6741
Oct 10, 2008, updated at Oct 13, 2008 (UTC)
8662
8
0
Zeitproblem im Netzwerk
Moin,
ich weiß ich wohl ein alter Hut, aber
Mir ist bekannt, das der PDC der Zeitgeber im Netz sein kann, wenn dieser aber nicht die richtige Zeit hat, kann ich sie dann aus dem Internet holen? Muss man dafür einen Port öffnen, oder sollte man ein externe Funkuhr kaufen.
Ich dachte auch, dass jeder Client sich automatisch die Zeit vom PDC holen, wenn nicht, wie sage ich es dem Client?
Member Server sollen sich auch so verhalten, ja? Da ich ein Kerberos Fehler habe muss ich wohl erstmal sicherstellen, dass die Zeit stimmt. Wie kann ich das man W2k Server einstellen. Ich gaube das die GPO nicht richtig verteilt werden, soll es damit auch erreicht werden könne eine Zeit zu verteilen. Wie kann ich feststellen wer für den PDC der Zeitgeber ist, kann es im "Forrest" ein weitere Server sein?
Gruß und in Hoffnung
ich weiß ich wohl ein alter Hut, aber
Mir ist bekannt, das der PDC der Zeitgeber im Netz sein kann, wenn dieser aber nicht die richtige Zeit hat, kann ich sie dann aus dem Internet holen? Muss man dafür einen Port öffnen, oder sollte man ein externe Funkuhr kaufen.
Ich dachte auch, dass jeder Client sich automatisch die Zeit vom PDC holen, wenn nicht, wie sage ich es dem Client?
Member Server sollen sich auch so verhalten, ja? Da ich ein Kerberos Fehler habe muss ich wohl erstmal sicherstellen, dass die Zeit stimmt. Wie kann ich das man W2k Server einstellen. Ich gaube das die GPO nicht richtig verteilt werden, soll es damit auch erreicht werden könne eine Zeit zu verteilen. Wie kann ich feststellen wer für den PDC der Zeitgeber ist, kann es im "Forrest" ein weitere Server sein?
Gruß und in Hoffnung
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 98990
Url: https://administrator.de/contentid/98990
Printed on: April 26, 2024 at 12:04 o'clock
8 Comments
Latest comment
Microsoft sagt:
http://support.microsoft.com/default.aspx?scid=kb;en-us;816042
der PDC der höchsten Domain im Forest soll die Zeit aus dem Internet holen oder eine Funkuhr haben. Es soll eine Quelle für die Zeit geben, damit es nicht zu Unstimmigkeiten kommt weil z.B. eine Gruppe von Servern eine andere Zeit hat, denn wenn mehr als 5min Unterschied vorliegen schlägt die Kerberos Authentifizierung fehl.
Gruß Rafiki
http://support.microsoft.com/default.aspx?scid=kb;en-us;816042
der PDC der höchsten Domain im Forest soll die Zeit aus dem Internet holen oder eine Funkuhr haben. Es soll eine Quelle für die Zeit geben, damit es nicht zu Unstimmigkeiten kommt weil z.B. eine Gruppe von Servern eine andere Zeit hat, denn wenn mehr als 5min Unterschied vorliegen schlägt die Kerberos Authentifizierung fehl.
Gruß Rafiki
hi und danke ...
da ich vermute das unser PDC der Zeitserver ist, müsste ich das prüfen.
Der Befehl net time /querysntp gibt mir ntp0.fau.de raus und das ist doch ein I.-Net Zeitserver, oder?
Soll der ISa Server nicht den DC als Zeitserver nehmen?
Kann ich das mit “net time /setsntp:{Server Address}” setzen?
Warum nimmt der 'Server nicht den PDC als Zeitserver? Somit müsste ich alles System prüfen.
Gruß
da ich vermute das unser PDC der Zeitserver ist, müsste ich das prüfen.
Der Befehl net time /querysntp gibt mir ntp0.fau.de raus und das ist doch ein I.-Net Zeitserver, oder?
Soll der ISa Server nicht den DC als Zeitserver nehmen?
Kann ich das mit “net time /setsntp:{Server Address}” setzen?
Warum nimmt der 'Server nicht den PDC als Zeitserver? Somit müsste ich alles System prüfen.
Gruß
Also doch ein Zeitproblem 
Du musst auf deinem ISA Verbindungen über UDP zu Port 123 des im Internet befindlichen NTP-Servers, der dir als Zeitquelle dient, durchlassen. Eine sehr gute Quelle ist die Physikalisch-Technische Bundesanstalt. Diese sendet auch das Signal für alle Funkuhren. Die NTP-Server erreichst du unter:
Du musst auf deinem PDC-Emulator den NTP-Server mit net time /setsntp:NTP-ADRESSE konfigurieren und anschließend den Dienst w32time neustarten.
Normalerweise sollte dieser die primäre Zeitquelle deiner Domäne sein. Sollte deine Zeitsynchronisierung aus irgendwelchen Gründen nicht funktionieren, kannst du in einem Anmeldescript die Uhrzeit manuell mit dem Befehl
Falls du eine Domänenstruktur verwaltest, also, mehrere untergeordnete Domänen, ist die primäre Zeitquelle der untergeordneten Domänen der Server, der die PDC Rolle in der übergeordneten Domäne spielt. Der NTP-Server MUSS immer auf dieser primären Zeitquelle der Gesamtstruktur konfiguriert werden. Meistens erledigt man das bei der einrichtung der ersten Domäne.
Für Kerberos darf die Uhrzeit niemals weiter als 5 Minuten zwischen allen beteiligten Servern auseinanderlaufen (Default-Einstellung). Also auf dem Client, dem KDC und dem Server, auf dem der Client zugreifen möchte, darf keine Abweichung auftreten.
Du musst auf deinem ISA Verbindungen über UDP zu Port 123 des im Internet befindlichen NTP-Servers, der dir als Zeitquelle dient, durchlassen. Eine sehr gute Quelle ist die Physikalisch-Technische Bundesanstalt. Diese sendet auch das Signal für alle Funkuhren. Die NTP-Server erreichst du unter:
ptbtime1.ptb.de
ptbtime2.ptb.deDu musst auf deinem PDC-Emulator den NTP-Server mit net time /setsntp:NTP-ADRESSE konfigurieren und anschließend den Dienst w32time neustarten.
Normalerweise sollte dieser die primäre Zeitquelle deiner Domäne sein. Sollte deine Zeitsynchronisierung aus irgendwelchen Gründen nicht funktionieren, kannst du in einem Anmeldescript die Uhrzeit manuell mit dem Befehl
net time pdcemu.domäne.lan /set /yes übernehmen. Normalerweise ist dies aber nicht erforderlich.Falls du eine Domänenstruktur verwaltest, also, mehrere untergeordnete Domänen, ist die primäre Zeitquelle der untergeordneten Domänen der Server, der die PDC Rolle in der übergeordneten Domäne spielt. Der NTP-Server MUSS immer auf dieser primären Zeitquelle der Gesamtstruktur konfiguriert werden. Meistens erledigt man das bei der einrichtung der ersten Domäne.
Für Kerberos darf die Uhrzeit niemals weiter als 5 Minuten zwischen allen beteiligten Servern auseinanderlaufen (Default-Einstellung). Also auf dem Client, dem KDC und dem Server, auf dem der Client zugreifen möchte, darf keine Abweichung auftreten.
also unser PDC hat als Zeitgeben den obersten DC des Forrest. Wenn ich mit net time /querysntp überprüfe stand teilweise ein Internet Zeitgeben drin. Das kann ja nicht gehen. Da der Port auch nicht frei ist. Ich habe jetzt alle mit net time /setsntp:pdc den Server gesetzt. Ist es so, das wenn keiner gesetzt ist, das der PDc als Zeitgeben dient? Wenn ich den Set Befehl absetze schadet das etwas oder pusche ich nur den PDc damit? Ich weiß nicht ob der oberste eine suaber Zeit hat, aber wenn alle 70 Server die gleiche Zeit haben und ca. 600 Client sollte es doch keine Probleme geben. Oder wirken von aussen auch Zeiteinflüsse, sprich Email und Co?
Gruß
@datasearch, das könnte mein Kerberos Problem lösen. Werde es beobachten, wie die Zeit auf die Fehler sich auswirkt.
Gruß
@datasearch, das könnte mein Kerberos Problem lösen. Werde es beobachten, wie die Zeit auf die Fehler sich auswirkt.
Der oberste DC im Forrest benötigt zwingend eine externe Zeitquelle. Entweder per externem NTP oder per lokaler Funkuhr. Die Mitgliegsserver-/computer in deiner Domäne brauchen eigentlich keinen NTP.
Bitte lies diesen Artikel und die Umstände, unter denen ein NTP-Server konfiguriert werden muss. Nicht das du demnächst das nächste Problem mit der Zeit hast.
http://support.microsoft.com/kb/314054#MANUALLY
Bitte lies diesen Artikel und die Umstände, unter denen ein NTP-Server konfiguriert werden muss. Nicht das du demnächst das nächste Problem mit der Zeit hast.
http://support.microsoft.com/kb/314054#MANUALLY
evtl verstehe ich es nicht richtig
wenn ich mit net time /setsntp:server die Zeit stelle, ist das dann eine manuelle Änderung? Wie könnte ich pürfen, ob der Memberserver auf den DC guckt? Da ja Mitglieder der Domäne die Zeit doch vom Server bekommen sollen auch ohne Eingriff.
Ich habe ca. 5 Server geändert und auf den PDC mit den o.g. Eintrag geändert. Sollte das jetzt Probleme geben? Welche Zeitquelle der Forest-Server hat weiß ich nicht.
wenn ich mit net time /setsntp:server die Zeit stelle, ist das dann eine manuelle Änderung? Wie könnte ich pürfen, ob der Memberserver auf den DC guckt? Da ja Mitglieder der Domäne die Zeit doch vom Server bekommen sollen auch ohne Eingriff.
Ich habe ca. 5 Server geändert und auf den PDC mit den o.g. Eintrag geändert. Sollte das jetzt Probleme geben? Welche Zeitquelle der Forest-Server hat weiß ich nicht.
Du kannst am obersten DC in der Registry nachschauen welche Zeitquelle dort eingetragen ist. Das findest du unter dem Schlüssel
Hier ein Auszug aus meiner NTP-Hirachie:
Auf dem PDC der obersten Domäne ist der Zeitdienst wie folgt konfiguriert:
Auf allen anderen Systemen ist der Schlüssel wie folgt Konfiguriert:
Sobald der Type auf "NT5DS" gesetzt ist, werden eventuell konfigurierte NTP-Server ignoriert. Du kannst dieses Verhalten ändern, indem du den Type manuell auf NTP änderst und die Konfiguration entsprechend anpasst. DAS IST ABER NICHT EMPFOHLEN!. Es sollte auch so funktionieren, wenn der oberste DC eine Zeitquelle hat.
Probleme sollte es nicht geben, kann es aber. Ausser der Meldung, das vom NTP keine Uhrzeit synchronisiert werden konnte, wenn du den Type auf NTP setzt und einen DC als Zeitquelle angibst.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time. Normalerweise müssen alle Computer ihre Zeit automatisch vom PDC-Emulator synchronisieren. Die PDC´s syncen mit dem PDC der übergeordneten Domäne usw. und der oberste PDC-EMU benötigt eine externe Zeitquelle.Hier ein Auszug aus meiner NTP-Hirachie:
Auf dem PDC der obersten Domäne ist der Zeitdienst wie folgt konfiguriert:
| Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time | ||
| Unterschlüssel: \Parameters | Attribut: NTP-Server | Wert: ptbtime1.ptb.de,0x1 |
| Unterschlüssel: \Parameters | Attribut: Type | Wert: NTP |
Auf allen anderen Systemen ist der Schlüssel wie folgt Konfiguriert:
| Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time | ||
| Unterschlüssel: \Parameters | Attribut: NTP-Server | Wert: time.windows.com,0x1 |
| Unterschlüssel: \Parameters | Attribut: Type | Wert: NT5DS |
Sobald der Type auf "NT5DS" gesetzt ist, werden eventuell konfigurierte NTP-Server ignoriert. Du kannst dieses Verhalten ändern, indem du den Type manuell auf NTP änderst und die Konfiguration entsprechend anpasst. DAS IST ABER NICHT EMPFOHLEN!. Es sollte auch so funktionieren, wenn der oberste DC eine Zeitquelle hat.
Probleme sollte es nicht geben, kann es aber. Ausser der Meldung, das vom NTP keine Uhrzeit synchronisiert werden konnte, wenn du den Type auf NTP setzt und einen DC als Zeitquelle angibst.
Moin,
okay solangsam lichtet sich der Nebel ... ;>)
da ich welche auf einen Server gucken lasse, müsste ich dies umstellen.
Die Parameter für einen NT5DS Server sehen anders aus, wie für einen wo ich manuell eingegriffen habe. Kann ich die Werte einfach lösen?
NT5DS
Default (value not set
ServiceDll c:\windows\system32\w32time.dll
ServiceMain SvchostEntry_W32Time
Type NT5DS
NTP
Default value not set
Adj 0x00026258(156248)
LocalNTP 0x00000000(0)
msSkewPerDay 2598,0000
ntpserver \\servername
Period SpecialSkew
type NTP
Ich würde hätte gerne, dass alle Server auf den DC gucken, wie stellen ich das wieder um?
Das müsste aber vorraussetzen, das die Kommunikation sauber läuft und da habe ich meine Zweifel.
Evtl gibt es DNS Probleme, die ich aber nicht packen bzw mir erklären kann.
Gruß und guten Start in den Tag
okay solangsam lichtet sich der Nebel ... ;>)
da ich welche auf einen Server gucken lasse, müsste ich dies umstellen.
Die Parameter für einen NT5DS Server sehen anders aus, wie für einen wo ich manuell eingegriffen habe. Kann ich die Werte einfach lösen?
NT5DS
Default (value not set
ServiceDll c:\windows\system32\w32time.dll
ServiceMain SvchostEntry_W32Time
Type NT5DS
NTP
Default value not set
Adj 0x00026258(156248)
LocalNTP 0x00000000(0)
msSkewPerDay 2598,0000
ntpserver \\servername
Period SpecialSkew
type NTP
Ich würde hätte gerne, dass alle Server auf den DC gucken, wie stellen ich das wieder um?
Das müsste aber vorraussetzen, das die Kommunikation sauber läuft und da habe ich meine Zweifel.
Evtl gibt es DNS Probleme, die ich aber nicht packen bzw mir erklären kann.
Gruß und guten Start in den Tag