none
Problem mit W10 in Domäne und Zeitserver

    Frage

  • Hallo,

    normalerweise muss man bei einem Domänenmitglied ja keine Zeitservereinstellungen machen, er bekommt seine Zeit autom. vom DC, welcher von extern synchronisiert.

    Jetzt gibt es ein Problem mit einem W10 in der Domäne, dieser hatte eine falsche Zeit. Ein w32tm /query /source ergibt als Ergebnis; Local CMOS Clock

    Ich habe versucht mittels /config /syncfromflags:DOMHIER versucht umzustellen - gleiches Ergebnis, auch nach Neustart.

    Was mach ich am Besten, damit er die Zeit vom DC zieht?

    Zusatz: GPOs wurden gemäß http://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ konfiguriert


    Viele Grüße Dirk


    • Bearbeitet -Dirk- Dienstag, 19. Januar 2016 15:49
    Dienstag, 19. Januar 2016 15:12

Alle Antworten

  • Hallo -Dirk-,

    überprüfen Sie bitte, ob die GPOs korrekt angewandt werden indem Sie folgenden Befehl ausführen:

    "GPUPDATE /force" and then "GPRESULT /h result.html"

    Öffnen Sie die generierte HTML-Datei um zu überprüfen die Richtlinien, die auf diesem Computer angewandt werden. Zusätzlich überprüfen Sie, ob die Time Sync Source Richtlinie vorhanden ist.

    Für weitere Informationen zum GPO-Check: Configuring an Authoritative Time Server with Group Policy Using WMI Filtering

    Überprüfen Sie die manuelle Konfiguration in der Registry:

    HLMC\SYSTEM\Currentcontrolset\Services\W32time\Parameters

    Nt5DS = synchronize to domain hierarchy [default]
    NTP = synchronize to manually configured source
    NoSync = do not synchronize time

    Für weitere Informationen siehe auch:

    Windows Time Service Tools and Settings

    GUI Einstellungen in Windows 10:

    How to Synchronize Clock with an Internet Time Server in Windows 10

    Gruß

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.



    Mittwoch, 20. Januar 2016 10:15
    Moderator
  • Hallo Michaela,

    danke für die Antwort.

    Ja, die GPO wird am Client angezogen.
    Ja, die Reg-Eintrage stehen auf NT5DS und als NTP-Server ist ein DC eingetragen.

    Dennoch wird bei w32tm /query /source "local cmos clock" angezeigt.


    Viele Grüße Dirk

    Mittwoch, 20. Januar 2016 10:28
  • ergänzend noch: Wenn ich die Uhr verstelle, dann wird sie nach dem Neustart nicht korrigiert, ergo: die Zeit wird nicht gezogen.

    Viele Grüße Dirk

    Mittwoch, 20. Januar 2016 10:31
  • selbst ein

    w32tm /config /syncfromflags:domhier /update

    mit anschließendem

    net stop w32time && net start w32time

    hilft nicht, es bleibt auf "local cmos Clock"


    Viele Grüße Dirk

    Mittwoch, 20. Januar 2016 10:53
  • Hallo Dirk,

    Danke für die Rückmeldung.

    Kann es sein, dass wir über eine virtuelle Maschine sprechen?

    Gruß

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 20. Januar 2016 11:16
    Moderator
  • Nein, wir sprechen über einen neu gekauften PC mit einem frisch installiertem W10 (kein Upgrade von W7).

    Ich habe DCs und einen W2012R2 Memberserver in der Domäne - dort funktioniert alles wie es soll.

    Allerdings sind auch alle W7 Clients davon betroffen, alle synchronisieren gegen ihre lokale Uhr und es lässt sich nicht umstellen. Und alle sind Dell-PCs.


    Viele Grüße Dirk

    Mittwoch, 20. Januar 2016 11:19
  • ach ja, die Ereignisanzeige sagt:

    Protokollname: System
    Quelle:        Microsoft-Windows-Time-Service
    Datum:         20.01.2016 11:54:42
    Ereignis-ID:   129
    Aufgabenkategorie:Keine
    Ebene:         Warnung
    Schlüsselwörter:
    Benutzer:      Lokaler Dienst
    Computer:      RE05.xx.local
    Beschreibung:
    Aufgrund eines Ermittlungsfehlers konnte von "NtpClient" kein Domänenpeer als Zeitquelle festgelegt werden. In 15 Minuten wird ein weiterer Versuch ausgeführt und das Intervall für weitere Versuche anschließend verdoppelt Fehler: Der Eintrag wurde nicht gefunden. (0x800706E1)
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Time-Service" Guid="{06EDCFEB-0FD0-4E53-ACCA-A6F8BBF81BCB}" />
        <EventID>129</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2016-01-20T10:54:42.882542200Z" />
        <EventRecordID>1361</EventRecordID>
        <Correlation />
        <Execution ProcessID="1040" ThreadID="2704" />
        <Channel>System</Channel>
        <Computer>RE05.xx.local</Computer>
        <Security UserID="S-1-5-19" />
      </System>
      <EventData Name="TMP_EVENT_DOMAIN_PEER_DISCOVERY_ERROR">
        <Data Name="ErrorMessage">Der Eintrag wurde nicht gefunden. (0x800706E1)</Data>
        <Data Name="RetryMinutes">15</Data>
      </EventData>
    </Event>


    Viele Grüße Dirk

    Mittwoch, 20. Januar 2016 11:23
  • egal was ich mache, ich komme von der "local CMOS Clock" nicht weg. Ich kann zum Testen externe Zeitserver angeben, welche auch in die Registry übernommen werden - nur der Zeitdienst verwendet sie nicht, es wird ignoriert.

    Ich gebe auf.


    Viele Grüße Dirk

    Mittwoch, 20. Januar 2016 13:12
  • Hallo Dirk,

    konntest Du das Problem beheben?

    Deine Fehlerbeschreibung deckt sich exakt mit dem was ich seit kurzem in unserer Domäne feststelle.

    Alle Server syncen sauber mit dem PDC über den Zeitdienst.

    Alle Clients nicht. Obwohl die Serverclients und die Workstationclients dieselbe GPO Einstellungen erhalten.

    Alle deine beschriebenen Steps habe ich auch probiert, aber ohne erfolg.

    Es wäre klasse wenn Du oder ein anderer Pro hier doch noch die Lösung reinposten.

    Gruss

    Boris

    Dienstag, 29. Mai 2018 14:46
  • Moin,

    ist bei Dir der PDCe mit GTIMESRV versehen?

    Wenn Du auf dem PDCe

    w32tm /query /Status /verbose

    absetzt und als "Server Role" nur 64 siehst, versuche es mit

    w32tm /config /reliable:yes /update

    so dass Server Role auf 576 wechselt. Lass anschließend alles replizieren, Du kannst es beschleunigen mit

    repadmin /syncall /AdeP
    und schau, ob nach einem Restart des Zeitdienstes am Client sich der Zustand gebessert hat.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 29. Mai 2018 15:54
  • Guten Morgen Evgenij,

    der PDC hat die Role 576.

    C:\Windows\system32>w32tm /query /Status /verbose
    Leap Indicator: 0(no warning)
    Stratum: 2 (secondary reference - syncd by (S)NTP)
    Precision: -6 (15.625ms per tick)
    Root Delay: 0.0312500s
    Root Dispersion: 0.0272904s
    ReferenceId: 0xC035676C (source IP:  192.53.103.108)
    Last Successful Sync Time: 5/30/2018 8:56:42 AM
    Source: ptbtime1.ptb.de,0x9
    Poll Interval: 10 (1024s)

    Phase Offset: 0.0000073s
    ClockRate: 0.0156250s
    State Machine: 2 (Sync)
    Time Source Flags: 0 (None)
    Server Role: 576 (Reliable Time Service)
    Last Sync Error: 0 (The command completed successfully.)
    Time since Last Good Sync Time: 907.2385849s

    Das was mich so ratlos dastehen lässt ist die Tatsache das die Server (Win2012 R2) jeweils ihren nächsten DC als Zeitgeber nutzen und die DC´s den PDC. Also so wie es sein soll.

    Die Clients (Win 7 / Win10) jedoch nicht.

    Habe auch bereits UDP Port 123 geprüft.

    Hier ist ein Auszug aus dem w32tm Log eines Clients. Es scheint einen Timeout zu geben, ich verstehe jedoch nicht den Grund. 

    152455 07:11:08.0441426s - PollIntervalChange(): clear: host 0 = max 17 
    152455 07:11:08.0451427s - PeerPollingThread: PeerListUpdated
    152455 07:11:08.0451427s - PeerPollingThread: waiting 0.000s
    152455 07:11:08.0451427s - PeerPollingThread: WaitTimeout
    152455 07:11:08.0451427s - PeerPollingThread: waiting forever
    152455 07:11:08.0451427s - Reachability: Attempting to contact peer XXXXXXXX (ntp.d|0.0.0.0:123->XX.XX.XX.XX:123).
    152455 07:11:08.0451427s - Polling peer XXXXXXXXX (ntp.d|0.0.0.0:123->XX.XX.XX.XX:123)
    152455 07:11:08.0451427s - Sending packet to XXXXXXXXX (ntp.d|0.0.0.0:123-> XX.XX.XX.XX:123) in Win2K detect mode, stage 1.
    152455 07:11:08.0451427s - PollIntervalChange(XXXXXXXX (ntp.d|0.0.0.0:123-> XX.XX.XX.XX:123)): reclamp: 17 -> 10 (min=4, max=17, sys=10)
    152455 07:11:08.0461427s - Peer poll: Max:1024.0000000s Cur:00.0000000s
    152455 07:11:08.0461427s - PeerPollingThread: waiting 1024.000s
    152455 07:11:22.5419719s - W32TmServiceMain: timeout



    • Bearbeitet -Boris- Mittwoch, 30. Mai 2018 07:38
    Mittwoch, 30. Mai 2018 07:27
  • > 152455 07:11:08.0451427s - Polling peer XXXXXXXXX (ntp.d|0.0.0.0:123->XX.XX.XX.XX:123)

    Dann setz hier mal SyncFromFlags auf DomHier :-)

    Mittwoch, 30. Mai 2018 09:35
  • > Dann setz hier mal SyncFromFlags auf DomHier :-)

    ...und den Typ auf NT5DS (das ist domänenintegriertes NTP...)

    Mittwoch, 30. Mai 2018 09:36
  • Nur kurz damit das nicht falsch verstanden wird...

    die X´e habe ich dort eingefügt.

    Dort steht der Name und die IP eines unserer Domain Controller. Jedoch auch nicht vom PDC.

    Den Typ NT5DS gebe ich über die GPO mit, aber ich kann keinen Wert "SyncFromFlags" in der GPO setzen.

    Oder habe ich was übersehen?

    Mittwoch, 30. Mai 2018 13:37
  • > Dort steht der Name und die IP eines unserer Domain Controller. Jedoch auch nicht vom PDC.

    Ah ok - Altersblindheit :-)

    Ist denn der Port 123 überhaupt erreichbar? Oder blockt den eine Firewall?

    Norbert hat alles dazu hier dokumentiert: https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/
    Wenn das bei Dir alles ok ist, bin ich bei einer Firewall auf dem Kommunikationsweg...

    Mittwoch, 30. Mai 2018 13:59
  • Wenn das bei Dir alles ok ist, bin ich bei einer Firewall auf dem Kommunikationsweg...


    ...was aber wiederum schwer vorstellbar ist, da andere OS-Versionen - vermutlich aus den gleichen Netzen - da keine Probleme haben... Außer natürlich es gibt eine auf Windows 10 gefilterte GPO, die was blockt.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 30. Mai 2018 14:18