25.01.2012

Zeitsynchronisierung in einer Microsoft-Active-Directory-Domäne

Nachdem wir in letzter Zeit einigen Probleme rund um die Uhrzeit sowohl in virtuellen als auch physikalischen Umgebungen begegnet sind, möchten wir Ihnen einige Tipps & Tricks zu diesem Thema verraten.

Regeln für die Zeitsynchronisierung in Active Directory

In Microsoft Active Directory wird die Zeit standardmäßig nach folgenden Regeln synchronisiert:

  • Der PDC-Emulator der Stammdomäne muss mit einer externen Zeitquelle konfiguriert werden.
  • Die PDC-Emulatoren der untergeordneten Domänen synchronisieren ihre Zeit mit dem PDC-Emulator der jeweils direkt übergeordneten Domäne.
  • Jeder weitere Domänencontroller einer Domäne synchronisiert die Zeit mit dem PDC-Emulator der eigenen Domäne.
  • Ein Mitgliedssystem einer Active-Directory-Domäne synchronisiert die Zeit mit dem Anmeldedomänencontroller seiner Domäne.

Eine Konfiguration ist nur für die erste Regel nötig (im Diagramm die rot dargestellte Linie). Die Konfiguration erfolgt mittels dieses Befehls: 

w32tm /config /computer:<FQDN des PDC-Emulators> /manualpeerlist:192.168.21.64 /syncfromflags:manual /update

Eine Überprüfung, ob die Zeit für den PDC-Emulator der Stammdomäne korrekt konfiguriert ist, liefert der Best Practice Analyzer für die Active Directory Domain Services auf einem Windows 2008 R2-Domänencontroller. Hier findet sich auch der obige Befehl nochmals zum Kopieren. 

Beispiele für Probleme bei unterschiedlicher Uhrzeit zwischen verschiedenen Systemen

Die in Active Directory verwendete Kerberos-Authentifizierung erlaubt in der Standardeinstellung eine maximale Zeitdifferenz der beteiligten Systeme von fünf Minuten. Sollte diese Zeitdifferenz überschritten werden, ist unter anderem eine Anmeldung an der Domäne nicht möglich, zeitgesteuerte Aufträge könnten zu einer nicht gewünschten Uhrzeit starten oder der Virenscan des Fileservers beginnt während der Hauptgeschäftszeit statt in der Nacht.

Wissenswertes rund um den Zeitdienst

Der Zeitdienst korrigiert unter Windows 2008 maximal eine Zeitdifferenz von 48 Stunden in der Vergangenheit oder in der Zukunft. 
Bei einem Neustart des Windows-Zeitgebers kann die korrekte Funktion im System-Ereignislog über die Ereignisnummern 37 und 35 des Time-Service geprüft werden (Windows 7 und 2008 R2).
Die Konfiguration des PDC-Emulators unter Windows Server 2003 kann mit dem Befehl net time /setsntp:<Name des Zeitservers> erfolgen. 

Link zum Technet-Artikel: http://support.microsoft.com/kb/816042/en-us

Lutz Kral
Senior Consultant

Unsere Blogs