Wie kann ich 2x DC auf NTP-Server anbinden?

[kaineanung 14]

Hallo Leute,

 

ich habe hier mal wieder ein kleines Problemchen.

Wir haben jetzt eine nagelneue Domäne (migriert von 2003 auf 2016), NETLOGON-Batch abgeschafft (alles auf GPO) und sogar einen 2. DC in der Domäne (davor Jahrelang nur 1 DC als physikalische Maschine betrieben).

Jetzt ist alles besser und es wird noch besser... ;)

 

Jetzt hatten wir ein kleines Problem mit folgender Geschichte:

Einige User bekamen plötzlich keine Netzlaufwerke die wir per GPO erstellen. Ein Kollege (ich war noch nicht im Hause heute morgen) hat sich versucht auf den 2. DC-Server anzumelden und das wurde ebenfalls verweigert.

Nach dem Neustart des 1.DC haben die User nach einem gpupdate jedoch wieder Netzlaufwerke bekommen und somit war alles erst mal gut bis zu meiner Ankunft um sich des Problems genauer anzunehmen.

Nach ein wenig hin und her habe ich herausgefunden das sich der Anmeldedienst abgeschaltet hatte auf dem 2. DC mit der Begründung das es eine Zeitabweichung von mehr als 5000 ms zum 1. DC gab?!?

 

Warum jedoch alles wieder ging nachdem der 1. DC neu gestartet wurde kann ich nicht sagen. Aber darum geht es hier jetzt gar nicht sondern das Problem mit dem Zeitunterschied.

 

Wir haben ein NTP-Server in unserem Netzwerk stehen welcher mit einem Zeit-Serverpool im Internet verbunden ist. Z.B. nutzen wir ein 3rd-Party-Tool 'Nettime' um bei bestimmten Clients die Zeit mit diesem NTP-Server zu synchronisieren.

Manche sind Domänen-Clients, manche nicht und daher brauchen wir diesen NTP-server auch weiterhin.

 

Jetzt würde ich gerne meine beiden DCs an diesen Server anbinden damit ich kein weiteren Nettime-Port in der FW öffnen lassen muss.

Daher habe ich dazu 3 Fragen:

 

1. Wie binde ich die beiden DCs an den NTP-Server (der übrigens unter UBUNTU läuft)?

2. Werden sich die Domänen-Clients automatisch mit den DCs synchronisieren? Wenn nein: was muss ich tun? Wenn ja: Kann ich das irgendwo prüfen?

3. Alternativ kann ich auch den DC direkt mit dem Serverpool im Internet synchronisieren. Das würde mir zwar widerstreben aber wenn es begründet besser ist kann ich das hier ja mal anstossen. Dabei ist aber die Frage: warum ist es besser und binde ich dann beide DCs direkt an diese Zeitserver an oder nur einen und der andere wird an den ersteren angebunden was den Zeitserver angeht?

Also entweder

 

DC1 -> Internet-Zeitpool & DC2 -> Internet-Zeitpool

 

ODER

 

DC1 -> Internet-Zeitpool & DC2 -> DC1 ?

 

Im Moment ist ja so angedacht:

 

DC1 -> srv-ntp -> Internet-Zeitpool & DC2 -> srv-ntp -> Internet-Zeitpool

 

 

 

Ich danke euch shcon einmal im Voraus für eure Hilfe bzw. zumindest für das Lesen bis hierhin.

[Dukel 451]

DC's arbeiten als NTP Server. Daher brauchst du keinen extra NTP Server. Mittels Domänennamen antworten alle DC's auf NTP Anfragen.

[kaineanung 14]

 

vor 10 Minuten schrieb Dukel:

DC's arbeiten als NTP Server. Daher brauchst du keinen extra NTP Server.

Der DC ist selber aber an keinen externen Zeitserver angebunden und daher dient nur der lokale Zeitgeber als die einzig wahre Zeit. Die muss ja nicht unbedingt stimmen...

Ausserdem: DC2 hatte eine Abweichung weshalb er sein Dienst eingestellt hatte?! Also muss ich die irgendwie dazu bringen die exakt gleiche Zeit zu haben. Am besten aber unabhängig voneinander da wenn einer Ausfällt der Andere trotzdem die korrekte Zeit inne hat.

 

vor 10 Minuten schrieb Dukel:

Mittels Domänennamen antworten alle DC's auf NTP Anfragen.

Das verstehe ich leider nicht?

 

Übrigens: was ich vergessen hatte zu erwähnen: beide DCs sind unter VMWare-Server auf (unterschiedlicher Hardware) virtualisiert.

 

bearbeitet 17. Februar 2020 von kaineanung

[Nobbyaushb 1.464]

Siehe hier:

https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/

 

DC´s brauchen eine gesicherte Zeitquelle...

[Dukel 451]

Dann musst du deinem DCs so konfigurieren das einer (der mit der PDC Emulator Rolle) mit dem Internet synchronisiert wird.

Dann können die anderen DCs mit diesem und die Windows Client mit dem DCs synchronieren.

 

Andere Clients kannst du die DCs als Zeitserver mitgeben. Hier kannst du auch z.B. den Domänennamen angeben statt die DCs einzeln und es antwortet immer einer der DCs.

[Nobbyaushb 1.464]

Ergänzend: Domänen-Member holen sich ihre Zeit immer von einem DC, sofern der korrekt antwortet

[kaineanung 14]

vor 1 Stunde schrieb Dukel:

Dann musst du deinem DCs so konfigurieren das einer (der mit der PDC Emulator Rolle) mit dem Internet synchronisiert wird. 

Ja würde das statt mit dem Internet direkt mit dem bereits bestehenden NTP-Server im Netzwerk funktionieren?

Und wie mache ich das? Gibt es da irgendwo eine schrittweise Anleitung?

 

vor 1 Stunde schrieb Dukel:

Andere Clients kannst du die DCs als Zeitserver mitgeben. Hier kannst du auch z.B. den Domänennamen angeben statt die DCs einzeln und es antwortet immer einer der DCs. 

Meinst du anderen Clients ausserhalb der Domäne?

Weil die Clients innerhalb der Domäne sind, wenn ich mich nciht täusche, bereits angebunden?

Ich habe in der CMD

w32tm /query /source

benutzt und bekomme, auf den 3-4 Clients auf denen ich das getestet habe, immer den PDC-Server als Quelle. Somit muss ich bei den Domänen-Clients ja nichts mehr machen, richtig?

Was mich aber wundert ist:

Der 2. DC meldet mir ebenfalls das seine Zeitquelle der 1.DC ist (mit der PDC-Rolle). Wie kann es sein das im Ereignisprotokoll steht das es Zeitabweichungen zwischen DC1 und DC2 gab?

Ich habe 2 Warnungen im Ereiignisprotokoll:

 

1.

Meldung: Der Zeitdienst wird nicht mehr als Zeitquelle angekündigt, da die lokale Systemuhr nicht synchronisiert ist.

Ereignis-ID: 142

Quelle: Time-Service

 

2.

Meldung: Der Zeitdienst hat eine Zeitdifferenz von mehr als 5000 ms auf 900 Sekunden festgestellt. Die Zeitdifferenz wurde möglicherweise durch die Synchronisation mit einer ungenauen Zeitquelle oder durch schlechte Netzwerkbedingungen verursacht. Von nun an wird der Zeitdienst nicht mehr synchronisiert, die Zeit keinem weiteren Client mehr zur Verfügung gestellt und die Systemuhr nicht mehr synchronisiert. Sobald ein gültiger Zeitstempel von einem Zeitdienstanbieter empfangen wird, wird der Zeitdienst sich selbst korrigieren.

Ereignis-ID: 50

Quelle: Time-Service

 

Das war der eigentliche Grund um sich nun Gedanken zu machen beide Server an eine Zeitquelle zu binden. Da aber DC2 an DC1 angebunden zu sein scheint frage ich mich: was läuft dann schief?

 

Dennoch würde ich Grundsätzlich gerne Sicherstellen das DC1 sich irgendwo die korrekte Zeit holt. Da wir bereits einen Port in der FW öffnen liessen, würde ich gerne diesen bereits eingerichteten Server als Zeitquelle für DC1 nehmen... (DC2 wäre mir auch lieb aber ob das geht bin ich mir nicht sicher).

 

vor 59 Minuten schrieb Nobbyaushb:

Ergänzend: Domänen-Member holen sich ihre Zeit immer von einem DC, sofern der korrekt antwortet

Ok, das ist das was ich mit w32tm /query /source geprüft hatte und es scheint so zu stimmen. Nur warum ich dann die o.g. Meldung im Ereignisprotokoll bekommen habe kann ich mir nicht erklären?

Zeitunterschied zwischen DC1 und DC2 obwohl DC2 an DC1 angebunden ist was die Zeit angeht / synchronisiert.

 

 

Nachtrag:

ich bin nun ein paar Stunden zurück gegangen im Ereignisprotokoll des 2. DCs und habe was komisches gefunden von heute Nacht was erstmalig aufgetreten ist:

 

>>Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "srv-dc1$" empfangen. Der verwendete Zielname war HTTP/srv-dc1.FIRMA.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (FIRMA.LOCAL) von der Clientdomäne (FIRMA.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.<<

 

Ob das mit meinem Fehler von heute Morgen zusammenhängt? Die o.g. Warnungen sind gegen 8 Uhr aufgetreten. Diese Fehlermeldung hier aber bereits um 3:14 Uhr.

bearbeitet 17. Februar 2020 von kaineanung

[tesso 375]

Wie sind die Zeitsynchronsationsdienste der VM konfiguriert?

 

https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/

 

[Dukel 451]

4 minutes ago, kaineanung said:

Ja würde das statt mit dem Internet direkt mit dem bereits bestehenden NTP-Server im Netzwerk funktionieren?

Und wie mache ich das? Gibt es da irgendwo eine schrittweise Anleitung?

Ja das geht auch mit einem internen NTP Server, welcher aber nicht nötig ist. Mit den DCs hast du gleich eine Verfügbarkeit des Zeitdienstes.

Siehe Link von Nobbyaushb.

 

[kaineanung 14]

@Dukel

 

Ich frage deshalb weil es mir missfällt ständig unseren FW-Dienstleister zu bitten diesen oder jenen Port zu öffnen und diesen und jenen Port wieder zu schliessen.

ABER; wenn ihr sagt daß man den PDC auch als Zeitgeber für Nicht-Domänen-Clients nutzen kann, dann habe ich tatsächlich keine Argumente dies nicht nur auf den PDC zu stellen.

Das Einzige was mir noch einfallen würde, und was der Grund ist daß wir auf Linux-DNS und DHCP gewechselt sind: benötigt man CALs für den Zeitserver? Wenn ja: das ist der Grund warum ich dann doch auf diesem bestehenden Zeitserver im LAN setzen würde.

 

vor 5 Minuten schrieb tesso:

Wie sind die Zeitsynchronsationsdienste der VM konfiguriert?

Meinst du die der VM-Ware-Server / Hosts?

 

Wie ich bereits gesagt habe sind beide DCs auf verschiedenen WMWare-Maschinen virtualisiert.

1.DC (mit den FSMO Rollen) ist auf einem ESX-Verbund an einer SAN mit VMWare-Essentials-Kit virtualisiert und dort bezieht sich der ESX-Server die Zeit von unserem internen NTP-Server.

Der 2. DC ist auf einer 'normalen' (kostenfreien) Maschine virtualisiert (ESXi vSphere 6.7.0) und auch dieser ist auf den NTP-Server angebunden.

Somit haben beide VMWare-Server diesen einen NTP-Server im LAN als Zeitgeber.

 

[tesso 375]

Wie sind die Zeitsychonisationen der VMs konfiguriert? Bei den VM Tools (heisst das so?)

[Dukel 451]

Das kann natürlich sein, dass dann CALs benötigt werden.

 

In dem Fall bindest du den PDC-Emulator an den internen NTP Server, alle Sonstigen Clients und die ESX Hosts.

Alle Windows Clients und Windows Server in der Domäne holen sich von den DCs die Zeit. Das ist der Default, wenn nichts ver-konfiguriert wurde.

Die Zeitsynchronisierung der Windows VMs deaktivierst du im ESX.

[zahni 550]

Und wenn sich  die ESXi-Server beim gleichen NTP-Server die Zeit holen, muss man da i.d.R. bei den VMs nichts abschalten.

Habe ich hier noch nie gemacht. Bei uns hängt schon ewig so ein Teil im Netz: https://www.gude.info/de/funkuhrsysteme/dcf77-zeitserver/emc-professional-3011.html

Von dort holen sich der PDC-Emulator und alle  ESX-Server die Uhrzeit.

[tesso 375]

Ich deaktiviere das immer, da es die seltsamsten Effekte gibt.

[NilsK 2.930]

Moin,

 

sollte man auch. Sogar VMware weist darauf hin, dass es da Abweichungen vom "sollte eigentlich" gibt.

 

[Zeitsynchronisation in virtuellen Umgebungen | faq-o-matic.net]
https://www.faq-o-matic.net/2012/05/16/zeitsynchronisation-in-virtuellen-umgebungen/

 

(OK, ist fast acht Jahre alt ... keine Gewähr, dass die das immer noch so sagen. Aber nachdem sowohl aus der Hyper-V- als auch aus der VMware-Welt jahrelang behauptet wurde, das sei kein Problem, habe ich in den letzten zwei, drei Jahren ebenfalls aus beiden Welten das Eingeständnis gehört, dass es eben doch eins ist.)

 

Gruß, Nils