des PDC-Emulators ja finden lassen.

Nun verusche ich auf dem DC ein w32tm/resync zu starten, doch nach einer kurzen Zeit bekomme ich die Meldung "Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar sind"

Firewall? Kommt der neue PDC Emulator per udp 123 ins Netz oder wo auch immer du ihn hinschickst?

 

Bye

Norbert

Link zu diesem Kommentar
speed Experienced

speed   11

Geschrieben
Geschrieben

Erst einmal Danke fpr die Antworten.

 

 

Warum muß eigentlich JEDER mit "net time" irgendwas testen wollen? Das GEHT NICHT!

 

Na das war ein Versuch. Wenn ich jedoch w32tm /resync eingebe in der Konsole bekomme ich ja auch eine Fehlermeldung. Wollte einfach mal testen was ich als Zeitgeber angegeben bekomme.
Werde es mir emrken das man es damit nciht testen kann. Schreibe es mir sogar hinter den Ohren.
 

 

Wie macht man sowas? Wenns nicht verlinkt wäre, wie soll es dann zugewiesen werden?

 

Also habe es kontrolliert, verlinkt ist es, jedoch nciht erzwungen. Ist das so richtig?

In der Sicherheitsfilterung steht nur der Authentifizierte Benutzer. Die DC sollte er ja über die WMI Filterung erkennen oder?

 

 

Du meinst, oder du weißt? Prüfs halt nach, sollte sich in der Registry des PDC-Emulators ja finden lassen.

 

Ich habe es kontolliert und ich meine, sollte bedeuten das ich keinen Fehler finde und es für MICH richtig ausschaut, aber auch ich bin nciht unfehlbar.
Den Befehl habe ich von deiner Aufschreibung kopiter. Kenne mich mit WMI-Filterung leider nicht gut genug aus.
Wie und wo kann ich da was kontollieren?
 

Unter Gruppenrichtlinienobjekte, die diesen WMI-Filter verwenden, steht die GPO PDC Zeitserverkonfiguration.

Im Register Deligierung, steht der Administrator, der Domänen-Admin und die Organistations-Admins.

Alle drei haben Vollzugriff und werden Vererbt.

 

 

Firewall? Kommt der neue PDC Emulator per udp 123 ins Netz oder wo auch immer du ihn hinschickst?

 

Die Windows Firewall am DC ist ausgeschaltet. Auf der Hardware Firewall ist der Server freigeschaltet  und der Port 123 auch ok.

Bekomme im Log der Firewall auch keinen Eintrag: Weder das er sich verbindet, noch das er sich nciht verbindet. Also auf gut Deutsch keinen Eintrag im Log der Firewall.

 

Auch der von Dir erwähnte ID Eintrag in der Ereignisanzeige des Systems bekomme ich nciht angezeit.
Ein resync  bekomme ich immer noch die von mir genannte Fehlermeldung.



Also Du merkt es läuft nciht Rund und ich bin mit meinem Latein am Ende

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Ich habe es kontolliert und ich meine, sollte bedeuten das ich keinen Fehler finde und es für MICH richtig ausschaut, aber auch ich bin nciht unfehlbar.

Den Befehl habe ich von deiner Aufschreibung kopiter. Kenne mich mit WMI-Filterung leider nicht gut genug aus.

Wie und wo kann ich da was kontollieren?

Es gibt von MSFT den WMI-CodeCreator zum Download. Damit kannst Du solche WMI-Scripte selbst erstellen bzw. testen.

strComputer = "." 
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2") 
Set colItems = objWMIService.ExecQuery( _
    "SELECT * FROM Win32_ComputerSystem",,48) 
For Each objItem in colItems 
    Wscript.Echo "-----------------------------------"
    Wscript.Echo "Win32_ComputerSystem instance"
    Wscript.Echo "-----------------------------------"
    Wscript.Echo "DomainRole: " & objItem.DomainRole
Next

Als MeinTest.vbs abspeichern und auf dem DC aufrufen, welche DomainRole wird angezeigt? Als Gegenprobe auf einer Workstation.

 

 

 

Die Windows Firewall am DC ist ausgeschaltet. Auf der Hardware Firewall ist der Server freigeschaltet  und der Port 123 auch ok.

Bekomme im Log der Firewall auch keinen Eintrag: Weder das er sich verbindet, noch das er sich nciht verbindet. Also auf gut Deutsch keinen Eintrag im Log der Firewall.

Weshalb schaltet eigentlich jeder immer die Firewall aus? Besser wäre wirklich sie zu konfigurieren, ab 2008 ist das abschalten der FW kontraproduktiv. Es können Fehler auftreten die man nicht zuordnen kann. Schaltet man die FW wieder ein, sind die Fehler weg. Beim hinzufügen von irgendwelchen Rollen wird normalerweise die FW auch korrekt konfiguriert.

 Auch der von Dir erwähnte ID Eintrag in der Ereignisanzeige des Systems bekomme ich nciht angezeit.

Ein resync  bekomme ich immer noch die von mir genannte Fehlermeldung.

Aktualisieren hilft auch nicht? Neustart vom DC schon ausgeführt?

Link zu diesem Kommentar
speed Experienced

speed   11

Geschrieben
Geschrieben (bearbeitet)

Es gibt von MSFT den WMI-CodeCreator zum Download. Damit kannst Du solche WMI-Scripte selbst erstellen bzw. testen.

 

Als MeinTest.vbs abspeichern und auf dem DC aufrufen, welche DomainRole wird angezeigt? Als Gegenprobe auf einer Workstation.

 

Habe ich gemacht. Kannte den CodeCreator nicht.

Wenn ich die Abfrage mit dem Code Sunny61 nutze und die Abfrage starte bekomme ich folgende Ergebnisse.

 

Auf dem Domaincontroler: DomainRole 5

Auf einem Server: DomainRole 3

Auf einem Client DomainRole 1

 

Sieht meiner Meinung richtig aus. Oder?

 

 

 

Weshalb schaltet eigentlich jeder immer die Firewall aus? Besser wäre wirklich sie zu konfigurieren, ab 2008 ist das abschalten der FW kontraproduktiv. Es können Fehler auftreten die man nicht zuordnen kann. Schaltet man die FW wieder ein, sind die Fehler weg. Beim hinzufügen von irgendwelchen Rollen wird normalerweise die FW auch korrekt konfiguriert.

 

Wieso und warum kann ich Dir leider nicht erleutern, da  ich es nicht gemacht habe und es aus der Zeit mit Win 2000 bzw 2003 stammt. Habe mir da auch schon Gedanken drüber gemacht, werde es auch umstellen, aber im Moment habe ich einfahc zu wenig Zeit. Wenn der DC und die Filserver mal umgezogen ist und der SCCM neu erstellt worden ist dann kann ich mich damit mal befassen.

 

 

Aktualisieren hilft auch nicht? Neustart vom DC schon ausgeführt?

 

Habe schon mehrfach ein gpupdate ausgeführt, sogar auf dem Server ein Neustart ausgeführt.

Den Zeitdienst beendet und gestartet.

 

Mir ist aufgefallen, das in der Reistry unter HLM\Software\Policies\Microsoft\W32Time\Parameters die Werte time.windows.com,0x9 und NT5DS steht.

 

http://www.img-load.de/display-i1117245b935g6.html

 

 

Das sollte ja meiner Meinung nach nciht auf dem DC stehen sondern doie GPO und der pool Adresse stehen oder?

 

Siehst so aus als würde die GPO nicht stimmen bze gezogen.

Im Eventlog des Servers steht aber das er 4 neue Einträge gefunden und gezogen hat.

bearbeitet von speed
Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.034

Geschrieben
Geschrieben

 

Mir ist aufgefallen, das in der Reistry unter HLM\Software\Policies\Microsoft\W32Time\Parameters die Werte time.windows.com,0x9 und NT5DS steht.

 

http://www.img-load.de/display-i1117245b935g6.html

 

 

Das sollte ja meiner Meinung nach nciht auf dem DC stehen sondern doie GPO und der pool Adresse stehen oder?

 

Siehst so aus als würde die GPO nicht stimmen bze gezogen.

Tja, dann definier doch mal was "Offensichtliches" in dem GPO (DEsktopsymbole ausblenden), dann weißt du ob die Policy zieht. Was sagt ein gpresult /H auf dem Server?

 

Bye

Norbert

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Habe ich gemacht. Kannte den CodeCreator nicht.

Wenn ich die Abfrage mit dem Code Sunny61 nutze und die Abfrage starte bekomme ich folgende Ergebnisse.

 

Auf dem Domaincontroler: DomainRole 5

Auf einem Server: DomainRole 3

Auf einem Client DomainRole 1

 

Sieht meiner Meinung richtig aus. Oder?

Jepp, sieht gut aus.

 

 

 

Habe schon mehrfach ein gpupdate ausgeführt, sogar auf dem Server ein Neustart ausgeführt.

Den Zeitdienst beendet und gestartet.

 

Mir ist aufgefallen, das in der Reistry unter HLM\Software\Policies\Microsoft\W32Time\Parameters die Werte time.windows.com,0x9 und NT5DS steht.

Das sollte ja meiner Meinung nach nciht auf dem DC stehen sondern doie GPO und der pool Adresse stehen oder?

Hier solltest Du die Werte finden: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32time\Parameters Liegt das Computerobjekt im Verwaltungsbereich des GPO?

 

Siehst so aus als würde die GPO nicht stimmen bze gezogen.

Im Eventlog des Servers steht aber das er 4 neue Einträge gefunden und gezogen hat.

Starte den Dienst durch, gibt es neue Einträge im Log?
Link zu diesem Kommentar
speed Experienced

speed   11

Geschrieben
Geschrieben

Tja, dann definier doch mal was "Offensichtliches" in dem GPO (DEsktopsymbole ausblenden), dann weißt du ob die Policy zieht. Was sagt ein gpresult /H auf dem Server?

 

Habe ich versucht, die GPO wird nciht gezogen. Warum ist mir schleierhaft. Verstehe nun nichts mehr.

Führe ich den Gruppenrichtlinenmodelierungs-Assistenten aus, bekomme ich im Bericht angezeit, dass die GPO PDC Zeitserverkonfiguration unter dem Bereich Abgelehnte Gruppenrichtlinie.

In dem Bereich steht unter der Spalte Grund:-abgelehnt nur das Wort Leer

 

Und unter WMI Emulator steht unter der Spalte Wert "Nicht ausgewehrtet"

 

Irgendwie der Wurm drinne und ich weiß ncoh nciht einmal warum und wo.

 

 

Hier solltest Du die Werte finden: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32time\Parameters Liegt das Computerobjekt im Verwaltungsbereich des GPO?

 

Finde ich aber leider nciht, bzw werden keine Werte verändert. Denke das der Grund ein paar Zeilen höher in meinem Beitrag liegt.

Das Computerobjekt ist ein DC und liegt in der OU Domain Controllers. Wir haben nur eine Domäne. Also müsste er ja demnach im Verwaltungsbereich liegen.

Oder habe ich deine Frage falsch verstanden?

 

 

Starte den Dienst durch, gibt es neue Einträge im Log?

 

Habe ich gemacht. Es werden nur die:

 

ID1502 - Die Gruppenrichtlinieneinstellungen für den Computer wurden erfolgreich verarbeitet. Es wurden neue 5-Gruppenrichtlinienobjekte erkannt und angewendet.

ID1501 - Die Gruppenrichtlinieneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Es wurden keine Änderungen seit der letzten erfolgreichen Gruppenrichtlinienverarbeitung erkannt.

ID139 - Der Zeitdienst wird als Zeitquelle angekündigt.

ID143 - Der Zeitdienst wird als gute Zeitquelle angekündigt.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Habe ich versucht, die GPO wird nciht gezogen. Warum ist mir schleierhaft. Verstehe nun nichts mehr.

Führe ich den Gruppenrichtlinenmodelierungs-Assistenten aus, bekomme ich im Bericht angezeit, dass die GPO PDC Zeitserverkonfiguration unter dem Bereich Abgelehnte Gruppenrichtlinie.

In dem Bereich steht unter der Spalte Grund:-abgelehnt nur das Wort Leer

 

Und unter WMI Emulator steht unter der Spalte Wert "Nicht ausgewehrtet"

Du kannst doch von dem GPO einen HTML-Bericht erstellen, mach davon einen Screenshot und poste ihn.

 

Finde ich aber leider nciht, bzw werden keine Werte verändert. Denke das der Grund ein paar Zeilen höher in meinem Beitrag liegt.

Das Computerobjekt ist ein DC und liegt in der OU Domain Controllers. Wir haben nur eine Domäne. Also müsste er ja demnach im Verwaltungsbereich liegen.

Oder habe ich deine Frage falsch verstanden?

Wo genau liegt das GPO? Verlink das GPO (Du hast hoffentlich dafür ein eigenes GPO erstellt) auf die OU der DCs. Jetzt die DCs replizieren lassen, geht manuell in Standorten und Diensten. Anschließend den betroffenen DC neu starten.

 

 

 

 

Habe ich gemacht. Es werden nur die:

 

ID1502 - Die Gruppenrichtlinieneinstellungen für den Computer wurden erfolgreich verarbeitet. Es wurden neue 5-Gruppenrichtlinienobjekte erkannt und angewendet.

ID1501 - Die Gruppenrichtlinieneinstellungen für den Benutzer wurden erfolgreich verarbeitet. Es wurden keine Änderungen seit der letzten erfolgreichen Gruppenrichtlinienverarbeitung erkannt.

ID139 - Der Zeitdienst wird als Zeitquelle angekündigt.

ID143 - Der Zeitdienst wird als gute Zeitquelle angekündigt.

Das ist ja schon mal etwas.

Link zu diesem Kommentar
speed Experienced

speed   11

Geschrieben
Geschrieben (bearbeitet)

Du kannst doch von dem GPO einen HTML-Bericht erstellen, mach davon einen Screenshot und poste ihn.

 

http://img5.fotos-hochladen.net/uploads/berichtmjb9nvqfko.jpg

 

 

Wo genau liegt das GPO? Verlink das GPO (Du hast hoffentlich dafür ein eigenes GPO erstellt) auf die OU der DCs. Jetzt die DCs replizieren lassen, geht manuell in Standorten und Diensten. Anschließend den betroffenen DC neu starten.

 

Das GPO liegt im Rootverzeichnis, also genau da wo die  Default Domain Policy auch liegt.

Die PDC GPO habe ich mit der Ou der Domain Controllers über das Kontextmenü "Vorhandenes Gruppenrichtlinienobjekt verknüpfen . . . der OU der DC zugewiesen.

Ich habe für die PDC GPO eine neue GPO in der Domäne erstellt. Liegt eben im Root und ist verknüpft. Jedoch nicht erwungen.

bearbeitet von speed
Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Das sieht doch schon mal nicht schlecht aus. ;)

 

 

 

Das GPO liegt im Rootverzeichnis, also genau da wo die  Default Domain Policy auch liegt.

Die PDC GPO habe ich mit der Ou der Domain Controllers über das Kontextmenü "Vorhandenes Gruppenrichtlinienobjekt verknüpfen . . . der OU der DC zugewiesen.

Ich habe für die PDC GPO eine neue GPO in der Domäne erstellt. Liegt eben im Root und ist verknüpft. Jedoch nicht erwungen.

Du sprichst von 2 GPOs, in welcher ist denn was konfiguriert? Und welche liegt in der Root?

Link zu diesem Kommentar
speed Experienced

speed   11

Geschrieben
Geschrieben (bearbeitet)

Habe ich alles gemacht. Habe die GPO nun auf die OU der beiden DC gesetzt, den WMI Filter aktiviert und die DC repliziert.
Anschlißend den DC neu gestartet.

Nach dem Neustart habe ich dann auf dem DC der als Zeitserver fungieren soll den Befehl w32tm /resync ausgeführt und bekomme wieder die Fehlermeldung "Der Computer wurde nciht synchronisiert, da keine Zeitdaten verfügbar waren.

In der Reg. steht aber sauber die pool.ntp.org

Er macht einfahc nichts.


:confused: :confused: :confused: :confused:

 


Kurz noch zur Erklärung. Der eine DC ist eine physikaliche Maschnine, der zweite DC ist eine VM Maschine.

Aber bei beiden geht der Befehl leider nicht.

 

Nun habe ich den pool.ntp.org mal vom DC angepingt. Hat funktioniert.

Wenn ich die seite www.pool.ntp.org per IE öffne funktioniert das auch.
In der Hardware Firewall ist der NTP Port freigeschaltet für "Any" in beiden Richtungen.

 

Wenn ich ein netdom /query fsmo mache, sehe ich auch das der Physikalische DC alle Rollen besitzt. Vom Schemamaster bis hin zum Infrastruktumaster.



 

bearbeitet von speed
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...