kosta88 2 Geschrieben 28. Mai 2017 Melden Teilen Geschrieben 28. Mai 2017 Hallo, gestern habe ich mich damit beschäftigt, eine ordnungsgemäße Zeitregelung in der Domäne zu gewährleisten. Somit bin ich nach dieser Anleitung vorgegangen: https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ Jedoch irgendwie funktioniert nicht wie das sein soll... Mein Verständnis ist dass wenn man Befehl "w32tm /query /source" ausführt, DC mit dem PDC Emulator erscheinen müsste. Das ist leider nicht der Fall, sondern der alte DC von dem die Rollen übertragen wurden. Integrationsdienste bei HV sind deaktiviert. Grundsätzlich wenn man dieses Befehl auf allen Servern ausführt, passiert folgendes: PDC Emulator DC: pool.ntp.org Andere 2 DCs: Local CMOS Clock Andere Server: entweder korrekter DC oder der alte DC, von dem die Rollen ursprünglich übertragen wurden Wie gehe ich am besten mit dem Troubleshooting voran? Danke Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. Mai 2017 Melden Teilen Geschrieben 28. Mai 2017 Moin Was funktioniert denn nicht? Gibt es Fehlermeldungen in Ereignisprotokollen? Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 29. Mai 2017 Melden Teilen Geschrieben 29. Mai 2017 Moin, Was sagt denn netdom /query fsmo ? Gruß, Nils Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 29. Mai 2017 Autor Melden Teilen Geschrieben 29. Mai 2017 Moin, lefg: Es geht nicht so um was nicht funktioniert, da ich das nicht so leicht überprüfen kann (ist die Zeit wirklich synchron?), sondern eher um die Korrektheit des "w32tm /query /status" -> da mein Verständnis ist, dass hier immer ein DC angezeigt werden soll, sofern die GPO auf alle DCs ausgerollt wird. Ich werde noch testen damit, die NTP-Server-Funktion in GPO auf einen DC zu begrenzen. Nils: Alle 5 Rollen sind bereits auf dem einen Hauptserver, der auch NTP-Server werden sollte. Scheint korrekt zu sein. Nachdem ich gestern mehrfach darüber gelesen habe, habe ich es jetzt mit einer einfachen Konfiguration versucht. Und zwar: Es sind 3 DCs. Auf einem der die Rollen inkl. PDC hat, habe ich eine GPO mit Filterung (wohlgemerkt nicht WMI, da ich nicht weiß ob verlässlich greift) auf den DC, und Einstellungen NtpServer pool.ntp.org, Type NTP. GPO auf die OU Domain Controllers gebunden. Eine weitere GPO auf die DC-OU gebunden, Windows-NTP-Server aktivieren Aktiviert. Filterung auf alle 3 DCs. Jetzt werde ich die Filterung bei der 2. GPO auf nur einen DC, und zwar den PDC-Träger filtern, und versuchen via /unregister /register die Konfiguration zurückzusetzen. Ziel ist: alle Rechner beziehen die Zeit von einen DC (oder mehrere). Aber kein Local CMOS Clock. Aber ich würde gerne wissen ob ich am richtigen Weg bin? Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 29. Mai 2017 Melden Teilen Geschrieben 29. Mai 2017 Moin, die Anleitung von gruppenrichtlinien.de erfordert kein manuelles Eingreifen. Wenn sie richtig umgesetzt ist, aber es nicht funktioniert, ist was anderes im Busch. Du bist dir sicher, dass du alles richtig umgesetzt hast? Es sind zwei GPOs an den passenden Stellen zu definieren. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.091 Geschrieben 29. Mai 2017 Melden Teilen Geschrieben 29. Mai 2017 (wohlgemerkt nicht WMI, da ich nicht weiß ob verlässlich greift) auf den DC, und Einstellungen NtpServer pool.ntp.org, Type NTP. GPO auf die OU Domain Controllers gebunden. Eine weitere GPO auf die DC-OU gebunden, Windows-NTP-Server aktivieren Aktiviert. Filterung auf alle 3 DCs. OK, du weißt nicht, ob was funktioniert und bastelst einfach mal was anderes? Wie wärs, wenn du einfach das How-To abarbeitest und darauf vertraust, dass manchmal andere sehr wohl wissen, was sie tun? Aber ich würde gerne wissen ob ich am richtigen Weg bin? Wenn du einfach das How To abarbeiten würdest, wärest du wahrscheinlich schon lange fertig. Aber tob dich ruhig aus. Bye Norbert Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 29. Mai 2017 Autor Melden Teilen Geschrieben 29. Mai 2017 (bearbeitet) Vorweg: ich habe das HowTo von gruppenrichtlinien.de abarbeitet und das hat nicht funktioniert - die WMI-Filterung hat nicht funktioniert, da ich da eine Fehlermeldung vonwegen Namespace bekomme (und habe hier nach einiger Recherche es nicht zum laufen bringen können), und wenn ich dann abfrage ob die Gruppenrichtlinie auf anderen DCs in der OU greift (via gpresult), sehe ich sie auf den anderen DCs als aktiv. Deswegen die Filterung - sie greift. Außerdem: es steht sogar am Ende des Dokuments dass man das via Sicherheitsfilterung machen kann, jedoch bietet die WMI-Filterung gewisse Automatik, also sehe ich hier nichts falsches. Auch kein "Gebastel". Also grundsätzlich habe ich wie geschrieben gemacht, dann geprüft, hat nicht funktioniert. Ich habe ja auch dann andere Versuche gemacht, wie auf anderen Seiten empfohlen, bspw: https://serverfault.com/questions/584397/active-directory-time-synchronisation-time-service-event-id-50/584420#584420 Aber weitere Recherche bringt mich auf folgendes (und ja ich habe auch auf die Empfehlung von gruppenrichtlinien.de zurückgestellt): Nachdem die 2. GPO auf alle Domain-Mitglieder verteilt wird, kann es denn sein, dass sich jeder Server die Sache irgendwie DNS-bezogen bezieht? Bspw. merke ich das ja zwar öfters PDC gewählt wird, aber dann auch der 2. DC, auch wenn primärer DNS der 1. DC (PDC) eingetragen ist. Was ich nicht verstehe welche "Parameter" notwendig sind, bzw. wonach richtet sich das W32Time Dienst, wenn ein Zeitserver gesucht wird, und warum landet W23TM dann auf dem 2. DC, wenn der einzige Server der die GPO trägt der 1. DC ist (beim 2.DC steht noch ausdrücklich nicht angewandt). bearbeitet 29. Mai 2017 von kosta88 Zitieren Link zu diesem Kommentar
NorbertFe 2.091 Geschrieben 29. Mai 2017 Melden Teilen Geschrieben 29. Mai 2017 Vorweg: ich habe das HowTo von gruppenrichtlinien.de abarbeitet und das hat nicht funktioniert - die WMI-Filterung hat nicht funktioniert, da ich da eine Fehlermeldung vonwegen Namespace bekomme Die kann man einfach ignorieren. Zumindest wenn es die Fehlermeldung ist, die ich kenne. Aber da du ja nichts dazu schreibst, mußt du eben damit leben. Also grundsätzlich habe ich wie geschrieben gemacht, dann geprüft, hat nicht funktioniert. Nö, oder hab ich irgendwo geschrieben, dass man zwei GPOs auf die Domain Controllers OU verlinken soll? Bye Norbert Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 29. Mai 2017 Melden Teilen Geschrieben 29. Mai 2017 Ich wiederhole mich mal wieder: in einem AD muss man an der Stelle nichts konfigurieren. Nur der DC mit dem PDC-Emulator muss mit einer externen Zeitquelle synchronisiert werden. Da muss man man nur 1x "w32tm /config /manualpeerlist:timeserver /syncfromflags:manual /reliable:yes /update" eingeben. Alle anderen Geräte, auch die anderen DCs, holen sich die Zeit nunmehr per AD-Gedöns (NT5DS). Siehe auch https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/ Zitieren Link zu diesem Kommentar
NorbertFe 2.091 Geschrieben 29. Mai 2017 Melden Teilen Geschrieben 29. Mai 2017 Eigentlich nicht schwer und auch genauso im How To beschrieben. ;) Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 29. Mai 2017 Autor Melden Teilen Geschrieben 29. Mai 2017 (bearbeitet) Die kann man einfach ignorieren. Zumindest wenn es die Fehlermeldung ist, die ich kenne. Aber da du ja nichts dazu schreibst, mußt du eben damit leben. Nö, oder hab ich irgendwo geschrieben, dass man zwei GPOs auf die Domain Controllers OU verlinken soll? Bye Norbert Sind auch nicht zwei GPOs in DC-OU verlinkt! Eine GPO ist in DC und eine auf der Domain-Ebene - wie beschrieben. Ich wiederhole mich mal wieder: in einem AD muss man an der Stelle nichts konfigurieren. Nur der DC mit dem PDC-Emulator muss mit einer externen Zeitquelle synchronisiert werden. Da muss man man nur 1x "w32tm /config /manualpeerlist:timeserver /syncfromflags:manual /reliable:yes /update" eingeben. Alle anderen Geräte, auch die anderen DCs, holen sich die Zeit nunmehr per AD-Gedöns (NT5DS). Siehe auch https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/ Das verstehe ich jetzt nicht - ein Befehl ist angeblich das gleiche wie eine GPO, wenn auf PDC ausgeführt. GPO auf dem PDC greift ja auch, hier steht als Server pool.ntp.org. Nirgendwo sonst. Ansonsten ist eine GPO auf der Domain-Ebene, die besagt NT5DS, wie in der Anleitung beschrieben. EDIT: Ich habe jetzt auf allen Server hintereinander den /unregister /register und Dienst-neustart gemacht, gefolgt von gpupdate und Server Neustart. Jetzt haben alle entweder ersten oder den zweiten DC eingetragen: ist das korrekt?? Oder müssten ALLE mit 1.DC antworten? bearbeitet 29. Mai 2017 von kosta88 Zitieren Link zu diesem Kommentar
NorbertFe 2.091 Geschrieben 29. Mai 2017 Melden Teilen Geschrieben 29. Mai 2017 Auf einem der die Rollen inkl. PDC hat, habe ich eine GPO mit Filterung (wohlgemerkt nicht WMI, da ich nicht weiß ob verlässlich greift) auf den DC, und Einstellungen NtpServer pool.ntp.org, Type NTP. GPO auf die OU Domain Controllers gebunden. Eine weitere GPO auf die DC-OU gebunden, Windows-NTP-Server aktivieren Aktiviert. Filterung auf alle 3 DCs. Liest sich aber wie zwei gpo. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 29. Mai 2017 Melden Teilen Geschrieben 29. Mai 2017 Das verstehe ich jetzt nicht - ein Befehl ist angeblich das gleiche wie eine GPO, wenn auf PDC ausgeführt. GPO auf dem PDC greift ja auch, hier steht als Server pool.ntp.org. Nirgendwo sonst. Ich will damit sagen: Wenn man vorher nichts verstellt hat, ist die Konfig per GPO komplett überflüssig. Zitieren Link zu diesem Kommentar
NorbertFe 2.091 Geschrieben 29. Mai 2017 Melden Teilen Geschrieben 29. Mai 2017 Auch das steht im how to. ;) und wie gesagt, manchmal vergisst man den Pdc Emulator eben. Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 29. Mai 2017 Melden Teilen Geschrieben 29. Mai 2017 Es ging jetzt nicht um das Hau-To, sondern um den Kollegen ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.