W32Time in einer Windows 2003 AD Umgebung

[Gadget 37]

Hallo Boardianer,

 

mir sind jetzt schon wirklich einige Beiträge über W32Timeuntergekommen und wollte hier mal ein paar Grundsätze klären und meinen Lösungsweg aufzeigen, da es bei 2k3 doch immer noch einige Probleme mit der Zeitsynchronisation gibt.

 

Wiso Zeitsynchronisation?

 

Die verschiedensten Vorgänge am Server werden mit einem Zeitstempel versehen Eventlog-Einträge, E-Mail´s etc. dabei sollte jedem sofort klar werden wie wichtig die korrekte Zeit wirklich sein kann, für den Admin und den Anwender.

hier gibts mehr dazu => http://www.msexchangefaq.de/verschiedenes/timesync.htm

 

Muss die Zeit stimmen?

Technische Vorraussetzungen für die richtige Uhrzeit im AD gibts es imho nicht wichtig ist es nur, dass alle Server + Workstation die gleiche Zeit haben, ob diese nun richtig oder falsch ist.

Der W32-Zeitdienst synchronisiert die Clientuhren von Windows Server 2003-Computern mit den Domänencontrollern in einer Domäne. Dies ist für die korrekte Funktion des Kerberos-Authentifizierungsprotokolls Version 5 und von NTLMv2 erforderlich. Die einwandfreie Funktion einer Reihe von Komponenten der Windows Server-Produktfamilie setzt die genaue und synchronisierte Uhrzeit voraus. Wenn die Uhren auf den Clients nicht synchronisiert sind, kann es passieren, dass das Kerberos v5-Authentifizierungsprotokoll Anmeldungsversuche fälschlicherweise als Eindringungsversuche interpretiert und Benutzern den Zugriff verweigert.

 

Aus oben genannten gründen ist aber natürlich trotzdem Wünschenswert eine möglichst exakte Zeit zu haben.

 

Wer Sync't mit wem?

Alle Memberserver und Workstations synchronisieren mit dem DC der die Rolle des PDC-Emulators innehat.

Hier gibts mehr info unter dem Punkt "Time Hierarchy" => http://www.windowsnetworking.com/articles_tutorials/Configuring-Windows-Time-Service.html

 

Wie Synchronisiere ich?

Normalweise würde man per w32tm ein paar Zeitserver angeben mit denen sich unser Server synchronisieren soll, dies hat sich aber in der Praxis seit 2k3 als sehr fehleranfällige Konfiguration herausgestellt. Grizzly hat in diesem Thread http://www.mcseboard.de/showthread.php?t=45381 folgendes dazu geschrieben =>

Das ist seit 2003 ein riesiges Problem geworden der Zeitdienst, ich kenne kaum eine Domäne, die nicht voll mit diesen Fehlern ist.

Traurig, aber wahr. Es gibt einen Pre-SP1 Patch, der die Fehler auf wenige Meldungen reduziert und die Synchrionisation dann anscheindend trotz der Fehlermeldung dann halbwegs anständig läuft: http://support.microsoft.com/default.aspx?scid=kb;en-us;830092

grizzly999

 

Trotz des genannten Patches habe ich es unter 2k3 bei den meisten Servern nicht zum laufen bekommen.

 

Deswegen halte ich den Umweg über ein Drittherstellertool als besten Lösungsweg. =>

1. Konfiugrations des PDC-Emulators zur Verwendung der internen Hardwareuhr (CMOS-Clock) => http://support.microsoft.com/kb/816042#3 Die erscheinende Meldung im Eventlog soll uns nicht weiter stören, da wir ja über unser Tool synchronisieren.

 

2. Installation u. Konfiguration von Symmtime 2005 zur Synchronisation mit beiden NTP-Servern PTB Braunschweib: ptbtime1.ptb.de o. ptbtime2.ptb.de http://www.ntp-systems.com/symmtime.asp

 

3. Test der Konfig über w32time /monitor

 

Gruß Kohn

[Gadget 37]

Links zum Thema:

PTB.de: Zeitsynchronisation von Rechnern

Microsoft.com: Windows Time Service Tools and Settings

 

Symmetricom Domain Time II LMCheck: Check your network´s time Synchronization!

[Ald-Edv 10]

Hi habe auch noch eine Frage dazu. Wenn ich am Server die Zeit synce mit dem Internet, muss ich dann noch etwas an den Clients einstellen? Bisher ist es so, dass die Meldung kommt: dem Client fehlt das Recht die Uhrzeit zu ändern. Wie kann ich das am besten behenben? Mit einer GPO?

[mawihst 10]

Hi habe auch noch eine Frage dazu. Wenn ich am Server die Zeit synce mit dem Internet, muss ich dann noch etwas an den Clients einstellen? Bisher ist es so, dass die Meldung kommt: dem Client fehlt das Recht die Uhrzeit zu ändern. Wie kann ich das am besten behenben? Mit einer GPO?

 

Hallo!

Wenn du eine Domäne hast dann "holen" sich die Clients die Zeit Automatisch-sprich an den Clients musst du nichts mehr einstellen...

 

Siehe Hier http://www.mcseboard.de/showthread.php?t=89495&highlight=client+zeit

[lefg 276]

Bisher ist es so, dass die Meldung kommt: dem Client fehlt das Recht die Uhrzeit zu ändern. Wie kann ich das am besten behenben? Mit einer GPO?

Lautet die Meldung tasächlich auf den Client oder auf dem Benutzer?

 

Falls der Benetzer das Recht erhalten soll, muss es ihm zugwiesen werden per Richtlinie.

[dippas 10]

Ich habe da vielleicht auch noch einen kleinen Tipp, den man ja mal ausprobieren kann.

 

Im W2k-Umfeld erscheint ein W32Time-Fehler auf dem DC natürlich auch. Klar, denn W2k hat ja keine Konfiguration nach der Installation, die ihm sagt, wer denn nun Zeitserver ist. Dummerweise nimmt er dann auch nicht sich selbst.

 

Aber:

 

Im Eventlog steht bei diesem Fehler genau drin, was man zu tun hat:

 

net time \\computername /setsntp:Zeitserver-Name

 

Diesen Befehl auf einem DC ausgeführt:

 

net time \\dc-name /setsntp:dc-name

 

bewirkt, dass er sich selbst, als Zeitserver für die Domäne nimmt. Damit ist die Uhr unten links das Maß der Dinge in der Domain.

 

Natürlich kann man auch z.B. den Zeitserver aus Braunschweig nehmen, was ich zumindest für DE empfehlen würde, denn der im W2k3-Umfeld gebräuchliche (weil voreingestellt) Server time.windows.com ist vermutlich nicht die beste Wahl.

 

Ach ja, der Befehl klappt auch unter W2k3, obwohl das nicht der wirklich empfohlene Weg ist ;)

 

grüße

 

dippas

[Das Urmel 10]

Merkwürdig ;)

Weder als DC noch als Memberserver macht der W2K3 hier Ärger.

Die vor SP1 unsinnige Meldung ID35 glaube ich? mal ausser acht gelassen.

[arni64 10]

Hallo Kohn,

ich habe eine Domain mit 3 DC. Der PDC hat Windows2003 R2. Aus

Sicherheitsgründen möchte ich den Zeitabgleich über eine interne Funkuhr

vornehmen. Die Funkuhr ist am PDC und funktioniert.

Den PDC habe ich über w32tm /config /syncfromflags:domhier /reliable:yes

/update konfiguriert. Danach erhalte ich eine Ereignis ID 12 im Protokoll.

Das ist soweit auch in Ordnung. Nach 24 Stunden erhalte ich aber einen Fehler

mit der Ereignis ID 36 die besagt, dass der PDC keinen Zeitdienstanbieter

mit einem gültigen Zeitstempel finden kann und demzufolge auch keine Zeit

mehr zur Verfügung stellt! Was habe ich hier vergessen?

In der Registry habe ich unter w32tm ... Parameter: den Typ NT5DS

eingetragen, das Announcedflag ist 5.

Kannst Du helfen??

Holen sich wirklich alle Clients und Memberserver die Zeit vom PDC oder holen sich die Clients auch die Zeit vom Anmeldeserver?

[Ald-Edv 10]

Hallo, wie klappt es denn am besten? Variante1:

 

w32tm /config /syncfromflags:manual /manualpeerlist:xx.xx.xx.xx

w32tm /config /update

w32tm /resync

 

Variante2:

 

net time /setsntp:time.windows.com

 

würde mich sehr interessieren wer was und warum im Einsatz hat, vielen Dank,

 

Grüsse!!

[dippas 10]

zur Verwendung des net time /xyz unter Windows 2000 findest Du hier sicherlich einige hilfreiche Informationen:

 

netigator.de -

 

wenn Du Windows 2003 betreibst, wirst Du hier am besten glücklich:

 

Konfigurieren eines autorisierenden Zeitservers in Windows Server 2003

 

grüsse

 

dippas