Domänenzeitproblem, Server zu Clients

Ich würde DHCP nicht verwenden, um Zeitquellen für Active Directory-Domänenmitglieder zu konfigurieren.

Mitgliedsserver und Arbeitsstationen sollten die Zeit von einem Domänencontroller und nicht von einer externen Zeitquelle synchronisieren:

Konfigurieren eines Clientcomputers für die automatische Domänenzeitsynchronisierung
http://technet.microsoft.com/en-us/library/8990703a-a197-4717-b6e5-b7406d9f91f0

w32tm /config /syncfromflags:domhier /update 
net stop w32time & net start w32time  

Diese Konfiguration kann in der Gruppenrichtlinie angegeben werden.

So zeigen Sie den Status des Zeitdienstes an:

w32tm /query /status /verbose  

Ihr DC muss auch als Zeitserver bekannt sein. So zeigen Sie den Ankündigungsstatus des Zeitservers auf Ihrem DC an:

C:\ nltest /server:win2008r2addc1 /dsgetdc:contoso.com

           DC: \\WIN2008R2ADDC1.contoso.com
      Address: \\192.168.135.133
     Dom Guid: 0db7aee9-a93c-4f26-bed6-ee9894886573
     Dom Name: contoso.com
  Forest Name: contoso.com
 Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
        Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS

Beachten Sie das Flag TIMESERV, das angibt, dass Ihr DC als Zeitserver fungiert. Wenn es sich um die Rolle des Forest-Root-PDC-Emulators handelt, verfügt er auch über das Flag GTIMESERV. Der Forest-Root-PDC-Emulator ist der einzige Computer, der mit einer externen Zeitquelle synchronisiert werden sollte.

Ein Beispiel für die Konfiguration des Forest-Root-PDC-Emulators mit der NIST-NTP-Quelle:

 w32tm /config /manualpeerlist:time.nist.gov /syncfromflags:manual /reliable:yes /update 

Konfigurieren des Windows-Zeitdienstes auf dem PDC-Emulator in der Forest-Stammdomäne
http://technet.microsoft.com/en-us/library/ce8890cf-ef46-4931-8e4a-2fc5b4ddb047

Gruppenrichtlinieneinstellungen für den Windows-Zeitdienst
http://technet.microsoft.com/en-us/library/cc773263%28v=ws.10%29.aspx#w2k3tr_times_tools_vwtt

• Entfernen Sie den gesamten Müll aus Ihren DHCP-Optionen.
• Löschen Sie alle Windows-Zeitkonfigurationseinstellungen, die Sie auf den PCs vorgenommen haben. So setzen Sie den Zeitdienst auf die Werkseinstellungen zurück:
  • net stop w32time
  • w32tm /unregister
  • w32tm /register
  • net start w32time
• Wenn es sich bei einigen Maschinen um virtuelle Maschinen handelt, stellen Sie entweder sicher, dass die Zeitsynchronisierung in den Integrationsdiensten der Gast-VM deaktiviert ist, oder stellen Sie sicher, dass die Zeit auf dem Hypervisor korrekt ist.

Also gut, fangen wir an …

Auf Ihrem Domänencontroller

Ihr Forest-Stamm-PDCE muss mit einer externen Zeitquelle synchronisiert werden:

w32tm /config /manualpeerlist:"0.us.pool.ntp.org" /reliable:yes /update

Beobachten Sie die Protokolle auf dem DC und stellen Sie sicher, dass diese zum Empfang gültiger Zeitdaten vom NTP-Server führen.

w32tm /query /peersbestätigt, von welchen NTP-Servern Sie Zeitdaten empfangen.

Alle anderen DCs sollten auf die NT5DS-Zeitsynchronisationseinstellung eingestellt werden. Es sollten nureinseinzelne Maschine in Ihrem gesamten Forest, die mit einem externen Zeitdienst synchronisiert wird, und das ist Ihr Forest-Stamm-PDCE.

Auf Ihrem PC

Sie müssen w32time lediglich abmelden und erneut anmelden, wie ich oben gezeigt habe. Das Standardverhalten ist, dass die Client-PCs die Einstellung „NT5DS“ oder „Domhier“ verwenden, was Sie möchten. Das bedeutet, dass sie instinktiv wissen, dass sie Zeitsynchronisierungsdaten von ihren Domänencontrollern abrufen müssen. Sie können w32tm /query /configurationüberprüfen, ob sie sich im NT5DS-Modus und nicht im NTP-Modus befinden.

Wenn alles andere wie vorgesehen funktioniert, ist das alles. Wenn Sie weitere Probleme haben, müssen Sie viel mehr Details angeben. Wir benötigen Protokollereignisse und die gesamte w32tm-Ausgabe von Ihnen.