Migration NTP

[soulseeker 13]

Hi zusammen,

 

ich habe heute einen neuen (2016)-DC als vm installiert und diesem alle FSMO-Rollen übertragen. Anschließend habe ich den Zeitserver eingerichtet mit

 

w32tm /config /manualpeerlist:“0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org“ /syncfromflags:manual /reliable:yes /update

 

Der neue DC hat den neuen Zeitserver auch, aber die anderen DCs benutzen immer noch den "alten" 2008-PDC, der aber keiner mehr ist. 

 

Wie lange dauert das, bis sich das "herumspricht"? Eigentlich bin ich davon ausgegangen, dass sich das zügig repliziert. 

 

Danke und Grüße

Marcel
 

[testperson 1.728]

Hi,

 

ich würde es einfach so machen: https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/

 

Gruß

Jan

[zahni 558]

Die  "alten" DCs sind falsch konfiguriert. Es muss nur  der DC mit der Rolle PDC-Emulator extern synchronisiert werden.

Alle (!) anderen Geräte werden auf  nt5ds konfiguriert. Siehe Link oben.

[NorbertFe 2.089]

Und wenn man das mal händisch "miskonfiguriert" hat, dann muß man es entweder händisch wieder auf Standard zurückbauen, oder per GPO auch den Fall einplanen. :)

[soulseeker 13]

Ich gehe auch mal davon aus, dass hier irgendwas manuell zerfummelt wurde. Ich gehe dann mal den Artikel mit der GPO durch, vielen Dank euch :)

[soulseeker 13]

Ok, jetzt habe ich aber doch noch zwei Fragen :) ...

 

Ich habe die GPO für den PDC aktiviert, hat funktioniert. Dann habe ich die Client-GPO auf einem Test-Client aktiviert, nach einem Neustart fragt dieser dann auch meinen PDC. Aber warum muss in dieser GPO time.windows.com stehen?

 

Wenn ich diese Einstellung in die Default Domain Policy packe, dann wird diese doch auch wieder auf den PDC ausgerollt ... soll ich die PDC-GPO dann "erzwingen", damit diese last writer bleibt?

[NorbertFe 2.089]

Muss nicht. Kannst auch Pusteblume reinschreiben.

[tesso 375]

So was kommt nicht in die DDP. Bau eine eigene Richtlinie und achte auf die Reihenfolge der Anwendung.

 

time.windows.com ist egal, es kommt auf die Einstellung ntds5 an.

[NorbertFe 2.089]

Nein du sollst sie nicht erzwingen und nein der pdc Emulator übernimmt nur seine Einstellungen. Probiere aus. Und man konfiguriert nix in der default Domain policy!

[testperson 1.728]

vor 2 Minuten schrieb NorbertFe:

Und man konfiguriert nix in der default Domain policy!

Doch, die Kennwortrichtlinie. :-P

*duckundweg*

[tesso 375]

Schade, weggeduckt, sonst Kopfnuss.

[NorbertFe 2.089]

Die steht ja schon drin :) aber ja, manchmal muss man eben auch drastisch formulieren.

[soulseeker 13]

ok, in der Anleitung stand halt evtl dd-Richtlinie verwenden. Ich habe ja ohnehin schon eine eigene gebaut, die verknüpfen ich dann mit meinen Clients und Server-Ous und alle sind froh und synchron. 

 

Müssen die anderen DCs denn diese Richtlinie auch bekommen? 

 

Danke nochmals! 

bearbeitet 12. Juli 2018 von soulseeker

[tesso 375]

Überleg doch mal selbst.

Stell dir vor, du verschiebst den PDC-Emulator auf einen anderen DC? Was passiert? Was sollte passieren? Dann kommst du drauf.

[NorbertFe 2.089]

vor 12 Minuten schrieb soulseeker:

Müssen die anderen DCs denn diese Richtlinie auch bekommen? 

Welche?

vor 14 Minuten schrieb soulseeker:

Ich habe ja ohnehin schon eine eigene gebaut, die verknüpfen ich dann mit meinen Clients und Server-Ous und alle sind froh und synchron. 

Verknüpfe sie doch einfach ganz oben auf domänenebene. Spart Verlinkungen und kein Mitglied der Domäne kann sich anders verhalten.