Konfigurieren von Zeiteinstellungen in einer Windows-Domäne

Innerhalb einer Domäne ist es wichtig, dass alle Computer die gleiche Zeit verwenden. Wenn sich ein Client mit einer mehrere Minuten abweichenden Zeit mit einem Server verbinden möchte, wird die Verbindung aus Sicherheitsgründen abgelehnt. Standardmässig wird daher die Zeit der Clients automatisch mit einem Domänencontroller abgeglichen, bei mehreren Domänencontrollern mit dem PDC (primary domain controller).

Um herauszufinden, welcher DC im Moment der PDC ist, kann man an der Kommandozeile den Befehl Netdom query fsmo eingeben.

image

Neu kann man auch die Domänencontroller und auch den PDC virtualisieren. Standardmässig wird aber die Zeit eines Hyper-V-Gastes mit dem Hyper-V-Host (also dem physikalischen Server) synchronisiert. Man sollte also nicht den PDC mit einem Zeitserver im Internet synchronisieren und gleichzeitig mit dem Hyper-V-Host, sondern die Zeitsynchronisierung mit dem Host deaktivieren und den PDC konfigurieren, wie wenn er nicht virtualisiert wäre.

image

Nun muss man auf dem PDC die Kommandozeile als Administrator ausführen. Dafür bin ich der Anleitung auf diesem empfehlenswerten Blog gefolgt.

Alle w32 Einstellungen zurücksetzen
net stop w32time
w32tm /unregister
w32tm /unregister
w32tm /register
net start w32time

image

W32 konfigurieren, die gewünschten NTP Server zu verwenden. Wenn man mehrere eintragen möchte, muss man sie in Anführungszeichen setzen und mit einem Leerzeichen voneinander trennen.
w32tm /config /syncfromflags:manual /manualpeerlist:”0.ch.pool.ntp.org 1.ch.pool.ntp.org 2.ch.pool.ntp.org 3.ch.pool.ntp.org” /reliable:yes /update

Die Konfiguration updaten und den Service neu starten.
w32tm /config /update
net stop w32time
net start w32time

image

Die Zeit mit den neu eingetragenen NTP Servern synchronisieren
w32tm /resync /rediscover

image

Die neue Konfiguration überprüfen
w32tm /query /status
w32tm /query /peers
w32tm /query /configuration

Wenn man auf der Firewall auch die ausgehenden Zugriffe detailliert regelt, muss man noch eine Firewallregel für ausgehenden NTP Verkehr vom PDC aus eintragen. 

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s