Der primäre Domänencontroller bestimmt die Uhrzeit sämtlicher Mitglieder der Windows Domäne. Durch die FSMO-Rolle „PDC-Emulator“ wird er allen anderen Domänencomputern als zuverlässige Zeitquelle angezeigt. Daher ist die korrekte Synchronisation des Domänencontrollers mit einer internen oder externen Zeitquelle äußerst wichtig.
Externe Zeitquelle am Domänencontroller konfigurieren
Die erste Frage, die sich stellt: Woher bekomme ich die genaue Uhrzeit? Für die Synchronisation wird das NTP-Protokoll verwendet – das Network Time Protocol. Dabei handelt es sich um ein standardisiertes Übertragungsprotokoll, das ausschließlich für diesen Zweck verwendet wird. Server, die einen solchen Dienst anbieten, werden daher NTP Server genannt.
Zum Glück gibt es heute zahlreiche öffentliche NTP Server. Anbieter sind zum Beispiel die Physikalisch Technische Bundesanstalt in Braunschweig oder auch das sehr bekannt NTP Pool Project. Die NTP Server dieser Anbieter können für die Zeitsynchronisation von Windows Servern genutzt werden, sofern diese über das NTP Protokoll mit dem Internet kommunizieren dürfen.
Bevor es nun an die Konfiguration der Zeitquelle geht, muss noch entschieden werden, ob der Domänencontroller selbst mit dem öffentlichen NTP Server kommunizieren darf oder ob die Firewall (z.B. Sophos XG) diese Aufgabe übernehmen soll. Aus Sicherheitsgründen empfehle ich Letzteres: Der Domänencontroller sollte so wenig Angriffsfläche wie möglich bieten.
NTP Server auf Domänencontroller eintragen
Auf dem Domänencontroller sind drei Konfigurationsschritte durchzuführen:
- Zeitquelle in die Konfiguration des Windows Zeitgeberdienstes eintragen.
- Die neue Konfiguration des NTP Servers aktivieren.
- Die Zeitsynchronisation manuell ausführen.
Die Befehle für diese drei Schritte werden in einer administrativen Eingabeaufforderung oder PowerShell Konsole eingegeben:
w32tm /config /syncfromflags:manual /manualpeerlist:"0.de.pool.ntp.org, 1.de.pool.ntp.org, ptbtime1.ptb.de, ptbtime2.ptb.de"
w32tm /config /reliable:yes /update
w32tm /resyncAus Anschauungsgründen habe ich in diesem Beispiel externe NTP Server als Zeitserver gewählt. Sofern die vorgeschaltete Firewall eine NTP-Funktionalität bereitstellt, müsste deren DNS-Name oder IP-Adresse in die Liste (/manualpeerlist) eingetragen werden.
Im Livesystem sieht die Konfiguration einer Zeitquelle folgendermaßen aus:
Die Konfiguration ist damit abgeschlossen. Der Domänencontroller wird sich von nun an immer die aktuelle Zeit von den angegebenen NTP Servern abholen und den Domänenmitgliedern als Zeitquelle publizieren.
Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.
Sehr guter Eintrag, hat mein „Zeitproblem“ auf Win2019 Srv Std sofort gelöst. Vielen Dank
Wirklich eine große Hilfe. Auch mein neuer W2019 Server hat jetzt die Richtige Zeit für unsere Domäne
und was macht man wenn er sich die Zeit nicht holt :D.
Kommunikation mit dem NTP Server passt,
Einträge sind auch da,
Zeit wird leider nicht übernommen (40Sekunden Drift)
Die Frage kann ich leider nicht beantworten, da ich Ihr System nicht kenne.
Interner / Externer Zeitserver, Firewall, usw… das kann verschiedene Ursachen haben. Falls es sich um eine Hyper-V VM handelt würde ich auch die Zeitsynchronisation zwischen Host und der VM deaktivieren.