Clients, Server und Domänencontroller im selben Takt

Zeitsynchronisierung in Active Directory

| Autor / Redakteur: Thomas Joos / Andreas Donner

Die Zeitsynchronisation in AD-Domänen ist zwar kein Hexenwerk, doch mit ein wenig nützlichem Know-how klappt die Administration auch hier besser.
Die Zeitsynchronisation in AD-Domänen ist zwar kein Hexenwerk, doch mit ein wenig nützlichem Know-how klappt die Administration auch hier besser. (Bild: © olgaarkhipenko - stock.adobe.com)

In Active Directory spielt die Zeitsynchronisierung eine wichtige Rolle. Nur wenn Clients, Server und Domänencontroller zeitlich synchron betrieben werden, kann ein Active Directory fehlerfrei betrieben werden. Wir zeigen, worauf es bei der Einrichtung einer Zeitsynchronisation ankommt.

In Active Directory ist die Zeitsynchronisierung automatisch vorgegeben. Es ist allerdings notwendig, dass sich Administratoren mit der Thematik der Zeitsynchronisierung auseinandersetzen. Denn wenn die Zeiten der Computer und Domänencontroller mehr als fünf Minuten voneinander abweichen, verlieren Kerberos-Tickets, eine Grundlage bei Berechtigungen und Anmeldungen, teilweise ihre Gültigkeit. Dies resultiert in Fehlern beim Zugriff auf Ressourcen und bei der Anmeldung von Computern und führt zu weiteren Problemen. Zwar lassen sich die Einstellungen über Gruppenrichtlinien entschärfen, sinnvoll ist das aber nicht.

Für die Zeitsynchronisierung in Active Directory ist der Windows-Zeitdienst (W32Time) zuständig. Ob der Dienst gestartet ist, lässt sich entweder in der Verwaltung der Dienste (services.msc), im Windows Admin Center, oder mit „sc query w32time“über die Befehlszeile überprüfen. In der PowerShell kann dazu der Befehl „get-service w32time |ft“ verwendet werden.

So funktioniert die Zeitsynchronisierung im Netzwerk

Melden sich Clients in der Domäne an, wird die Zeit mit dem Domänencontroller synchronisiert, über den die Anmeldung erfolgt ist. Die einzelnen Domänencontroller synchronisieren ihre Zeit wiederum mit dem PDC-Master der entsprechenden Domäne oder einem Domänencontroller der übergeordneten Domäne. Mehr dazu ist über die verschiedenen Beiträge zu finden, die am Ende des Beitrags in Form der Bildergalerie „Active Directory im Fokus“ verlinkt sind. Die PDC-Master von untergeordneten Domänen in Active Directory synchronisieren die Uhrzeit wiederum mit dem PDC-Master ihrer übergeordneten Domäne oder einem Domänencontroller der übergeordneten Domäne.

Das bedeutet, dass der PDC-Master der ersten Domäne in der Gesamtstruktur der wichtigste Zeitserver in der Active-Directory-Gesamtstruktur ist. Stimmt hier die Uhrzeit nicht, wird die falsche Uhrzeit an alle anderen Domänencontroller repliziert und damit auch auf alle Clients im Netzwerk. Es ist daher sinnvoll, diesen Server entweder mit einer Funkuhr zu versorgen, oder über das Internet mit einem Zeitserver zu synchronisieren.

Zeit abfragen und manuell synchronisieren

In der Eingabeaufforderung kann mit „time“ die aktuelle Uhrzeit des Computers angezeigt und manuell eingegeben werden. Der Befehl „net time \\<Computer>“ zeigt die Uhrzeit auf einem Computer im Netzwerk an, zum Beispiel einem Domänencontroller. Der Vorteil des Befehls ist, dass dieser nicht den Zeitdienst nutzt, sondern einen Remote Procedure Call. Das hilft bei der Fehlersuche, wenn der Zeitdienst in Windows nicht richtig funktioniert.

Soll die Uhrzeit des aktuellen Computers mit der Uhrzeit eines Servers im Netzwerk, zum Beispiel einem Domänencontroller synchronisiert werden, wird der Befehl „net time \\<Domänencontroller> /set“ verwendet. Die Synchronisierung muss noch bestätigt werden. Mit der Option „/yes“ wird die Uhrzeit ohne Rücksprache synchronisiert.

Um die Uhrzeit des PDC-Masters der Domäne anzuzeigen wird der folgende Befehl verwendet:

Net time /domain:<FQDN der Domäne>

Mit den zusätzlichen Optionen “/set /yes“ wird die Uhrzeit auch gleich synchronisiert.

Zeitsynchronisierung mit w32tm.exe

Einer der wichtigsten Befehle für die Synchronisierung der Uhrzeit in Active Directory ist das Befehlszeilentool „w32tm.exe“. Wer das Tool aufruft, sieht die große Anzahl an Optionen. Mit dem Tool kann die Zeitsynchronisierung vorgenommen und gleichzeitig auch überwacht werden. Um den Zeitunterschied von verschiedenen Computern mit dem aktuellen Computer zu messen, wird zum Beispiel folgender Befehl verwendet:

w32tm /monitor /Computers:joos-cloud-01,azure-cloud-02

Mit einer kommagetrennten Liste können mehrere Server abgefragt werden. Hieraus wird auch ersichtlich, ob es Verbindungsprobleme zu Computern gibt.

Generell reicht es aus, wenn die Uhrzeit des obersten PDS-Masters in der Gesamtstruktur mit einem Zeitserver im Internet synchronisiert wird. Dazu werden häufig die Zeitserver der Technischen Bundesanstalt in Braunschweig verwendet. Hier stehen mehrere Server zur Verfügung, mit denen sich Domänencontroller über das Internet synchronisieren können:

ptbtime1.ptb.de
ptbtime2.ptb.de

Um auf dem PDC-Master der obersten Domäne in Active Directory die Zeitserver einzubinden, wird der folgende Befehl genutzt:

w32tm /config /manualpeerlist: “ptbtime1.ptb.de ptbtime2.ptb.de” /syncfromflags:manual /reliable:yes /update

Der Befehl muss nur einmal eingegeben werden. Die entsprechenden Werte speichert Windows in der Registry. Der Befehl muss nur auf dem PDC-Master der Root-Domäne eingetragen werden. Alle anderen Server synchronisieren sich mit diesem ohnehin.

Sinnvollerweise sollte danach der Systemdienst neu gestartet werden, zum Beispiel in der PowerShell:

Restart-Service W32Time

Danach kann eine erste, manuelle Synchronisierung durchgeführt werden:

w32tm /resync

Der Status kann mit dem folgenden Befehl abgefragt werden:

w32tm /query /status

In der Ereignisanzeige des Servers, und auch der anderen Computer kann im Systemprotokoll überprüft werden, ob die Synchronisierung funktioniert, oder Fehler meldet. Die Konfiguration muss nur einmal durchgeführt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46158794 / Client-/Server-Administration)