Innerhalb einer Domäne ist es wichtig, dass alle Computer die gleiche Zeit verwenden. Wenn sich ein Client mit einer mehrere Minuten abweichenden Zeit mit einem Server verbinden möchte, wird die Verbindung aus Sicherheitsgründen abgelehnt. Standardmässig wird daher die Zeit der Clients automatisch mit einem Domänencontroller abgeglichen, bei mehreren Domänencontrollern mit dem PDC (primary domain controller).

Um herauszufinden, welcher DC im Moment der PDC ist, kann man an der Kommandozeile den Befehl Netdom query fsmo eingeben.

Neu kann man auch die Domänencontroller und auch den PDC virtualisieren. Standardmässig wird aber die Zeit eines Hyper-V-Gastes mit dem Hyper-V-Host (also dem physikalischen Server) synchronisiert. Man sollte also nicht den PDC mit einem Zeitserver im Internet synchronisieren und gleichzeitig mit dem Hyper-V-Host, sondern die Zeitsynchronisierung mit dem Host deaktivieren und den PDC konfigurieren, wie wenn er nicht virtualisiert wäre.

Nun muss man auf dem PDC die Kommandozeile als Administrator ausführen. Dafür bin ich der Anleitung auf diesem empfehlenswerten Blog gefolgt.

Alle w32 Einstellungen zurücksetzen
net stop w32time
w32tm /unregister
w32tm /unregister
w32tm /register
net start w32time

W32 konfigurieren, die gewünschten NTP Server zu verwenden. Wenn man mehrere eintragen möchte, muss man sie in Anführungszeichen setzen und mit einem Leerzeichen voneinander trennen.
w32tm /config /syncfromflags:manual /manualpeerlist:”0.ch.pool.ntp.org 1.ch.pool.ntp.org 2.ch.pool.ntp.org 3.ch.pool.ntp.org” /reliable:yes /update

Nachtrag:
Von Vorteil ergänzt man die manualpeerlist mit 0x8, was Probleme mit nicht Microsoft Zeitservern löst. 0x8 bedeutet: „send request as client mode“. Das Problem wird in diesem Microsoft Supportartikel beschrieben. Korrekt würde es also heissen:

w32tm /config /syncfromflags:manual /manualpeerlist:”0.ch.pool.ntp.org,0x8 1.ch.pool.ntp.org,0x8 2.ch.pool.ntp.org,0x8 3.ch.pool.ntp.org,0x8” /reliable:yes /update

Vielen Dank an Jorge (siehe unten bei den Kommentaren) für diesen Hinweis.

Die Konfiguration updaten und den Service neu starten.
w32tm /config /update
net stop w32time
net start w32time

Die Zeit mit den neu eingetragenen NTP Servern synchronisieren
w32tm /resync /rediscover

Die neue Konfiguration überprüfen
w32tm /query /status
w32tm /query /peers
w32tm /query /configuration

Wenn man auf der Firewall auch die ausgehenden Zugriffe detailliert regelt, muss man noch eine Firewallregel für ausgehenden NTP Verkehr vom PDC aus eintragen.