Zeitsynchronisation der Domäne - w32time - Zeitserver per GPO
Viele Fragen in Foren und Newsgroups betreffen die Zeitsynchronisation innerhalb einer Domäne. Normalerweise funktioniert der Zeitabgleich automatisch und es muss nur der PDC Emulator entsprechend konfiguriert werden. Ich wurde auf einen entsprechenden Artikel des Microsoft Directory Services Teams aufmerksam gemacht, der mir die Idee zum Schreiben dieses How To’s gab. Der Artikel ist hier nachzulesen.
Es gibt allerdings auch Probleme, die mit Hilfe dieses How-To's korrigiert, bzw. vermieden werden können.
- fehlerhaft konfigurierte Zeitdiensteinstellungen auf Servern und PCs einer Domäne Viele werden in den Newsgroups/Foren dann ebenfalls Aussagen finden, die sinngemäß lauten: „Fasse den Zeitdienst nicht an, dann funktioniert auch alles.“ Wenn allerdings schon „Verschlimmbesserungen“ versucht wurden, steht mittels Gruppenrichtlinien eine schnelle, einfache und zentrale Möglichkeit zur Verfügung, die Fehler zu korrigieren.
- automatische Umkonfiguration beim Verschieben der PDC FSMO
Jeder kann mal was vergessen. Dazu zählt die Konfiguration des externen Zeitservers nach dem Wechsel des PDC FSMO Rollenhalters zum Beispiel durch Neuinstallation eines zweiten DCs, der den bisherigen DC ablösen soll.
Beide Punkte sollen in diesem How To behandelt werden.
Schritt 1:
Wichtig! Diesen Schritt nur in Single Domain Umgebungen bzw. in der Root Domain eines Forests durchführen.
Definition der Einstellungen für den PDC Emulator. Hierzu wird ein neues Gruppenrichtlinienobjekt benötigt. Mit Hilfe der GPMC wird dieses als erstes erzeugt (PDC Zeitserverkonfiguration).
Danach kann ein passender WMI-Filter angelegt werden. Mit diesem WMI-Filter wird sichergestellt, dass das GPO nur auf den PDC Emulator angewandt wird.
Über den Button „Hinzufügen“ wird die folgende WMI-Abfrage eingetragen:
Select * from Win32_ComputerSystem where DomainRole = 5
In der GPMC wird als nächstes das neu erzeugte GPO ausgewählt. Auf der rechten Seite kann dann der gerade konfigurierte WMI-Filter ausgewählt werden.
Damit sind die Grundlagen abgeschlossen. Es folgt die Konfiguration des GPO um dem PDC-Emulator zum authoritiven Zeitserver der Domain zu erklären und einen externen Zeitserver zum Abgleich anzugeben. Innerhalb des GPO müssen hierzu zwei Policies aktiviert werden.
- Verlinken des gerade angelegten GPO auf die „Domain Controllers“-OU
- Computerkonfiguration\System\Windows-Zeitdienst
Globale Einstellungen:
Wichtig ist die Einstellung „Ansageflags“ (Announceflags), welche von 10 auf 5 eingestellt werden muss.
- Computerkonfiguration\System\Windows-Zeitdienst\Zeitanbieter
- Windows-NTP-Client konfigurieren:
- Als externer NTP Server wird pool.ntp.org sowie der Typ auf NTP konfiguriert. Die anderen Einstellungen in den beiden Richtlinien können auf den definierten Standardwerten belassen werden. Im Technet sind alle Konfigurationsparameter nachzulesen. Damit ist die Konfiguration des ersten GPO abgeschlossen und kann getestet werden. Man meldet sich auf dem DC mit der PDC Rolle an und führt sicherheitshalber ein gpupdate durch.
- Mit Hilfe der Dienstesteuerung kann der Windows Zeitgeberdienst neugestartet werden.
- Im System-Ereignisprotokoll sind die Logeinträge nachzulesen.
In Windows Server 2003 gab es auf deutschen Versionen leider eine fehlerhafte Übersetzung des Events 37, der mit SP1 gefixt wurde. Anscheinend ist der Fehler in Windows Server 2008 wieder vorhanden.
Der Zeitanbieter "NtpClient" empfängt momentan ungültige Zeitdaten von pool.ntp.org (ntp.m|0x0|0.0.0.0:123->195.34.187.132:123).
Anstatt ungültig wird man auf einem englischen System etwas von valid lesen können.
Schritt 2:
eine Richtlinie für alle anderen Domänenmitglieder konfigurieren, um eine eventuelle Fehlkonfiguration zu korrigieren.
Da diese Richtlinie für alle Computer innerhalb der Domäne gelten soll, ist es das Einfachste, diese auf Domänenebene zu verknüpfen, oder eventuell die Default Domain Policy dafür zu verwenden. Unabhängig davon für welche Variante man sich entscheidet, muss im Gruppenrichtlinieneditor die folgende Richtlinie aktiviert und konfiguriert werden:
Computerkonfiguration\System\Windows-Zeitdienst\Zeitanbieter
Windows-NTP-Client konfigurieren.
Damit ist auch die Konfiguration des zweiten GPO abgeschlossen und kann mit derselben Methode wie in Schritt 1 auf beliebigen Domänenmitgliedern getestet werden.
Der Vorteil der hier beschriebenen Methode mittels WMI gegenüber einer Konfiguration mit Sicherheitsfilterung ist die „Automatik“, welche beim Verschieben der FSMO Rolle wiederum die Richtlinie auf den korrekten DC anwendet. Zusätzlich ist darauf achten, dass die Firewall den neuen Domänencontroller per ntp (udp 123) nach extern kommunizieren lässt.