UAC Administratormodus

[Stefan W 14]

Stell die Uhr mal 2 Minuten zurück oder vor und starte w32time /resync auf dem PDC Emulator

Sobald ich ein w32tm /resync (ohne /nowait /update) mache erhalte ich einen Fehler, der besagt, dass keine Zeitdaten vorhanden sind, und nichts synchronisiert wurde - nur: ist somit sichergestellt, dass es an der Firewall liegt? Kennst du eine andere Möglichkeit um den Portstatus zu überprüfen?

lg

Stefan

[NorbertFe 2.027]

Na wenn du auch bei anderen Timeservern im I-Net die selbe Meldung bekommst, wirds wohl daran liegen, dass deine Firewall das nicht korrekt durchläßt. Welche Firewall nutzt du?

 

Bye

Norbert

[Stefan W 14]

Ok nachdem der konfigurierte Zeitserver ein Pool an servern ist, und auch bei nslookup stets andere ergebnisse kommen und ich mit den "alten" ntpserver bevtime1.metrologie.at auch Verbindungsprobleme hatte, schließe ich mal aus, dass es am NTP Server im Inet liegt.

 

Firewalls haben wir hier mehrere zur Auswahl.

angefangen von einer ASA5505, über ZyXel Zywall2, oder auch eine (uralte) PIX, und eine Zyxel USG200

bislang habe ich es auf der ASA und auf der Zywall2 getestet - mit selben Ergebnis.

 

Wenn ich nicht falsch informiert bin, sollten die Firewalls bereits standardmäßig LAN 2 WAN alles durchlassen - aber ich kann mich auch irren - es wurde aber auch zusätzlich von meinem Kollegen der Port 123 freigeschaltet.

 

lg

Stefan

[NorbertFe 2.027]

Ok nachdem der konfigurierte Zeitserver ein Pool an servern ist

 

Deswegen heißt der so. ;) Wundert dich doch jetzt nicht, oder?

 

Firewalls haben wir hier mehrere zur Auswahl.

angefangen von einer ASA5505, über ZyXel Zywall2, oder auch eine (uralte) PIX, und eine Zyxel USG200

bislang habe ich es auf der ASA und auf der Zywall2 getestet - mit selben Ergebnis.

 

Naja, soll man jetzt raten? Wenn ihr soviele Firewalls habt, dann mußt du der Reihe nach durchtesten, wo es hakt. Ich kann dir da nicht helfen. ;)

 

Wenn ich nicht falsch informiert bin, sollten die Firewalls bereits standardmäßig LAN 2 WAN alles durchlassen

 

Also bei von mir konfigurierten Firewalls wäre das _nicht_ so.

 

es wurde aber auch zusätzlich von meinem Kollegen der Port 123 freigeschaltet.

 

udp? Und vor allem auf welcher von den 27 obigen Firewalls denn? Und für alle oder für den PDC Emulator? Fehlerauschlussverfahren ist dir bekannt? ;)

 

Bye

Norbert

[Stefan W 14]

Deswegen heißt der so. Wundert dich doch jetzt nicht, oder?

Dies sollte als Feststellung dienen :)

 

Die Firewalls sind nicht hintereinander geschaltet.

 

Jeweils jene Firewalls die getestet wurden haben auch als Default Gateway beim PDC gedient und hier wurde UDP 123 freigeschaltet

 

Anderer Ansatz:

Ich glaube (bin mir sogar sicher), dass ich vergaß ein Detail zu erwähnen:

Der Testserver um den es sich handelt wird virtualisiert.

Bei Hyper-V gibt es die Integrationsdienste wobei die Zeitsynchronisation ausgeschaltet ist und der Rest aktiv ist.

Hast du eventuell mit virtuellen Clients/Servern schon mal Probleme in der Hinsicht gehabt?

[NorbertFe 2.027]

Nein, bisher hatte ich solche Probleme nicht, aber ich vermeide auch virtualisierte DCs mit der pdc role. Aber grundsätzlich sollte es auch dann funktionieren.

 

Bye

Norbert

[Stefan W 14]

Ok, dann muss ich weitersuchen :/

Dies ist lediglich die Testdomäne - hier muss virtualisiert werden --> Hardwaremangel :)

 

In der Produktivdomäne sind 3 DCs, 2 virtuell (vollständig) 1 physikalisch (core) als PDC

 

Aber trotzdem danke für deine Mühe :)

[Robi-Wan 10]

Hallo,

 

es ist bei virtualisierten Systemen manchmal so, dass die Zeiten nicht korrekt sind. Zu den technischen Details verweise ich auf die Boardsuche oder die Internetsuchmaschine Deiner Wahl.

 

Zur Lösung: Deaktiviere die Zeitsynchronisation zwischen physikalischem Host und der VM. Lass Deinen PDC Emulator die Zeit aus dem Internet syncen, die anderen DCs mit dem PDC Emulator und die Clients mit ihrem jeweiligen DC.

 

Grüße,

Robert

[NorbertFe 2.027]

Zur Lösung: Deaktiviere die Zeitsynchronisation zwischen physikalischem Host und der VM. Lass Deinen PDC Emulator die Zeit aus dem Internet syncen, die anderen DCs mit dem PDC Emulator und die Clients mit ihrem jeweiligen DC.

 

https://www.mcseboard.de/active-directory-forum-79/uac-administratormodus-2-185501.html#post1144078

 

Genau das was du vorschlägst, versucht er die ganze Zeit. ;)

 

Bye

Norbert

[Stefan W 14]

Deaktiviere die Zeitsynchronisation zwischen physikalischem Host und der VM. Lass Deinen PDC Emulator die Zeit aus dem Internet syncen, die anderen DCs mit dem PDC Emulator und die Clients mit ihrem jeweiligen DC.

Richtig - das ist von Anfang an mein Ziel, nur funkt irgendwas dazwischen :)

 

PS.: trotz der Gruppenrichtlinie, welche laut gpresult vom PDC richtig übernommen wird bei w32tm /query /status als Quelle die Freerunning System Clock angegeben und als ReferenzID Quellname: "LOCL"

 

bei w32tm /query /configuration

wird jedoch als NTP Server der richtige Eintrag (in der Richtlinie gesetzt, und auch so dargestellt) angegeben.

 

Wenn ich das richtig interpretiere, ist die Konfiguration korrekt, jedoch keine Zeitsynchronisation möglich, was der Grund dafür ist, dass er die Free-running System Clock als Quelle anzeigt. oder kann hier doch an der Config was haken?? - hilft der komplette Auszug von w32tm /quer /configuration euch evtl weiter?

 

lg

[Robi-Wan 10]

Sorry, hab ich überlesen… Asche auf mein Haupt...

[Stefan W 14]

Hat noch jemand eine(n) Lösung(sansatz) die er gerne mit mir teilen würde? ;)