Jochen's Wiki

Inhaltsverzeichnis

Zeitquelle am Domänencontroller konfigurieren
- Externe Zeitquelle am Domänencontroller konfigurieren
- NTP Server auf Domänencontroller eintragen
  - Auf dem Domänencontroller sind drei Konfigurationsschritte durchzuführen:

Zeitquelle am Domänencontroller konfigurieren

Der primäre Domänencontroller bestimmt die Uhrzeit sämtlicher Mitglieder der Windows Domäne. Durch die FSMO-Rolle „PDC-Emulator“ wird er allen anderen Domänencomputern als zuverlässige Zeitquelle angezeigt. Daher ist die korrekte Synchronisation des Domänencontrollers mit einer internen oder externen Zeitquelle äußerst wichtig.

Externe Zeitquelle am Domänencontroller konfigurieren

Die erste Frage, die sich stellt: Woher bekomme ich die genaue Uhrzeit? Für die Synchronisation wird das NTP-Protokoll verwendet – das Network Time Protocol. Dabei handelt es sich um ein standardisiertes Übertragungsprotokoll, das ausschließlich für diesen Zweck verwendet wird. Server, die einen solchen Dienst anbieten, werden daher NTP-Server genannt.

Zum Glück gibt es heute zahlreiche öffentliche NTP Server. Anbieter sind zum Beispiel die Physikalisch Technische Bundesanstalt in Braunschweig oder auch das sehr bekannt NTP Pool Project. Die NTP Server dieser Anbieter können für die Zeitsynchronisation von Windows Servern genutzt werden, sofern diese über das NTP Protokoll mit dem Internet kommunizieren dürfen.

NTP Server auf Domänencontroller eintragen

Auf dem Domänencontroller sind drei Konfigurationsschritte durchzuführen:

Zeitquelle in die Konfiguration des Windows Zeitgeberdienstes eintragen.
Die neue Konfiguration des NTP Servers aktivieren.
Die Zeitsynchronisation manuell ausführen.

Die Befehle für diese drei Schritte werden in einer administrativen Eingabeaufforderung oder PowerShell Konsole eingegeben:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\Config /v UtilizeSslTimeData /t REG_DWORD /d 0 /f
W32tm.exe /config /update

w32tm /config /syncfromflags:manual /manualpeerlist:"0.de.pool.ntp.org, 1.de.pool.ntp.org, ptbtime1.ptb.de, ptbtime2.ptb.de"
w32tm /config /reliable:yes /update
w32tm /resync

Die Konfiguration ist damit abgeschlossen. Der Domänencontroller wird sich von nun an immer die aktuelle Zeit von den angegebenen NTP Servern abholen und den Domänenmitgliedern als Zeitquelle publizieren.

Zusätzlich wird das „sichere Zeitseeking“ deaktiviert, welches versucht, die Uhrzeit anhand ausgehender SSL-Verbindungen zu korrigieren.
Die Funktion kann negative Auswirkungen haben und sollte daher in der Domände deaktiviert werden.
Der zugehörige Registrierunsschlüssel sollte zusätzlich als GPO an die Clients in der Domäne verteilt werden.