Zeit-Synchronisation mit DC

[Tician]

Moin Admins

ich stehe gerade vor einem Konflikt. Unsere Clients laufen alle mit +/- 5 Minuten Zeitunterschied zum Server. Der Server ist ein DC (virtuelle Maschine auf ESXi) 2008 R2.

Die Meldung bei allen Clients bei PC-Start sieht in den Ereignissen os aus:

Zeitanbieter "NtpClient": Es wurde keine gültige Antwort vom Domänencontroller srvdc-de-02.XXX.INT nach 8 Kontaktversuchen empfangen. Der Domänencontroller wird nicht mehr als Zeitquelle verwendet und es wird versucht einen neuen Domänencontroller für die Synchronisierung zu finden. Fehler: Der Peer ist nicht erreichbar.

Jetzt habe ich google bemüht und grundlegend mal diesen Befehl auf dem DC ausgeführt:

w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL /reliable:YES

Nach einem Neustart des Dienstes und einer Abfrage mit /status erscheint als Quelle: Local CMOS Clock.

Laut Anleitungen sollte hier aber nun "pool.ntp.org" stehen. Jetzt bin ich verwirrt (wie immer wenn etwas bei mir ganz anders läuft als es in ANleitungen steht, kennen vielleicht einige  ), wie ich gelesen habe synchronisieren WIndows Clients normalerweise automatisch ihre Uhrzeit mit dem DC (Anhand der Fehlermeldung sieht man ja das sie es versuchen). Es gibt in einigen Guides auch noch die Synchronisation per GPO über WMI, PDC-Simulator und wasweißich, brauch ich das jetzt tatsächlich um die Zeiten von Clients mit der des DC zu synchronisieren?

Freue mich auf eure Antwort!

 

Grüße

Tician

Bearbeitet 29. März 2016 von Tician

[Tiro]

guckst Du: http://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/

[Tician]

Hah, hatte ich auch schon offen, aber wie gesagt ich wusste nicht das man das ganze so umständlich einstellen muss. Also brauche ich extra ein Gruppenrichtlinienobjekt mit dem PDC Emulator und dem WMI-Filter, ich hatte gehofft es würde ohne gehen :/

[Tiro]

Es führen viele Wege nach Rom. Dieser ist einer der Zuverlässigen.

[Wuwu]

Quote

Der Server ist ein DC (virtuelle Maschine auf ESXi) 2008 R2.

Womit synct der DC seine Zeit? Bitte mit einer starken Zeitquelle ausserhalb von ESXi.

[Tician]

w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL /reliable:YES

@Wuwu damit sollte er seine zeit eigentlich mit pool.ntp.org synchronisieren, aber irgendwie scheint er einfach keine Lust darauf zu haben, da er trotz erfolgreicher Ausführung des Befehls + Neustart des Dienstes immer noch Local CMOS CLock als Quelle angibt.

[Tician]

OK, mein AUsbilder hat alle Schritte schon ausgeführt, ich hab mir alles nochmal angesehen, aber das problem bleibt bestehen. Die Firewall ist für Port 123 auch richtig konfiguriert, die Clients holen sich ihre Zeit immer noch nicht beim DC ab :/

[dho]

Wenn du einen Vshpere Server benutzt erhält er die Zeit darüber.

[Tician]

Herzlich Willkommen im Forum dho^^

Wir benutzen Vsphere, ich habe auch schon nach Einstellungen gesucht aber außer den normalen Hardware-Zuweisungen gibt es da nichts - oder ich bin einfach blind.

https://it-services.netlogix.de/blog/zeitsynchronisierung-in-einer-esx-landschaft

Zitat

Die Konfiguration auf dem ESX-Host ist denkbar einfach: Unter dem Konfigurationstab im vSphere-Client findet man einen Optionspunkt „Uhrzeitkonfiguration“

Ich habe den Vsphere-CLient vor mir, aber in keinem menüpunkt oder tab sind irgendwelche Eigenschaften oder Konfigurationen die die Zeit betreffen

 

Bearbeitet 30. März 2016 von Tician

[dho]

Auf dem Host Server bei Konfiguration und dann Uhrzeitkonfiguration.

Steht dann Datum Zeit, NTP Server/Client.

 

Bearbeitet 30. März 2016 von dho

[Tician]

Hah, supi! Da kann ich lange beim DC und sämtlichen Servern suchen, danke für das Bild, ich hab den "konfigurations"-tab bei den Clustern gefunden, alles eingestellt und muss jetzt nur noch meinen Ausbilder für die Berechtigungen zur Umstellung von EInstellungen in den VMware-Tools anbetteln

[dho]

Bin froh das ich helfen konnte. Wir hatten vor ein paar Monaten dasselbe Problem und das hatte uns geholfen.

[Wuwu]

Bitte trotz der Umstellung https://kb.vmware.com/kb/1189 beachten, der fuehrt manchmal zu lustigen Zeitspruengen

Quote

Wenn du einen Vshpere Server benutzt erhält er die Zeit darüber.

Bis auf die Scenarien, die im KB angesprochen werden nicht zwingend. Du kannst den Sync der Tools entsprechend deaktivieren.

[Tician]

Verdammt, VM-technisch alles eingestellt und gestern noch gefühlt 200 verschiedene Lösungsansätze durchprobiert, hilft alles nichts. Der DC versucht laut Debug-Logs gar nicht erst sich mit einer externen Zeitquelle zu synchronisieren. Dabei sollten sämtliche Registry-Einträge wie sie Microsoft vorschlägt als auch die 3 GPOs richtig konfiguriert sein. *Haare rauft*

[Wuwu]

Wie gross ist der Zeitunterschied zum Stratum? Ab ner gewissen Grenze bricht er einfach ab.

[Tician]

Der DC hat die richtige Zeit (die Clients sind alle +/- 5 Minuten verschoben) , zeigt aber an er benutzt seine CMOS Zeit - was wie ich gelesen habe bei einer virtuellen Maschine fatal sein kann.

Zeitserver mit dem wir ihn synchronisieren wollen: 0.pool.ntp.org

Dieser Eintrag wurde gemacht und in der Ereignisanzeige stehen auch 2 EInträge "Zeitdienst wird als Zeitquelle angekündigt" und "Zeitdienst wird als gute Zeitquelle angekündigt".

Gibt man nun aber in der Konsole "w32tm /resync" ein liefert er nur

"Der Computer wurde nicht synchronisiert, da keine Zeitdaten verfügbar waren". Auch wie gesagt im Debug-Log zum Dienst gibt es keinen Hinweis darauf das er versucht sich seine Zeit zu holen. Laut Firewall ist Port 123 offen, allerdings geht von dort keine Anfrage durch den Server nach draußen.

Wie oben habe ich die synchronisation mit Vcenter ausgeschalten, desweiteren das Tutorial durchgemacht:

http://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/

das hier eingegeben:

w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL /reliable:YES

das hier auch

https://support.microsoft.com/de-de/kb/816042

mit peer 0x1 und natürlich Dienst neu gestartet, gpupdate ausgeführt oder resync versucht.

Noch Ideen um das Problem einzugrenzen?

Bearbeitet 31. März 2016 von Tician

[Wuwu]

netmon trace und schauen, ob ueberhaupt was zurueckkommt und rausgeht an den Zeitserver?

[Tician]

Wie gesagt eine live-Übersicht auf der Firewall mit "NTP" zeigt das sich zwar ein paar vereinzelte Clients ihre Uhrzeit aus dem Internet holen, der DC aber keine Anstalten macht es überhaupt zu versuchen (auch nicht nach einem Neustart des Zeit-Dienstes). Es geht also nichts raus.

[Wuwu]

Nicht auf der Firewall schauen. Netmon, Du willst sehen ob zumindest das OS versucht Pakete zu schicken. Damit siehst Du wo im Stack Du weiterschauen musst.