Zeitsynchronisation in der Domäne

Share

Zeitabgleich in einer Domäne - schnelle Lösung

Zeit/NTP ist in einer Windows Domäne wichtig und wird für viele Dienste
wie Kerberos und DFS benötigt.  Der Zeitabgleich  15 Minuten

 bei einem Domänencontroller (DC) funktioniert anders als man allgemein annimmt. Ob und wie kann man realativ einfach am DC/PDC per CMD am DC mit dem Befehl

w32tm /resync

testen. Das Ergebnis sollte nicht  "Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar waren." oder "Free-running System Clock" lauten. Mit

w32tm /query /source

wird angezeigt, mit welchem Zeitserver der PDC und damit die Domäne  den letzten Abgleich gemacht. Das Ergebnis 'Local CMOS Clock' zeigt, daß die Systemuhr der Hardware genutzt wurde.

Als Erklärung dazu:
Ein Server 2012 DC übernimmt standardmäßig nach der Installation/Neustart die Zeit der Hardware (RTC/Local CMOS Clock) oder des virtuellen Hostes (z.B. ESXi oder der Hardware), ein Abgleich mit einem Zeitserver im Internet findet nicht statt. Alle Clienten in der Domäne (Server und Computer) bekommen die Zeit von dem/den DC(s). Falls also der Server 2012 DC die falsche Zeit hat, erhalten alle Clienten diese auch.

 

Die Einrichtung per Gruppenrichtlinien/GPO wird auf Gruppenrichtlinien.de in diesem Artikel gut beschrieben.

 

Da der Zeitabgleich im Internet nur über das Standardgateway erfolgen kann, bietet es sich an, dieses als Zeitgeber im lokalen Netzwerk zu nutzen. Ein Lancom Router oder die Sophos UTM benötigen sowieso eine korrekte Systemzeit. Ein ESXI sollte sich auch immer abgleichen.

.
.
In der Sophos UTM findet man unter
Management > System Settings  |Time and Date| die Einstellungen zum Zeitabgleich

Sophos-UTM-Time-date

Mit 'Test Configured Servers' kann man die Einstellungen testen lassen.

.
.
Der Zugriff auf den Zeitserver in der UTM ist unter
Network Services -> NTP geregelt, es spricht nicht dagegen, allen internen Netzwerken den Zeitgleich zu erlauben

Auf keinen Fall sollte der Abgleich aus dem Internet erlaubt sein,  'Any' oder Sophos-UTM-internet-IPv4stellen ein hohes Risiko da (NTP-Reflection-Angriff)

.
.
Wenn Geräte nicht über die UTM, sondern von Zeitservern im Internet abgleichen sollen, muss dieses er Regel erlauben werden:
Network Protection -> Firewall |Rules| eine Regel erstellen

"Alle internen LANs" -NTP -> Internet

Sophos UTM Firewall Rules NTP

 

.
.
In einem Lancom Router ist der Zeitabgleich auch einfach einzurichten, im Lanconfig unter
Datum/Zeit -> Synchroniesierung 'Regelmäßig mit einem Zeit-Server (NTP) synchroneren' wählen und unter
|NTP-Client-Einstellungen| 'Zeit-Server' 2 Server in die Liste aufnehmen, die Absende-Adresse sollte leer bleiben.

Lancom Router ZeitServer

Erlaubte Netzwerke oder weitere Einstellungen gibt es nicht im Lancom, der Zeit-Server muss aktiviert werden.
.
.
Im ESXi kann man den NTP Dienst über den vSphere Client aktivieren und einstellen unter:
ESXi-Servername |Konfiguration| "Uhrzeitkonfiguration" -> Eigenschaften  'NTP-Client aktiviert' anhaken

vSphere-Client-NTP-Dienst

 

dann unter "Optionen" die Zeitserver eintragen:

 vSphere Client NTP Dienst Server

 

 

Konfigurieren des Zeitabgleiches am PDC

Nach dem man durch

w32tm /query /source

die Zeitquelle des letzten Abgleichs des PDCs kennt, kann man diese per Regedit ändern und die z.B. Sophos UTM oder den Lancom Router eintragen.

Manuell geht das mit regedit am PDC, in dem man unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

die Schlüssel "Type" und "NtpServer" ändert.

Type auf NTP ändern

TypBeschreibung
Nt5DSSynchronisierung nach Domänenhierarchie mit MS eigenen Protokoll [Standard]
NTPSynchronisierung nach manuell konfigurierter Quelle mit Network Time Protocol
NoSyncKeine Synchronisierung der Zeit

.
.
Unter
"NtpServer" trägt man mit folgender Syntax die primär abzufragenden NTP-Server bzw. Serverpools ein // DNS Name der Sophos UTM in diesem Beispiel = utm.MeineDomaine.local

'utm.meineDomaine.local' danach ',0x1' (oder ,0x2) und wenn noch weitere NTP Servern folgen ein ' ' (Leerzeichen) also:

utm.meineDomain.de,0x1 0.de.pool.ntp.org,0x1 1.de.pool.ntp.org,0x1 pool.ntp.org,0x2

Die NTP Server mit werden der Reihe nach abgefragt, wenn der Erste nicht erreichbar ist der Zweite usw. Mit dem Flag 0x2 wird der Server nur als Fallback benutzt, auch wenn er an erster Stelle eingetragen ist.
.

 

NTP-Server Flags unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
FlagName
0x01SpecialIntervalunter: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
0x02UseAsFallbackOnly
0x04SymmatricActive
0x08Client

 

.
.
Unter:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
trägt man den
SpecialInterval (Polling Intervall) ein,
der Wert 900 ist gleich 15 Minuten, das ist von Microsoft empfohlen, 3600 ist im Standard eingetragen.

 

Regedit-SpecialInterval-NTP

 

 

 

Das Announce Flag wird unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlag

eingetragen, Wert ist 5 (Dezimal ).

Danach unter Dienste den Windows-Zeitgeber  am PDC neu starten.

 

Über das Announce Flag schreibt Microsoft folgendes:

If an authoritative time server that is configured to use an AnnounceFlag value of 0x5 does not synchronize with an upstream time server, a client server may not correctly synchronize with the authoritative time server when the time synchronization between the authoritative time server and the upstream time server resumes. Therefore, if you have a poor network connection or other concerns that may cause time synchronization failure of the authoritative server to an upstream server, set the AnnounceFlag value to 0xA instead of to 0x5.
If an authoritative time server that is configured to use an AnnounceFlag value of 0x5 and to synchronize with an upstream time server at a fixed interval that is specified in SpecialPollInterval, a client server may not correctly synchronize with the authoritative time server after the authoritative time server restarts. Therefore, if you configure your authoritative time server to synchronize with an upstream NTP server at a fixed interval that is specified in SpecialPollInterval, set the AnnounceFlag value to 0xA instead of 0x5.

Was das heißen soll, weiß ich nicht . 5. Der Wert ist 5. Dezimal. Fünf.
.

 

Konfigurieren des Zeitabgleiches am Memberserver

Wenn der PDC die korrekte Zeit hat, aber ein Memberserver nicht, mit  (CMD "als Administrator" ausführen)

w32tm /resync

am Memberserver erneut synchronisieren testen und dann mit

w32tm /query /source

die Quelle abfragen.
Wenn der PDC nicht genommen wird, kann man das per regedit ändern:

Manuell geht das mit regedit am Memberserver, in dem man unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

die Schlüssel "Type" und "NtpServer" ändert.

Type auf NT5DS ändern

NtpServer auf den FQDN des PDCs ändern, DC-01.MeineDomaine.local,0x1

 

Danach Zeitgeber-Dienst neu starten und mit (CMD "als Administrator" ausführen)

W32tm /resync  und

W32tm /query /source

das Ergebnis prüfen.

 

Münster, AD 2014

Share