NTP-Zeitsychronisierung für PDC-Emulator
Wenn nicht anders konfiguriert, syncen standardmäßig alle Clients im AD mit dem DC, der die Rolle des PDC-Emulators inne hat. Eine Zeitabweichung von mehr als 5 Minuten kann dabei verheerende Auswirkngen auf den Kerberos Dienst haben. Diese Probleme können z.B. entstehen, wenn der w32time Dienst nicht läuft.
C:\Windows\system32>w32tm /query /status
Sprungindikator: 3(die letzte Minute umfasst 61 Sekunden)
Stratum: 0 (nicht angegeben)
Präzision: -6 (15.625ms pro Tick)
Stammverzögerung: 0.0000000s
Stammabweichung: 0.0000000s
Referenz-ID: 0x00000000 (nicht angegeben)
Letzte erfolgr. Synchronisierungszeit: nicht angegeben
Quelle: Local CMOS Clock
Abrufintervall: 10 (1024s)
Wie an dem roten Text zu erkennen ist, synct der Client nicht mit einem DC, sondern mit der lokalen Bios Uhr. Solange diese richtig funktioniert ist alles super, allerdings wird es schwierig wenn es Abweichungen gibt. Vorteilhaft ist es den PDC-Emulator DC von einer externen NTP Quelle snycen zu lassen:
NET TIME /SETSNTP:ntps2-1.serv.uni-osnabrueck.de NET STOP W32TIME
NET START W32TIME
W32TM /config /reliable:YES
W32TM /resync /rediscover
Auf weiteren DCs sollte anschliessend ebenfalls noch der Befehl W32TM /resync /rediscover abgesetzt werden. Der gleiche Befehl hilft auf Clients deren Zeit abweicht.
Timo Skupin, Jahrgang 1980, arbeitet bereits seit über 20 Jahren in der IT, aktuell als IT-Leiter eines mittelständischen Industrie Unternehmens. Zu seinen Spezialgebieten gehören neben der IT-Sicherheit und der Automatisierung von Abläufen, bevorzugt mit Powershell, die individuelle Problemlösung und Optimierung von IT-Arbeitsprozessen. In seiner Freizeit beschäftigt sich der leidenschaftliche Film-, Serien- und Reisefan gerne mit dem Raspberry Pi und dem Thema Heimautomatisierung.