Es stellt sich die Frage, wie die Uhrzeit in einer Windows Domäne optimal synchronisiert wird. Das Abgleichen per Login-Script mit dem Befehl "net time \servername /set /yes" würde zwar nach wie vor funktionieren, allerdings sind hierfür besondere Systemrechte erforderlich, die mittlerweile nicht mehr jeder Benutzer besitzt. Die alte Methode hat also ausgedient. In diesem Artikel beschäftigen wir uns mit der Zeitsynchronisation über Gruppenrichtlinie bzw. über die moderneren w32tm und w32time Befehle.
Tipp:
Wenn auf einem Client oder Server bereits Zeit-Einstellungen getroffen wurden, sind Einstellungen unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS vorhanden. Diese lokalen Einstellungen, haben Vorrang gegenüber jenen welche über eine GPO verteilt werden und unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Services\NTDS gesetzt werden. Wenn also bereits eine lokale Konfiguration erfolgte, müssen die Zeiteinstellungen somit zuvor einmal gelöscht werden damit die Einstellungen per GPO greifen.
Optional: Zuvoriges löschen der bestehenden Zeitkonfiguration:
net stop w32time
w32tm /unregister
# System neu starten
w32tm /register
# System neu starten
Am PDC Server der die Zeit anbietet: ´´´ w32tm /config /syncfromflags:manual /manualpeerlist:ptbtime1.ptb.de /update /reliable:YES ´´´
Am Client und an Servern welche die Zeit vom PDC holen sollen:
w32tm /config /syncfromflags:domhier /update
Am Server/Client: zur Neusynchronisierung:
net stop w32time && net start w32time
w32tm /resync
Am Server/Client: zum Check einer Zeitdifferenz:
w32tm /monitor /computers:localhost
w32tm /query /configuration /verbose
Statt localhost kann man mit einem Computernamen im Netzwerk die Zeitdifferenz zum lokalen Computer sehen.
Info: Der Zeitserver in der Domain ist der PDC Betriebsmaster (siehe netdom /query fsmo)
Computerkonfiguration > Administrative Vorlagen > System > Windows Zeitdienst > Globale Konfigurationseinstellungen:
AnsageFlag/AnnounceFlag = 5
Erklärung: Server ist authoritiv für Zeit
Computerkonfiguration > Administrative Vorlagen > System > Windows Zeitdienst >Zeitanbieter > NTP Client Konfigurieren:
NTP-Server: 1.de.pool.ntp.org,0x1
Typ=NTP
Erklärung: 0x1 ist Special Time Interval
Computerkonfiguration > Administrative Vorlagen > System > Windows Zeitdienst >Zeitanbieter > NTP Client aktivieren:
aktiviert
Tipp:
SELECT * FROM Win32_OperatingSystem WHERE ProductType="2"
SELECT * FROM Win32_ComputerSystem WHERE Name like "%MyPDCSrv%
Computerkonfiguration > Administrative Vorlagen > System > Windows Zeitdienst >Zeitanbieter > NTP Client Konfigurieren:
NTP-Server: internerDC oder auch 1.de.pool.ntp.org,0x1
Typ=NT5DS
Erklärung: NT5DS heißt, zuerst über Domänen Hirarchie, sonst über den TimeServer per NTP.
Computerkonfiguration > Administrative Vorlagen > System > Windows Zeitdienst >Zeitanbieter > NTP Client aktivieren:
aktiviert
Windows Firewall Ausnahme für Port UDP/123 nicht vergessen. Der DC muss NTP zu zu seinen Quell-NTP Servern machen dürfen.
w32tm /query /configuration
- Zeigt NTP Konfigurationw32tm /query /peers
- Zeigt eine Liste der NTP Server mit deren Statusw32tm /resync /nowait
- Erzwingt die Synchronisierungw32tm /query /source
- Zeigt die Zeitquellew32tm /query /status
- Zeigt den Dienststatus. Verwenden um zu erkennen ob die Zeit von internen oder externen NTP Server oder der CMOS Uhr kommt.w32tm /config /reliable:yes
- Macht, wenn der aktuelle Rechner ein PDC ist, diesen zu einer Zeitquelle
Erklärungen:
Benötigen Sie weitere Informationen oder Hilfestellung? Treten Sie mit uns in Kontakt.