Server 2012R2, Konsolensitzung ESXi, zeitabhängig

[Weingeist 159]

Hallo Leute,

 

Hatte letzhin ein nerviges verhalten. Und zwar kam ich partout nicht auf einen virtuellen Server drauf, weil seine Zeit nicht mit meinem zugreifenden Client übereinstimmt und der Server keinen Zeitserver erreichen konnte für die richtige Zeit.

 

Wie kommt man in einem solchen Fall auf die Mühle drauf? Lustig fand ich ja, dass das noch nie ein Problem war, sondern nur bei RDP. Sprich gab es Probleme, konnte man immer noch mit der Konsolensitzung von vSphere direkt auf die VM kommen. Seit 2012 (oder nur R2?) geht das nicht mehr wirklich, da erhält die VM die Zeit vom Client scheinbar ebenfalls mit der Sitzung und die Uhrzeit wird geprüft.

 

Kann man das irgendwie abschalten? Ist gerade bei neuen VM's relativ nervig wenn z.B. die Hostzeit nicht synchronisiert wird und hinterherhinkt. (Netzwerktrennung papipapo)

 

Danke

[Sunny61 806]

Zeitsynchronisierung vom Host zum Gast solltest Du in den Eigenschaften der VM abschalten können.

[Weingeist 159]

Dank! Das meine ich aber eigentlich nicht. Bringt ned viel ohne NTP wenn er dann gar nix zum syncen hat. Ich komme dann nach wie vor weder per Konsole - was normal ging - noch per RDP auf die Maschine. Diese Überprüfung wäre ich gerne wieder losgeworden.

[Dunkelmann 96]

Moin,

 

die Hosts sollten möglichst eine Zeitquelle aus der Domäne nutzen (PDC Emulator oder anderen DC)

Beim Starten holen sich die VMs einmalig die Zeit vom VMWare Host - egal ob in den Gastdiensten die Synchronisierung aktiviert ist oder nicht. Was bei einer falschen Zeit des Hosts passieren kann, sieht man in diesem Thread: http://www.mcseboard.de/topic/202286-ad-replikation-fehler-zielprinzipalname/

 

http://www.vmware.com/files/pdf/Timekeeping-In-VirtualMachines.pdf

http://vmware-forum.de/viewtopic.php?t=27599

[Weingeist 159]

Dankeschön. Wie und wann sich die VM die Zeit holt ist mir aber schon bewusst. Auch wie man sie in den Tools einstellt.

 

Die Hosts wollte ich aber grundsätzlich ohne jede Verbindung ins produktive Netz und indirekt ins Internet haben. Die Synchronisierung mit dem Hos schalte ich allgemein ab. Beim Start nimmt er diese natürlich trotzdem an und aktualisiert sie, sobald sie Kontakt zu einem DC oder der ePDC Kontakt zur NTP-Quelle hat. Solange immer ein DC up ist oder zumindest der ePDC zuerst eingeschaltet und wird, sollte es auch kein Rollback des AD geben (gabe es auch noch nie, in keiner Umgebung). Auch wenn mich der Artikel schon etwas verunsichert, potentielles Risiko halt.

 

Trotzdem sollte eine Konsolenverbindung eigentlich das gleiche sein wie wenn man direkt vor dem physischen Screen hockt, da soll es dem Ding egal sein was für eine Zeit der Screen hat.

[NeMiX 76]

Wie sorgst du den dafür das die Hosts die richtige Uhrzeit haben?

Gerade wenn es ans Debugging geht, will man doch anständige Zeiten im Log haben.

Abtrennung zwischen Hosts und dem Rest kann ich verstehen, aber ein Port 123 für NTP sollte dir doch nicht weh tun?

[Weingeist 159]

Das ist Ansichtssache. Wie kann etwas abgetrennt sein, wenn man es doch mit ins Netzwerk packt?

 

Aber der Punkt ist: Gerade für Fehlkonfigurationen, Fehler im System etc. sollte ein Konsolenzugriff möglichst Barrierenfrei sein. Eine falsche Zeit darf hier meiner Meinung nach kein Grund sein.

[testperson 1.677]

Hi,

 

dann melde dich lokal (<Hostname>\<BuiltIn-Admin>) am Host an und nicht an der Domäne. Ob das per RDP funktioniert müsstest du testen, aber per Konsole solltest du so keine Probleme bekommen.

Wenn du eine strikte Trennung willst, dann stell ein Funkuhr in das Netz, welche du als NTP nutzen kannst.

 

Gruß

Jan

[Weingeist 159]

Hmm, das könnte sein. Ist leider schon ein paar Tage her und ich war der festen Überzeugung, dass ich den Server noch nicht in der Domäne hatte... Da es in einer Test-VM tatsächlich klappt, wird es wohl aber doch anders sein.

 

Mea culpa... die Aufregung war wohl umsonst... :rolleyes:

 

Thanks!