Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

W2K3 R2 Zeitserver auf einen DC(PDC Emulator) umziehen.

Frage Microsoft Windows Server

Mitglied: waterfall

waterfall (Level 1) - Jetzt verbinden

23.07.2011 um 18:11 Uhr, 6345 Aufrufe, 17 Kommentare

Hallo,
betreue seid kurzen eine 2003 R2 Domain mit zwei Domainencontroller und etwa 12 Memberserver. Ich muss jetzt den Zeitserver von dem einen Domainencontroller auf den anderen Controller, der die RID und PDC Emulator Betriebsmasterrollen trägen, bringen. Habe noch nie so eine Aktion gemacht und weiß echt nicht wie ich das anstellen soll. Könnte Ihr mir helfen.

Mit dem Befehl: (Server der Physikalisch-Technische Bundesanstalt soll die Zeitquelle sein)

w32tm /config /syncfromflags:manual /manualpeerlist:ptbtime1.ptb.de /update /reliable:YES

kann ich einen PDC Emulator als Zeitserver mit externer Zeitquelle einrichten. Ist das richtig?

Wie macht ich den jetztigen Zeitserver DC klar, dass er kein Zeitserver mehr ist?
Und wie kann ich den Memberservern und den Clients beibringen, dass es einen anderen DC als Zeitserver gibt?

Danke euch.

waterfall
Mitglied: GuentherH
23.07.2011 um 20:12 Uhr
Hallo.

Ein einfachsten führe es durch wie in diesem HowTo beschrieben - http://www.gruppenrichtlinien.de/index.html?/howto/zeitserver_per_gpo.h ...

LG Günther
Bitte warten ..
Mitglied: waterfall
24.07.2011 um 09:42 Uhr
Hallo Günther,

klar, hast du recht, mit einer GPO könnte ich das auch machen. Aber was ist mit dem jetzigen Zeitserver, muss der nicht deaktiviert werden?
Habe noch eine Firewall und ein VPN Gateway von der Firma SonicWal,l die auch auf den DC Zeitserver hören. Hier müsste man noch die Adressen der Zeitserver von Internet eintragen können. Was meinst du dazu?

Dank dir´.

waterfall
Bitte warten ..
Mitglied: HubertN
24.07.2011 um 10:57 Uhr
Moin

ich muss jetzt den Zeitserver von dem einen Domainencontroller auf den anderen Controller, der die RID und PDC Emulator Betriebsmasterrollen trägen

Mal ein wenig grundsätzliches: Es gibt einen Server, der den Rechnern in der Domäne die gültige Uhrzeit zur Verfügung stellt. Das ist normalerweise der PDC-Emulator. (Man kann diese Funktion zwar durch entsprechende Konfiguration vom PDC-Emulator entfernen, aber ich glaube nicht, dass das dein Anliegen ist - im" Verkonfigurieren" des Zeitdienstes in der Domäne liegt kaum ein Segen...) Wenn du Die FSMO-Rolle von einem Server auf einen anderen verschiebst, dann wandert diese Funktion für die Clients mit.
In dem von Günther verlinkten Artikel wirst du bei der ensprechenden Richtlinie auch keine Serverkonfiguration finden. Der Eintrag NT5DS bedeutet, dass die Zeitsynchronisation nach der gültigen Domänenkonfiguration erfolgt (eben vom PDC-Emulator)
So wie ich das verstehe, hast du bislang einen anderen als den PDC-Emulator extern synchronisiert. Aus o.g. Gründen ist das (im Standard) keine gültige funktionierende Konfiguration.

Die Lösung über eine Gruppenrichtlinie mit WMI-Filter bringt dir auf Dauer den Vorteil, dass du niemals mehr Hand anlegen musst, solltest du noch einmal auf die Idee kommen den PDC-Emulator zu verschieben. Bei einer einmaligen Aktion lässt sich die Konfiguration auch händisch durch Bearbeiten der Registrierung ändern.

Aber was ist mit dem jetzigen Zeitserver, muss der nicht deaktiviert werden?

Das ist "Teil 2" der Richtlinienerstellung. Damit sagts du dem Server, der jetzt noch extern synchronisiert, dass er es in Zukunft doch bitteschön wieder von der internen Zeitquelle der Domäne tun möge. Das ist für die Clients in der Domäne die Standardeinstellung, die hier aber noch einmal durchgesetzt wird. Um eben auch bei deinem jetzigen Zeitserver die Konfiguration entsprechend zu ändern.

Habe noch eine Firewall und ein VPN Gateway von der Firma SonicWal,l die auch auf den DC Zeitserver hören. Hier müsste man noch die Adressen der Zeitserver von Internet eintragen können. Was meinst du dazu

Da diese Geräte nicht Teil der Domäne sind, ist das im Grunde genommen egal. Da sie aber oftmals selber als NTP-Server fungieren können, kannst du dir in diesem Fall überlegen, ob du deinen Server nicht extern im Internet synchronisiert, sondern als externe Zeitquelle die Firewall angibst.

Gruß

Hubert


edit: doch - im zweiten Teil der Richtlinei steht natürlich die Möglichkeit zur Verfügung, den Namen eines externen Zeitservers anzugeben. Diese Einstellung wird aber durch das Setzen von NT5DS nicht beachtet.
Bitte warten ..
Mitglied: waterfall
25.07.2011 um 16:15 Uhr
Hallo,

besten Dank Hubert; für deine wirklich ausführlichen Beschreibung.

Habe nach der Beschreibung, die GPO's erstellt. Auf dem PDC Emulator läuft der Zeitdienst super, nur auf den anderen DC wo die ganze Zeit der Zeitdienst gelaufen ist, bekomme ich w32time - Fehlermeldungen.

Event ID 14 Quelle w32time

und

Event-ID 29 Quelle w32time

Wo liegt mein Problem?


Weiß jemand mit welche Befehl ich nachschauen kann, ob jetzt die Server und die Clients von den PDC Emutator die Zeit bekommen?

waterfall
Bitte warten ..
Mitglied: HubertN
25.07.2011 um 18:40 Uhr
Moin

poste mal die Ausgabe von w32tm /query /configuration und w32tm /query /status

Gruß
Bitte warten ..
Mitglied: waterfall
26.07.2011 um 08:54 Uhr
Hallo,

leider kann ich dir keine Ausgabe posten, da immer die Fehlermeldung angezeigt wird, dass w32tm den parameter /query nicht kennt.

Muss noch etwas zur Vorgeschichte des alten Zeitservers sagen.

Unsere Domaine muss wohl in grauer Vorzeit aus einen Domainencontroller bestanden haben. Mein Vorgänger hat dann einen zweiten Domainencontroller aufgesetzt und den RID und PDC Emutator auf diesen übertragen. Hat aber wohl vergessen den Zeitserver mit unzuziehen.
Die Einstellung auf den alten Zeitserver wurden die Einstellungen für den Zeitdienst händisch vorgenommen.

Kennst du einen anderen Befehl damit ich dir die configuration und den status des alten Zeitservers zukommen lassen kann. Der alte DC ist noch unter W2k3 R2 SP2 installiert
Gruß
Waterfall
Bitte warten ..
Mitglied: waterfall
26.07.2011 um 09:26 Uhr
Hallo,

habe mal auf meinen Notebook den Befehl w32tm /monitor eingegeben und folgende Ausgabe erhalten.

Domänencontrollerliste wird von der Standarddomäne geladen...
Analyzing: 1 2 -- (0 of 3)
resolving referer 76.79.67.76 (1 of 3)...
resolving referer <IP - Adresse alterZeitserver>[(2 of 3)...
resolving referer 78.46.37.211 (3 of 3)...

<namealterZeitserver>[XXX.XXX.XXX.XXX]:
ICMP: 0ms delay.
NTP: +0.4863874s offset from <nameneuerZeitserver>
RefID: 'LOCL' [76.79.67.76]

<nameeinerunsererDC> [XXX.XXX.XXX.XXX]:
ICMP: 0ms delay.
NTP: +0.4975972s offset from <nameneuerZeitserver>
RefID: <namealterZeitserver>[XXX.XXX.XXX.XXX]:

<nameneuerZeitserver>[* PDC * [XXX.XXX.XXX.XXX]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from <nameneuerZeitserver>
RefID: mail.edv-beratung-meier.de [78.46.37.211]

Was hat diese Ausgabe zu bedeuten? Funktionieren die GPO's jetzt oder nicht?


Würde es was bringen, wenn ich auf den alten Zeitserver (der wahrscheinlich mal die PDC Rolle inne hatte) den Befehl:
w32tm /config /syncfromflags:domhier /reliable:no /update
net stop w32time
net start w32time

ausführte?

Und auf den Client und Memberserver dann den Befehl:
w32tm /config /syncfromflags:domhier /update
net stop w32time
net start w32time

waterfall
Bitte warten ..
Mitglied: HubertN
26.07.2011 um 12:59 Uhr
So . ein "query" klappt nicht - bei einem Server 2008 geht das ;)

<nameneuerZeitserver>[* PDC * [XXX.XXX.XXX.XXX]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from <nameneuerZeitserver>
RefID: mail.edv-beratung-meier.de [78.46.37.211]

DAs sieht doch eigentlich gut aus - ich habe allerdings immer nur einen Eintrag in der Liste, weil ich da nicht dran rumgespielt habe. Von wo synchronisiert ihr die Zeit ? mail.edv-beratung-meier.de ?

- Wo hast du die Richtlinie erstellt ? Du kannst in der Konsole einen Ergebnissatz für den Computer anfertigen und siehst, ob er die Richtlinie übernímmt
- Verstelle auf einem Client / Server die Uhrzeit um ein paar Minuten und führe w32tm /resync durch


Gruß
Bitte warten ..
Mitglied: waterfall
26.07.2011 um 15:30 Uhr
Die eine GPO (für den PDC Emulator) habe ich mit der OU Domänenkontroller verknüpft und das zweite GPO liegt dort wo auch das Default Domain Policy GPO verknüpft ist, auf Domainenebene.
Als NTP Server habe ich pool.ntp.org eingetragen, so wie es in der Howto beschrieben steht.

Habe mich wegen diesen Eintrag (RefID: mail.edv-beratung-meier.de [78.46.37.211]) auch etwas gewundert, sollte vielleicht statt dieser pool.ntp.org einen anderen Zeitdienstanbieter eintragen.

Mein Notebook synchronisiert sich mit dem PDC Emulator, das scheint OK zu sein.

Gruß
Bitte warten ..
Mitglied: HubertN
26.07.2011 um 18:28 Uhr
noch mal ein Tipp:

Konfigurieren eines autorisierenden Zeitservers in Windows Server enthält zwei "Fix it". Villeicht solltest du es einfach damit ausprobieren, wenn das mit der Richtlinie nicht klappt.

Wichtig ist immer, dass du den Dienst neu startest !

Du kannst auch die Synchronisation erinfach überprüfen, indem du die Zeit am Server ein wenig verstellst und w32tm /resync ausführst.


Gruß
Bitte warten ..
Mitglied: GuentherH
26.07.2011 um 20:12 Uhr
Hi.

wenn das mit der Richtlinie nicht klappt

Wenn sie wie im HowTo konfiguriert ist, klappt sie immer. Ich habe damit schon komplett vermurxte Domänen wieder sauber hinbekommen.

Zum Überprüfen reicht es den Zeitgeberdienst zu stoppen und dann wieder zu starten. Kurz darauf erscheinen in der Ereignisanzeige Einträge ob und von wem sich der Client / Server die Zeit holt.

LG Günther
Bitte warten ..
Mitglied: HubertN
26.07.2011 um 22:35 Uhr
Wenn sie wie im HowTo konfiguriert ist, klappt sie immer.

das wollte ich auch garnicht bezweifeln
Bitte warten ..
Mitglied: waterfall
27.07.2011 um 15:51 Uhr
Hallo Günther,

da du gerade die Ereignisanzeige erwähnst. Habe heute bei allen Memberservern den Zeitgeberdienst gestoppt und neu gestartet, hatte bei eigen der Memberservern keinen W32tm Eintrag im Ereignis "System". Auf allen Servern bei uns ist Windows 2003 R2 SP2 installiert.
Wie kommt das oder warum kommt denn der Eintrag nicht?

Danke

Waterfall
Bitte warten ..
Mitglied: waterfall
27.07.2011 um 16:13 Uhr
Hallo HubertN,

danke für deinen Link.

hab die GPO`s erstellt, damit ich nicht in der Registrierung des jetzigen PDC Emulator herummachen muss. Zumal ich diesen PDC Emulator Server, in der nächsten Zeit auf eine neue Hardware umziehen muss. Deshalb war die Idee mit dem GPO ja eine super Sache.

Mir ist jetzt nicht ganz klar, was du mir mit diesen Link mitteilen wolltest . PDC Emulator bezieht seine Zeit von eine extern Anbieter so wie es in der GPO Anweisung (Link von Günther) beschrieben steht.

Soviel ich jetzt verstanden habe über die Funktion des Zeitserverdienst, holen sich die Domaiencontroller ihre Zeit von Server auf dem der PDC Emulator ausgeführt wird. Die Memberserver und Clients holen sich wiederum ihre Zeit bei dem DC, bei dem sie angemeldet sind.
Stimmt dass so ?

Mein Problem ist der alte Zeitserver, der sich immer noch weigert seine Zeit von PDC Emulator zu holen.
Event ID 14 Quelle w32time
Event-ID 29 Quelle w32time

Gruß
Waterfall
Bitte warten ..
Mitglied: HubertN
27.07.2011 um 17:45 Uhr
Das hast du grundsätzlich richtig versatanden. Wenn du (aus welchem Grunda auch immer) Probleme hast die Richtlinie zu implementieren, dann könntest du die Einstellung wie im Artikel beshrieben auch mehr oder wenige "händisch" erledigen lassen.

Geht es dir darum, dass es funktioniert oder geht es dir um eine Richtlinie ?
Bitte warten ..
Mitglied: waterfall
27.07.2011 um 22:25 Uhr
es geht mir um die Richtlinien. Den alten Zeitserver DC werde ich nächste Woche außer Betrieb nehmen. Seine Funktionen habe ich längst auf einen neuen DC übertragen.
Nur die Funktion des Zeitserver wollte ich endlich auf den PDC Emulator legen, was ja mein Ex - Kollege vergessen hat.

Mit der Richtlinie muss ich mir dann keine Gedanken mehr um den Zeitserverdienst machen, wenn ich den DC Server mit dem PDC Emulator ebenfalls auf neue Hardware umziehe.

Habe mir eine Doku geschrieben, über das Einrichten und Setzen dieser GPO's in unserer Domäne? Kann ich dir das mal zuposten, vielleicht fällt dir etwas auf in den Einstellungen.

Danke dir vorab

Waterfall
Bitte warten ..
Mitglied: HubertN
29.07.2011 um 16:07 Uhr
ja klar

Gruß

Hubert
............................
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Problem nach DC-Installation unter Server 2012 R2 (9)

Frage von manuel1985 zum Thema Windows Server ...

Windows Server
gelöst NTP Server auf einem Windows Server 2008 R2 DC standardmäßig schon drauf? (11)

Frage von M.Marz zum Thema Windows Server ...

Windows Server
ACrobat Reader DC und RDP Server unter Server 2K8 R2 (4)

Frage von SDS-Junkie zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...