20
NTP - Timedrift auf Server
Hallo zusammen,
ich brauche mal euren Rat,
wir haben täglich Time drifts auf 2-3 NTP-Clients (Server 2008, und 2012)
beim Rest passt es - zumindest driften die nicht so weit ab, dass das Monitoring meckert.
ich habe auf unserem Primären DC, nennen wir ihn DC1, einen NTP Server eingerichtet.
So wie hier beschrieben: http://www.sysadminlab.net/windows/configuring-ntp-on-windows-using-gpo
Dieser holt sich auch die Zeit brav ab, quelle ist eine UTM.
Für die NTP-Clients (Server 2008, und 2012) habe ich folgende GPO Einstellung gemacht:
System/Windows-Zeitdienst/Zeitanbieter
Richtlinie Einstellung Kommentar
Windows-NTP-Client aktivieren Aktiviert
Windows-NTP-Client konfigurieren Aktiviert
NtpServer [IP von DC1]
Type NTP
CrossSiteSyncFlags 2
ResolvePeerBackoffMinutes 15
ResolvePeerBackoffMaxTimes 7
SpecialPollInterval 300
EventLogFlags 0
Lass ich mir auf den Clients nun w32tm /query /status ausgeben bekomm ich folgendes:
Warum Abrufintervall 12?
Der Intervall ist fast jedes mal anders wenn ich diesen abfrage - immer zwischen 10 und 12.
w32tm /query /configuration :
Für mich sieht das eigentlich gut aus - außer dass der Abrufintervall nicht stimmt.
ich brauche mal euren Rat,
wir haben täglich Time drifts auf 2-3 NTP-Clients (Server 2008, und 2012)
beim Rest passt es - zumindest driften die nicht so weit ab, dass das Monitoring meckert.
ich habe auf unserem Primären DC, nennen wir ihn DC1, einen NTP Server eingerichtet.
So wie hier beschrieben: http://www.sysadminlab.net/windows/configuring-ntp-on-windows-using-gpo
Dieser holt sich auch die Zeit brav ab, quelle ist eine UTM.
[Konfiguration]
EventLogFlags: 2 (Lokal)
AnnounceFlags: 5 (Lokal)
TimeJumpAuditOffset: 28800 (Lokal)
MinPollInterval: 6 (Lokal)
MaxPollInterval: 10 (Lokal)
MaxNegPhaseCorrection: 172800 (Lokal)
MaxPosPhaseCorrection: 172800 (Lokal)
MaxAllowedPhaseOffset: 300 (Lokal)
FrequencyCorrectRate: 4 (Lokal)
PollAdjustFactor: 5 (Lokal)
LargePhaseOffset: 50000000 (Lokal)
SpikeWatchPeriod: 900 (Lokal)
LocalClockDispersion: 10 (Lokal)
HoldPeriod: 5 (Lokal)
PhaseCorrectRate: 7 (Lokal)
UpdateInterval: 100 (Lokal)
[Zeitanbieter]
NtpClient (Lokal)
DllName: C:\Windows\system32\w32time.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
AllowNonstandardModeCombinations: 1 (Lokal)
ResolvePeerBackoffMinutes: 15 (Richtlinie)
ResolvePeerBackoffMaxTimes: 7 (Richtlinie)
CompatibilityFlags: 2147483648 (Lokal)
EventLogFlags: 0 (Richtlinie)
LargeSampleSkew: 3 (Lokal)
SpecialPollInterval: 3600 (Richtlinie)
Type: NTP (Richtlinie)
NtpServer: UTM (Richtlinie)
NtpServer (Lokal)
DllName: C:\Windows\system32\w32time.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 0 (Lokal)
AllowNonstandardModeCombinations: 1 (Lokal)
VMICTimeProvider (Lokal)
DllName: C:\Windows\System32\vmictimeprovider.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)Für die NTP-Clients (Server 2008, und 2012) habe ich folgende GPO Einstellung gemacht:
System/Windows-Zeitdienst/Zeitanbieter
Richtlinie Einstellung Kommentar
Windows-NTP-Client aktivieren Aktiviert
Windows-NTP-Client konfigurieren Aktiviert
NtpServer [IP von DC1]
Type NTP
CrossSiteSyncFlags 2
ResolvePeerBackoffMinutes 15
ResolvePeerBackoffMaxTimes 7
SpecialPollInterval 300
EventLogFlags 0
Lass ich mir auf den Clients nun w32tm /query /status ausgeben bekomm ich folgendes:
Sprungindikator: 0(keine Warnung)
Stratum: 5 (Sekund„rreferenz - synchr. ber (S)NTP)
Pr„zision: -6 (15.625ms pro Tick)
Stammverz”gerung: 0.0862732s
Stammabweichung: 0.5307248s
Referenz-ID: 0xC0A810DE (Quell-IP: 192.168.16.222)
Letzte erfolgr. Synchronisierungszeit: 01.08.2018 16:33:34
Quelle: [IP DC1]
**Abrufintervall: 12 (4096s)** Warum Abrufintervall 12?
Der Intervall ist fast jedes mal anders wenn ich diesen abfrage - immer zwischen 10 und 12.
w32tm /query /configuration :
[Konfiguration]
EventLogFlags: 2 (Lokal)
AnnounceFlags: 10 (Lokal)
TimeJumpAuditOffset: 28800 (Lokal)
MinPollInterval: 10 (Lokal)
MaxPollInterval: 15 (Lokal)
MaxNegPhaseCorrection: 4294967295 (Lokal)
MaxPosPhaseCorrection: 4294967295 (Lokal)
MaxAllowedPhaseOffset: 300 (Lokal)
FrequencyCorrectRate: 4 (Lokal)
PollAdjustFactor: 5 (Lokal)
LargePhaseOffset: 50000000 (Lokal)
SpikeWatchPeriod: 900 (Lokal)
LocalClockDispersion: 10 (Lokal)
HoldPeriod: 5 (Lokal)
PhaseCorrectRate: 1 (Lokal)
UpdateInterval: 30000 (Lokal)
[Zeitanbieter]
NtpClient (Lokal)
DllName: C:\Windows\system32\w32time.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
AllowNonstandardModeCombinations: 1 (Lokal)
ResolvePeerBackoffMinutes: 15 (Richtlinie)
ResolvePeerBackoffMaxTimes: 7 (Richtlinie)
CompatibilityFlags: 2147483648 (Lokal)
EventLogFlags: 0 (Richtlinie)
LargeSampleSkew: 3 (Lokal)
SpecialPollInterval: 300 (Richtlinie)
Type: NTP (Richtlinie)
NtpServer: [IP DC1] (Richtlinie)
VMICTimeProvider (Lokal)
DllName: C:\Windows\System32\vmictimeprovider.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
NtpServer (Lokal)
DllName: C:\Windows\system32\w32time.dll (Lokal)
Enabled: 0 (Lokal)
InputProvider: 0 (Lokal)Für mich sieht das eigentlich gut aus - außer dass der Abrufintervall nicht stimmt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 381984
Url: https://administrator.de/contentid/381984
Printed on: April 26, 2024 at 15:04 o'clock
20 Comments
Latest comment
Hi,
warum das Original vom Herstellen nehmen, wenn doch ein Dritter schon etwas geschrieben hat ...
How the Windows Time Service Works
Absatz: Domain Hierarchy-Based Synchronization
Ein DC ist immer als Zeitserver aktiviert.
Ein Domain Member muss nicht extra konfiguriert werden, damit er sich mit der Domäne abgleicht.
Man gleicht nur den PDC der Stammdomäne mit einer externen NTP-Quelle ab.
Hast Du auch Geräte, welche keine Windows Domain Member sind, mit NTP zu versorgen?
E.
warum das Original vom Herstellen nehmen, wenn doch ein Dritter schon etwas geschrieben hat ...
How the Windows Time Service Works
Absatz: Domain Hierarchy-Based Synchronization
Ein DC ist immer als Zeitserver aktiviert.
Ein Domain Member muss nicht extra konfiguriert werden, damit er sich mit der Domäne abgleicht.
Man gleicht nur den PDC der Stammdomäne mit einer externen NTP-Quelle ab.
Hast Du auch Geräte, welche keine Windows Domain Member sind, mit NTP zu versorgen?
E.
Ja, eine Handvoll Windowsmaschienen.
Wenn ich also keine GPO für die NTP-Clients machen soll, wie kann ich dann einfluss darauf nehmen in welchem Intervall diese abgleichen?
Danke schonmal.
Wenn ich also keine GPO für die NTP-Clients machen soll, wie kann ich dann einfluss darauf nehmen in welchem Intervall diese abgleichen?
Danke schonmal.
Moin,
Du scheint ein anderes Problem zu haben.
Denn wie schon erwähnt ziehen sich die Clients in der domain die Zeit vom PDC.
Hier einzugreifen ist kontraproduktiv, da ansonsten die Clients tatsächlich auseinander driften.
Du könntest höchstens auf den Abfrageinterval Einfluss nehmen.
Gruß
Spirit
Du scheint ein anderes Problem zu haben.
Denn wie schon erwähnt ziehen sich die Clients in der domain die Zeit vom PDC.
Hier einzugreifen ist kontraproduktiv, da ansonsten die Clients tatsächlich auseinander driften.
Du könntest höchstens auf den Abfrageinterval Einfluss nehmen.
Gruß
Spirit
Ja, eine Handvoll Windowsmaschienen.
Du hast ein AD aber gleichzeitig Windows Computer welche kein Mitglied einer Domäne sind?Wenn ich also keine GPO für die NTP-Clients machen soll, wie kann ich dann einfluss darauf nehmen in welchem Intervall diese abgleichen?
Warum musst Du das denn? Diese gleichen sich selbständig immer wieder ab.
Moin,
Sind die Server virtuell?
Wenn ja: hast du das syncen zwischen VM und Host deaktiviert?
Gruß
em-pie
Sind die Server virtuell?
Wenn ja: hast du das syncen zwischen VM und Host deaktiviert?
Gruß
em-pie
Ob ich Non-AD Mitglieder im Netzwerk hab oder nicht ist ja irrelavant...
Na, um den Timedrifts entgegen zu wirken.
Na, um den Timedrifts entgegen zu wirken.
Zitat von @em-pie:
Moin,
Sind die Server virtuell?
Wenn ja: hast du das syncen zwischen VM und Host deaktiviert?
Gruß
em-pie
Moin,
Sind die Server virtuell?
Wenn ja: hast du das syncen zwischen VM und Host deaktiviert?
Gruß
em-pie
Moin!
Ja das ist ausgeschalten.
Ob ich Non-AD Mitglieder im Netzwerk hab oder nicht ist ja irrelavant...
Na, doch!Bei Nicht-AD-Mitglieder muss man sehr wohl explizit eine NTP-Quelle festlegen, wenn man die Zeit zentral synchronisieren will.
Nur bei AD-Mitgliedern nicht.
Gut, das ist mir bekannt.
Aber die Betroffenen Systeme sind AD Mitglieder. Könnte die Gruppenrichtlinie die expliziten Zeit Server setzt potentielle kontraproduktiv sein?
Aber die Betroffenen Systeme sind AD Mitglieder. Könnte die Gruppenrichtlinie die expliziten Zeit Server setzt potentielle kontraproduktiv sein?
Ja..
Zitat von @SteveNow:
Lass ich mir auf den Clients nun w32tm /query /status ausgeben bekomm ich folgendes:
Lass ich mir auf den Clients nun w32tm /query /status ausgeben bekomm ich folgendes:
Sprungindikator: 0(keine Warnung)
> Stratum: 5 (Sekund„rreferenz - synchr. ber (S)NTP)Das hier finde ich sehr interessant. Die Büchse glaubt tatsächlich, sie sei in Schicht 5 (Stratum 5).
Bei NTP ist eigentlich ne Endanwenderbüchse in Stratum 4.
Mich würde interessieren, welches Stratum die Zeitserver darüber haben. Ob die Kette wirklich geschlossen ist?
Was die Timdrift auf den Büchsen angeht. Das mit der Echtzeituhr ist so eine Sache. Die tickt aus meiner Sicht nur richtig,
wenn die Büchse aus ist und selbst da sind Abweichungen übelster Art drin.
Was ich auch schon erlebt habe ist, dass aufgrund hoher Belastung der Hardware die Softwareclock langsamer läuft und die Hardwareclock
deswegen ebenfalls zurückgestellt wird.
Auch dass die CMOS-Batterien leer werden, halte ich für möglich.
Wenn alle Geräte sich von einem Punkt im Netzwerk die Zeit holen hast du kein Thema.
Wenn alle nach extern quatschen, tritt genau so ein Phänomen schnell auf.
Das ist der Tenor den hier die meisten vermitteln wollen.
VMs sollte man ebenfalls NTP mäßig vom Hypervisor entkoppeln!
Wenn alle nach extern quatschen, tritt genau so ein Phänomen schnell auf.
Das ist der Tenor den hier die meisten vermitteln wollen.
VMs sollte man ebenfalls NTP mäßig vom Hypervisor entkoppeln!
Falls der Sync nicht über die VMTools läuft...
Danke euch!
Den Sync über die VM Tools habe ich ausgeschalten.
Hierarchie für NTP sieht so aus:
Internet -> UTM -> PDC -> Alle Clients (Server sowie Endpoints)
Den Sync über die VM Tools habe ich ausgeschalten.
Hierarchie für NTP sieht so aus:
Internet -> UTM -> PDC -> Alle Clients (Server sowie Endpoints)
Also jetzt alles am PDC?
Dann sollte es jetzt laufen.
Dann sollte es jetzt laufen.
Der NTP Server läuft schon immer auf dem Primären DC
Es geht doch darum, ob alle Geräte im Netz diesen nun als Timeserver nutzen....
Irgendwo müssen wir aneinander vorbei gesprochen haben, dafür entschuldige ich mich schon mal. Der primäre DC ist schon immer NTP Server und wird auch schon immer von allen Clients Genutzt
Guten Abend @SteveNow
Gruß,
Dani
Der NTP Server läuft schon immer auf dem Primären DC
einem primären DC gibt es schon lange nicht mehr. Die Server/Clients, welche Mitglied der Domäne sind holen sich ihre Zeit automatisch beim DC, welcher die FSMO Rolle PDC Emulator hält. Das ist per Default so und muss über keine Gruppenrichtlinie zusätzlich konfiguriert werden. Nimm erstmal die die GPO wieder von allen Clients/Server herunter, starte diese neu damit die Änderung wieder rückgängig gemacht werden. Na, um den Timedrifts entgegen zu wirken.
Hast du bereits in der Ereignisanzeige der betroffenen Clients/Server kontrolliert, woher dieser seine Zeit bezieht? Ist evtl. ein Muster bezüglich der Differenz zu erkennen (z.B. Zeitzone verkehrt, Sommer/Winterzeit)?Gruß,
Dani
Ok, mach ich!
Ja mit w32tm /query/status oder /config
Die Zeit wird wie konfiguriert vom DC1 geholt, die Sync sind auch jedes Mal erfolgreich.
Beispiele dafür im ersten Post von mir.
Ja mit w32tm /query/status oder /config
Die Zeit wird wie konfiguriert vom DC1 geholt, die Sync sind auch jedes Mal erfolgreich.
Beispiele dafür im ersten Post von mir.