Windows Server 2019: Zeitquelle konfigurieren

Den Windows-Dienst W32Time unter Windows Server 2019 konfigurieren und als Zeitquelle innerhalb einer Active Directory Domäne anbieten.

 

Vorabinformationen

Die richtige Uhrzeit

Neben dem offensichtlichen praktischen Nutzen einer möglichst korrekten Uhrzeit, gibt es auch eine technische Notwendigkeit. So ist in einer Active-Directory-Domäne das zeitabhängige „Kerberos“ im Hintergrund für die Authentifizierung zuständig. Kerberos erstellt für jede Authentifizierungsanforderung (z.B. Zugriff auf Dateifreigabe) zeitlich begrenzt gültige Tickets, die den angeforderten Vorgang innerhalb weniger Minuten erlauben. Bei entsprechender Zeitdifferenz schlagen die Authentifizierungen fehl und der Zugriff wird blockiert.

Domänencontroller und Zeitquellen

Der Domänencontroller der den PDC-Betriebsmaster ausführt, dient innerhalb einer Active-Directory-Domäne als Zeitquelle für alle anderen Windows Server und Clients. Dadurch genügt es die Zeitquelle auf dem Domänencontroller zu konfigurieren.

Domänencontroller mit PDC-Betriebsmaster finden

Da typischerweise mehrere Domänencontroller in einem Netzwerk ausgeführt werden, kann der Domänencontroller mit dem PDC-Betriebsmaster wie folgt gefunden werden:

• „Active Directory-Benutzer und -Computer“ öffnen
• Rechtsklick auf die Domäne → Betriebsmaster
• Registerblatt PDC anklicken:
  

Virtuelle Domänencontroller und Hypervisor-Zeitsynchronisation

Bei virtuellen Domänencontrollern besteht die Gefahr, dass von außen der jeweilige Hypervisor eine andere falsche Zeit vorgibt. Bei Hyper-V kann dies in den Einstellungen der virtuellen Maschine unter dem Menüpunkt Integrationsdienste → Zeitsynchronisierung deaktiviert werden:

Netzwerkanforderungen

Der Windows Zeitdienst folgt dem NTP-Standard und verwendet für die Synchronisation den UDP Port 123. In restriktiv konfigurierten Netzwerk-Firewalls muss dieser Port daher zumindest vom Domänencontroller ausgehend ins Internet erlaubt werden.
In vielen Fällen kann aber auch die Firewall selbst einen NTP-Zeitserver anbieten und mit einem Internet-NTP-Server abgleichen. In diesem Fall könnte dann der Domänencontroller mit PDC-Rolle die Firewall als Zeitquelle nutzen.

Uhrzeit auf einem Core Server anzeigen

Die Uhrzeit kann über den Befehl sconfig → „9) Datum und Uhrzeit“ angezeigt werden:

Datum und Uhrzeit

Zeitquelle auf dem PDC-Betriebsmaster konfigurieren

Eingabeaufforderung als Administrator öffnen und mit folgendem Befehl den öffentlichen NTP-Serverpool „at.pool.ntp.org“ als Zeitquelle festlegen:
w32tm /config /manualpeerlist:“at.pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update net stop w32time && net start w32time
Ein erneuter Zeitabgleich wird mit folgendem Befehl initiiert:
w32tm /resync
Der W32TM-Status kann wie folgt ermittelt werden:
w32tm /query /status

Zeit in der Domäne verteilen

Im Normalfall verteilt sich die neue Uhrzeit relativ schnell von selbst. Wenn ein Windows Desktop oder Server die Zeit scheinbar nicht übernimmt, ist möglicherweise eine andere Zeitquelle konfiguriert. Mit diesen Befehlen wird wieder der Domänencontroller als Zeitquelle konfiguriert:
w32tm /config /syncfromflags:domhier /update net stop w32time && net start w32time
Ein erneuter Zeitabgleich wird mit folgendem Befehl initiiert:
w32tm /resync

Zeit für mobile Geräte verteilen

Wenn mobile Windows Clients auch extern einen Zeitabgleich mit öffentlichen NTP-Servern durchführen sollen, kann das wie folgt konfiguriert werden:
w32tm /config /manualpeerlist:“at.pool.ntp.org,0x8″ /syncfromflags:manual,domhier /update net stop w32time && net start w32time
Mehr auf Microsoft.com