Zeitserver verschieben (mal wieder)

[Küstennebel 0]

Moin,

 

ein neuer DC (Server 2016) wurde vor ein paar Tagen in unsere 2003er Domäne integriert. Zunächst als Member Server, dann hochgestuft zum DC. Am Wochenende wurden nun alle 5 FSMO Rollen ohne Probleme übertragen. Eine Kontrollabfrage hat dies auch bestätigt.

 

Nun bin ich davon ausgegangen, dass der Zeitdienst auch an der PDC Rolle hängt und auf den neuen DC übergeht. Eine Abfrage vom neuen DC aus, zeigt aber, dass der alte immer noch NTP Server für die Domäne ist.

 

Ein wenig googlen brachte nun die diversen Möglichkeiten zum Vorschein, den NTP Server zu ändern - die beste ist wohl über GPO ( https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ )

 

Meine Frage ist nun: Muss ich mich wirklich darum kümmern und dies über eine Gruppenrichtlinie steuern oder erübrigt sich das "Problem" von alleine, wenn ich in den nächsten Tagen den alten 2003er DC runterstufe und aus der Domäne herausnehme? (Natürlich will ich dann auch noch die Domänefunktionseben und Gesamtfunktionsebene hochsetzen)

 

Gruß

Jörg

[NorbertFe 2.027]

Der alte bleibt ja auch weiterhin Zeitserver. Was genau hast du denn abgefragt? Das How To funktioniert eigentlich immer und dann braucht man vor allem nicht jedesmal überlegen. Manuell wird der neue Server jedenfalls nicht einfach nach extern gehen und die Zeit abholen. ;)

[zahni 550]

Prinzipiell sind alle DCs in der Domäne "NTP-Zeitserver". Die Frage ist, wer der Chef ist und "extern synchronisiert werden muss". Das ist der  PDC-Emulator.

Lies hier am Besten nochmal nach:

 

https://msdn.microsoft.com/de-de/library/cc773263(v=ws.10).aspx

 

Den alten DC solltest Du auf NT5DS konfigurieren, den neuen PDC-Emulator auf  einen externen NTP-Server. 

[Küstennebel 0]

Die Abfrage (vom neuen DC) aus lautete: w32tm /query /source. Als Ergebnis wurde der alte DC angezeigt. (Auf dem Alten funktioniert diese Abfrage nicht, da 2003 die Option /query wohl noch nicht enthalten war)

 

Ich würde nur gerne wissen wollen, was passiert, wenn der alte DC (momentan NTP Server) dann runtergestuft und aus der Domäne genommen wird. Ist dann gar kein Zeitserver mehr in der Domäne oder überträgt er dann den Dienst automatisch, sodass ich mir ein Konfigurieren von Gruppenrichtlinien sparen kann?

[NorbertFe 2.027]

Nur der PDC Emulator muß nach aussen synchen alle anderen DCs agieren als Timeserver und holen ihre Zeit beim PDC Emulator. Alle Memberserver und PCs der Domäne holen sich die Zeit bei ihrem Anmelde-DC.

[Küstennebel 0]

Nur der PDC Emulator muß nach aussen synchen alle anderen DCs agieren als Timeserver und holen ihre Zeit beim PDC Emulator. Alle Memberserver und PCs der Domäne holen sich die Zeit bei ihrem Anmelde-DC.

 

Das ist mir soweit klar. Aber was passiert, wenn ich an der NTP Konfiguration erst mal nichts ändere und dann aber, wie geplant, den alten DC herabstufe und komplett aus der Domäne entferne? Geht dann die NTP Geschichte automatisch auf den neuen DC über oder steht die Domäne auf einmal ohne NTP Abgleich nach außen da?

[NilsK 2.930]

Moin,

 

was spricht dagegen, die Gruppenrichtlinien zu konfigurieren? Das dauert zehn Minuten.

 

Wichtig dann: Die Firewall muss NTP auch durchlassen ...

 

Gruß, Nils

[Küstennebel 0]

Moin,

 

was spricht dagegen, die Gruppenrichtlinien zu konfigurieren?

 

Mein Unvermögen  (Selbstkritik ist der erste Weg zur Besserung :) ). Ich administriere unsere Domäne halt nur nebenbei und muss mir alles anlesen. Deshalb gehe ich den Weg des geringsten Widerstandes. Und wenn sich bei Herabstufen des Alten alles von alleine regelt, bin ich happy und kann mich wieder meiner "normalen" Arbeit zuwenden.

 

... aber ich sehe, Ihr redet auch um den heißen Brei herum (nur Spaß), was passiert, wenn der alte DC (momentaner NTP Server) heruntergestuft und aus der Domäne entfernt wird.

 

Gruß

Jörg

[NilsK 2.930]

Moin,

 

sorry, ich kann dir nicht folgen. Deine Fragen sind beantwortet und dir ist eine Best-Practice-Empfehlung gegeben worden.

 

Alle DCs sind NTP-Server. Wenn du einen davon entfernst, sind die anderen immer noch NTP-Server. Die angegebenen Gruppenrichtlinien sorgen für eine dauerhafte Automatisierung der "Besonderheiten" für den PDC-Emulator. Einmal einrichten, nie wieder anfassen müssen.

 

Gruß, Nils

[zahni 550]

Dann holt er und die anderen Gräte sich  die Zeit vom anderen DC.

[Küstennebel 0]

Dann holt er und die anderen Gräte sich  die Zeit vom anderen DC.

 

Also muss ich doch nichts weiter tun, als hinterher (wenn der Alte nicht mehr in der Domäne ist) zu checken, dass der neue DC sich die Zeit vom richtigen externen NTP holt und fertig.

 

Na, ich werd's wohl einfach ausprobieren und hinterher mal abfragen, wer dann in der Domäne für die Zeit zuständig ist.

 

Die GPO Geschichte kann ich dann immer noch durchführen.

 

Danke und ruhige Woche ohne Rechnerabstürze

 

Jörg

[Sunny61 806]

Du kannst die GPO-Geschichte aber auch gleich machen und dich anschließend wieder hinlegen. Dann brauchst Du dieses Thema aber auch NIE wieder anzufassen.

[NorbertFe 2.027]

Also muss ich doch nichts weiter tun, als hinterher (wenn der Alte nicht mehr in der Domäne ist) zu checken, dass der neue DC sich die Zeit vom richtigen externen NTP holt und fertig.

Oder du implementierst JETZT das How To und fertig. :rolleyes:

 

Bye

Norbert

[Küstennebel 0]

Oder du implementierst JETZT das How To und fertig. :rolleyes:

 

Ich hab's getan...      

Die Gruppenrichtlinienverwaltung ist ja glücklicherweise seit Server 2003 viel übersichtlicher geworden. Da komm' sogar ich jetzt halbwegs intuitiv durch.

 

Die Abfrage "w32tm /query /configuration" brachte auf dem neuen DC den eingestellten externen NTP Server zurück. Auf den Client Rechnern (nach gpupdate) wurde der neue DC als Zeitquelle ausgegeben. Nur der alte 2003er DC gibt mir noch seine alte externe Zeitquelle an. Aber den nehmen wir ja eh bald aus der Domäne.

 

Vielleicht könnt Ihr mir aber noch bei zwei kleinen offenen Punkten helfen:

 

1 Es gibt ein (nicht verknüpftes) Gruppenrichtlinienobjekt "ODC Zeitserverkonfiguration". Was ist das?

 

2 Die Ereignisanzeige des neuen DC enthält eine Info:

"Der Zeitanbieter 'VMICTimeProvider' hat angegeben, dass die aktuelle Hardware- und Betriebssystemumgebung nicht unterstützt wird und beendet wurde. Dieses Verhalten wird für VMICTimeProvider in Nicht-HyperV-Gastumgebungen erwartet. Dies kann auch das vom aktuellen Anbieter erwartete Verhalten in der aktuellen Betriebsumgebung sein."  Google bringt dazu nichts Gescheites. Habt Ihr eine Idee?

 

Gruß

Jörg

[NilsK 2.930]

Moin,

 

1) woher sollen wir das wissen? Aber wenn das GPO nicht verknüpft ist und du nicht weißt, was es ist, kannst du es auch löschen. Wirkungslos ist es ja ohnehin.

2) Ist der Server eine VM, die von Hyper-V nach VMware übertragen wurde?

 

Gruß, Nils