Thesdalos 0 Geschrieben 5. Mai 2022 Melden Teilen Geschrieben 5. Mai 2022 (bearbeitet) Hallo zusammen, ich hoffe ich hab das richtige Forum erwischt. Wir haben ein Problem mit Zeitsynchronisierung in einem kleineren Netzwerk. Grundlegend äußert sich so: - Clients führen keine automatische Zeitumstellung durch (Sommer/Winterzeit). Wir hatten hier Ursprünglich schon andere Probleme mit Clients die gar keine Zeit gezogen hatten und Stunden oder Minuten neben der korrekten Zeit waren. Die Ursprüngliche Konfiguration der Zeitserver war, wie bei fast allen unserer Umgebungen, gar keine. Also, die Standardkonfiguration von Microsoft in einer Active Directory. Aufgrund der Ursprünglichen Probleme haben wir via GPO die Clients nicht mehr über den DC Synchronisieren lassen sondern direkt einen Zeitserver hinterlegt. (Computer Configuration - System - Windows-Zeitdienst - Zeitanbieter -> Client aktivieren und Client konfigurieren. Genutzt wird der de.pool.ntp.org,0x8 mit defaultwerten.) Dadurch hatten alle Clients die richtige Zeit gezogen, waren aber noch in der falschen Zeitzone. Das ist schon etwas her, es ging aber darum, dass es hier wohl zwei Zeitzonen für West Europa gab, eine mit Zeitumstellung und eine ohne. Nun ist die "richtige" Zeitzone hinterlegt: W. Europe Standard Time. Vergebe ich mit tzutil diese Zeitzone stellt sich der Client auf die richtige Zeit. Nun kommt es aber trotzdem vor, dass der Client von sich aus wieder auf die Winterzeit zurückstellt. Das tritt auf sobald der Client ein paar Minuten ohne Verbindung zur Domäne läuft (bei Notebooks, wenn sie daheim genutzt werden). Wenn die Clients wieder in die Domäne kommen, greift ein kleines Script dass die Zeitzone kurz auf Pacific ändert und dann wieder auf W. Europe Standard Time. Damit wird die Zeit wieder korrigiert. Hat jemand eine Idee woran das liegen könnte? Zur Umgebung: Vom Internet aus gesehen: Firewall ohne Proxy die von innen nach außen nichts blockiert (allow any). 4 Server, 1x DC, 3x Terminalserver. Ca. 400 Clients, davon etwa 300 Mobilgeräte, alle Windows, drei typen von Geräten. Alle Server sind 2019, alle Clients Windows 10, die Umgebung ist zwei Jahre alt. Vielen Dank im voraus für Ideen oder Nachfragen bearbeitet 5. Mai 2022 von Thesdalos Zitieren Link zu diesem Kommentar
NorbertFe 2.085 Geschrieben 5. Mai 2022 Melden Teilen Geschrieben 5. Mai 2022 Also eigentlich habt ihr das Problem von Anfang an irgendwie selbst verursacht. ;) wie wärs hiermit? https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo Zitieren Link zu diesem Kommentar
NilsK 2.967 Geschrieben 5. Mai 2022 Melden Teilen Geschrieben 5. Mai 2022 Moin, öh ... was immer ihr da macht. Die allgemeine Empfehlung ist, es so zu machen, wie das AD es vorsieht. In aller Regel verschwinden dann auch Probleme, die an einer Eigenlösung liegen, obwohl das natürlich überhaupt nicht und auf keinen Fall sein kann. [Zeitsynchronisation der Domäne - w32time - Zeitserver per GPO - Gruppenrichtlinien] https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo Gruß, Nils Zitieren Link zu diesem Kommentar
Thesdalos 0 Geschrieben 5. Mai 2022 Autor Melden Teilen Geschrieben 5. Mai 2022 Hallo, ich weiss, das ist ja auch Domänen-Standardverhalten. Soweit ich mich erinnere ist das ja die Konfiguration wenn man die Zeitserver Thematik gar nicht erst anfasst - so läuft es auch in 95% unserer Umgebungen. Hier hatten wir aber die Eingangs erwähnten Probleme und haben deshalb erst eine Eigenlösung geschaffen. Zitieren Link zu diesem Kommentar
NorbertFe 2.085 Geschrieben 5. Mai 2022 Melden Teilen Geschrieben 5. Mai 2022 Nein, dem pdc Emulator muss man seinen Zeitwerten geben/konfigurieren, sonst läuft irgendwann gar nix mehr so richtig. Also out of the box ist das definitiv notwendig. Zitieren Link zu diesem Kommentar
MurdocX 957 Geschrieben 6. Mai 2022 Melden Teilen Geschrieben 6. Mai 2022 Am 5.5.2022 um 12:54 schrieb Thesdalos: Hier hatten wir aber die Eingangs erwähnten Probleme und haben deshalb erst eine Eigenlösung geschaffen. Und die eigene Lösung hats nicht gelöst, sondern verschlimmbessert. Wie oben schon erwähnt, sollte der PDC seine Zeit von außen bekommen. In einigen Misskonfigurationen bekommt er diese vom Hyper-V oder Esxi als Hardwarezeit vorgesetzt. Zitieren Link zu diesem Kommentar
Thesdalos 0 Geschrieben 7. Mai 2022 Autor Melden Teilen Geschrieben 7. Mai 2022 Am 5.5.2022 um 12:57 schrieb NorbertFe: Nein, dem pdc Emulator muss man seinen Zeitwerten geben/konfigurieren, sonst läuft irgendwann gar nix mehr so richtig. Also out of the box ist das definitiv notwendig. Der PDC Emulator hat per Default Config den NTP 0.time.windows.com und zieht sich dort die Zeit. Von dort aus ziehen die DCs die Zeit und von dort aus die Clients. Aktuell ziehen sich alle Clients die Zeit direkt vom NTP, das ist zwar unnötiger Traffic und damit nicht optimal, da es sich zum großteil aber um Mobile Clients handelt die auch außerhalb der Domäne genutzt werden, dürfte es für Zeitdifferenzen sogar förderlich sein, dass sie auch die gleiche Zeit ziehen wenn sie nicht gerade am DC hängen. Wenn meine Probleme nun fehlerhafte Kerberos-Authentification oder probleme bei GPO Verarbeitung wären, würde ich absolut zustimmen, dass die aktuelle Lösung das Problem nicht verbessert - da es mir jedoch um einen Teil der Clients geht die scheinbar keine korrekte Zeitsynchronisation machen, hatte ich eher gehofft es kann mir jemand etwas mehr Einsicht in das verhalten von Zeitsynchronisation bei Windows Clients geben. Im Endeffekt habe ich ganz Simpel ein paar Windows Clients die zwar eine korrekte Zeitzone und einen funktionierenden und erreichbaren NTP haben, die Zeit aber trotzdem falsch ziehen/anzeigen. Die Hyper-Vs habe extra nochmal gecheckt aber auch hier ist die Zeitsynchronisation deaktiviert, wie es sein sollte. Die Server haben auch alle die richtige Zeit. Zitieren Link zu diesem Kommentar
cj_berlin 1.339 Geschrieben 7. Mai 2022 Melden Teilen Geschrieben 7. Mai 2022 Moin, welche Zeitzone und welches Locale verteilt ihr an die Clients beim Betanken? Was passiert denn, wenn man einen Client stumpf von CD mit der richtigen Zeit- und Ländereinstellung installiert und dann in die Domäne aufnimmt? Damit wüßte man wenigstens, ob die problematische Konfiguration aus der Domäne (GPOs, Skripte usw.) kommt oder aus dem Deployment... Zitieren Link zu diesem Kommentar
NorbertFe 2.085 Geschrieben 7. Mai 2022 Melden Teilen Geschrieben 7. Mai 2022 vor 2 Stunden schrieb Thesdalos: Der PDC Emulator hat per Default Config den NTP 0.time.windows.com und zieht sich dort die Zeit. Stimmt, hab ich übersehen, weil ich es sowieso immer konfiguriere und die Firewall nur zu bestimmten timeservern kommt. Und das ist dann nicht der. :) Zitieren Link zu diesem Kommentar
cj_berlin 1.339 Geschrieben 7. Mai 2022 Melden Teilen Geschrieben 7. Mai 2022 vor 3 Stunden schrieb Thesdalos: Der PDC Emulator hat per Default Config den NTP 0.time.windows.com Das würde ich verneinen wollen. Solange ein Windows-Computer Mitglied einer Workgroup ist, hat er in den Tat diesen Server als NTP-Zeitquelle. Sobald er Domänen-Irgendwas ist, steht die Zeit auf NTDS5. Auch beim PDCe, wenn man es nicht konfiguriert. Und ja, ich habe nachgeschaut, habe genug Domänen in allen möglichen Versionen hier im Labor. Zitieren Link zu diesem Kommentar
NorbertFe 2.085 Geschrieben 7. Mai 2022 Melden Teilen Geschrieben 7. Mai 2022 Ok, ich hab nicht nachgeschaut, weil ich’s konfiguriere. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.