Jump to content

Zeitsynchronisation des PDC - verbastelte Default Domain Controller Policy


Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

und zwar bin ich dabei 2x Server 2012 R2 Domänen-Controller gegen zwei frische Server 2019 DC's abzulösen. Aktuell stolpere ich allerdings über ein Problem bei der Zeitsynchronisation.

Das alte Systemhaus hatte "leider" an der Default Domain Controller Policy Hand angelegt und folgende Einstellungen getroffen die jetzt auf alle in Betrieb befindlichen DC's wirken. (2x alte Server 2012R2 und 2x neue Server 2019):

ddcp.thumb.jpg.4a7cebf5b23c82dfa717521bb20af203.jpg

 

Die IPs sind unsere alten VPN Gateways (inkl. NTP) die demnächst Offline gehen. Also muss hier eine andere Quelle eingetragen werden. Das soll unser Internetgateway (Firewall) werden.

 

Da ich mir nicht sicher war, ob ich die EInstellungen in der Default Domain Controller Policy einfach wieder auf "nicht konfiguriert" stellen kann, habe ich erstmal die IP des Internetgateways eingetragen.

Soweit so gut.

 

Leider zeigt mir DCDIAG nach 2 Tagen des "DCPROMO" auf meinem neuen DC01 (besitzt alle FSMO Rollen):

 

      Starting test: SystemLog
         Warnung. Ereignis-ID: 0x0000008E
            Erstellungszeitpunkt: 04/29/2021   11:42:44
            Ereigniszeichenfolge:
            Der Zeitdienst wird nicht mehr als Zeitquelle angekündigt, da die lokale Systemuhr nicht synchronisiert ist.
         Warnung. Ereignis-ID: 0x00000032
            Erstellungszeitpunkt: 04/29/2021   11:42:44
            Ereigniszeichenfolge:
            Der Zeitdienst hat eine Zeitdifferenz von mehr als 128 ms auf 90 Sekunden festgestellt. Die Zeitdifferenz wurde möglicherweise durch die Synchronisation mit einer ungenauen Zeitquelle oder durch schlechte Netzwerkbedingungen verursacht. Von nun an wird der Zeitdienst nicht mehr synchronisiert, die Zeit keinem weiteren Client mehr zur Verfügung gestellt und die Systemuhr nicht mehr synchronisiert. Sobald ein gültiger Zeitstempel von einem Zeitdienstanbieter empfangen wird, wird der Zeitdienst sich selbst korrigieren.
         Warnung. Ereignis-ID: 0x000003FC

 

Nach einem:

w32tm /resync

Verschwindet vorest die Fehlermeldung.

 

Dafür bekomme ich auf einem der alten DC's, nach dem ich dort ebenfalls den Befehl ausgeführt habe, folgenden Fehler im Eventlog:
 

EventID: 142

Der Zeitdienst wird nicht mehr als Zeitquelle angekündigt, da die lokale Systemuhr nicht synchronisiert ist.

 

Nun ist es doch so, dass nur der PDC mit der externen Zeitquelle synchronisiert werden sollte. Dadurch aber die Zeiteinstellung in der Default Domain Controller Policy konfiguriert ist, erhalten immer alle DCs die externe Quelle.

 

Wie kann ich die Zeitserver jetzt wieder sauber einstellen?

Bzw. kann ich gefahrlos die Default Domain Controller Policy zurückbauen?

 

Wenn ich eine GPO verwende dann lieber nach dem Bsp. von Mark: https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo

Oder manuell:

w32tm /config /syncfromflags:manual /manualpeerlist:"<IP Gateway>" /update

 

Link zu diesem Kommentar
  • Beste Lösung
vor 4 Minuten schrieb michelo82:

Die IPs sind unsere alten VPN Gateways (inkl. NTP) die demnächst Offline gehen. Also muss hier eine andere Quelle eingetragen werden. Das soll unser Internetgateway (Firewall) werden.

 

Also eigentlich macht man das einfach so:

https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo

 

Dann klappts auch mit neuen DCs usw. Kurz das Grundsätzliche. Nur der PDC Emulator holt die Zeit von "extern" wo auch immer und alle DCs holen sich die Zeit vom PDC Emulator und alle anderen dann von ihren Anmeldeservern.

Link zu diesem Kommentar
vor 10 Minuten schrieb michelo82:

Die Einstellungen in der Default Domain Controller Policy einfach wieder "zurücknehmen" klappt?

 

Ja warum denn nicht?

vor 10 Minuten schrieb michelo82:

Bei manchen Einstellunge bleiben die ja in der Registry vorhanden und werden nicht "zurückgenommen".

 

Aber doch nicht bei ADM/Registry Teilen.

vor 7 Minuten schrieb zahni:

Notfalls löscht man die GPO und prüft nach der Übernahme der Selbigen, was in der Registry steht. 

Ne die würde man "notfalls" resetten.

Link zu diesem Kommentar

Ich habe die DDCP Einstellungen bezüglich der Zeit auf "nicht konfiguriert" gesetzt und die neue GPO wie im Link beschrieben aktiviert.

Auf dem PDC ist die Einstellung korrekt:
 

C:\Windows\system32>w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 3 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -23 (119.209ns pro Tick)
Stammverzögerung: 0.0134410s
Stammabweichung: 7.7806677s
Referenz-ID: 0xC0A86424 (Quell-IP:  192.168.100.xx)
Letzte erfolgr. Synchronisierungszeit: 29.04.2021 15:02:40
Quelle: gateway01.meinefirma.de
Abrufintervall: 6 (64s)


C:\Windows\system32>w32tm /query /source
gateway01.meinefirma.de

 

Einer der alten DCs zeigt es auch korrekt:


 

C:\Windows\system32>w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 4 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -6 (15.625ms pro Tick)
Stammverzögerung: 0.0447388s
Stammabweichung: 7.8287715s
Referenz-ID: 0xC0A86411 (Quell-IP:  192.168.100.xx)
Letzte erfolgr. Synchronisierungszeit: 29.04.2021 15:00:01
Quelle: DC01.meinefirma.de
Abrufintervall: 10 (1024s)


C:\Windows\system32>w32tm /query /source
DC01.meinefirma.de

 

Nur die beiden anderen "hängen" auch nach einem gpupdate und Neustart des Zeitdienst auf der alten Einstellung.

Link zu diesem Kommentar
vor 1 Minute schrieb michelo82:

Nur die beiden anderen "hängen" auch nach einem gpupdate und Neustart des Zeitdienst auf der alten Einstellung.

Ja, du wirst dort vermutlich etwas "nachhelfen" müssen. Bei "verbastelten" Umgebungen ist der schnellste Weg:

net Stop W32time
W32tm.exe /unregister
W32tm.exe /register
net Start W32time

 

Wenns zuviele DCs dafür sind, müßte man genau vergleichen, welche deiner Werte dazu führen, dass die Dinger meinen nicht zurückzuschwenken. :) 

Link zu diesem Kommentar
vor 10 Stunden schrieb zahni:

Zeitserver-Konfiguration nur und ausschließlich (manuell) auf dem PDC-Emulator erfolgen.

Manuell macht man da gar nichts... GPP Registry, Zielgruppenadressierung auf die Computerrolle, und der "aktuelle" PDCe bekommt die externe Zeitquelle.

Oder wenn man's mit mehreren GPOs machen möchte, WMI-Filter, Win32_Computersystem.DomainRole (4=DC, 5=PDC). Damit sind dann auch FSMO-Transfers kein Thema mehr.

Link zu diesem Kommentar
vor 11 Stunden schrieb daabm:

Manuell macht man da gar nichts... GPP Registry, Zielgruppenadressierung auf die Computerrolle, und der "aktuelle" PDCe bekommt die externe Zeitquelle.

Oder wenn man's mit mehreren GPOs machen möchte, WMI-Filter, Win32_Computersystem.DomainRole (4=DC, 5=PDC). Damit sind dann auch FSMO-Transfers kein Thema mehr.

Das ist Geschmackssache. Als Admin sollte man schon wissen, wer sein PDC-Emulator ist. Normalerweise wird das auch nicht täglich geändert.

Aber jeder so wie er es mag. Wir haben hier definitiv andere Probleme ;-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...