YOGITRON Netzwerktechnik. Computer und EDV Service in Stolberg: Zeitserver

Zeitabgleich

In einer Domänenhirarchie übernimmt normalerweise der PDC (Emulator) die Rolle des authorisierenden Zeitservers und ist Bauartbedingt mit einem Serverbetriebssystem ausgestattet.

Gehen wir zuerst davon aus, dass der primäre Domänencontroller der absolute Zeitgeber ist und die Zeit von seinem System, der CMOS Uhr, übernimmt und an alle anderen Computer in der Domäne verteilen möchte. Dazu ist unter Umständen der Eingriff in die Registry notwendig.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
dort muss dem Eintrag AnnounceFlags der DWORD Wert A zugewiesen werden.

** Handelt es sich um ein Windows XP, welches authorisierend für die Infrastruktur die Zeit liefert, ist der DWORD Wert 5

Anschliessend ist der Zeitgeberdienst neu zu starten, z.B. per Kommandozeile mit net stop w32time && net start w32time
WICHTIG: Der PDC Server darf nicht für die Synchronisation mit sich selber eingestellt werden.

Wenn der PDC die Zeit aber von einem externen Geber übernehmen soll, dann ist auch hier wieder ein Eingriff in die Registry des Servers notwendig. Er erfolgt unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Zeichenfolge bearbeiten und NTP eingeben

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
DWORD bearbeiten und 5 eintragen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled
DWORD bearbeiten und 1 eintragen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
Zeichenfolge bearbeiten und die externen Zeitserver in folgendem Format eingeben:
ptbtime1.ptb.de ptbtime2.ptb.de,0x1

alternativ kann dieser Punkt vorher mit dem Befehl auf der Eingabeaufforderung vorher
net time /setsntp:"ptbtime1.ptb.de ptbtime2.ptb.de" eingetragen werden

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
DWORD bearbeiten und die Zeit in Sekunden eingeben, nach denen erneut abgefragt wird

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
DWORD unter BASIS bearbeiten und auf Deezimal stellen, dann unter Wert die
Anzahl der Sekunden eingeben.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
Das gleiche Verfahren wird hier auch angewandt

Hier habe ich mal die passende reg-Datei zum runterladen

Zeitserver manuell abgleichen

Über die Eingabeaufforderung werden die nachfolgenden Befehle eingegeben
w32tm /config /manualpeerlist:"ptbtime1.ptb.de ptbtime2.ptb.de"/syncfromflags:MANUAL
net stop w32time
net start w32time
w32tm /config /update
w32tm /resync

mit w32tm /monitor kann man sich den Status und die Quelle des Zeitgebers ansehen

Mehrere Netzwerkkarten

Hat ein Client nun 2 Netzwerkkarten, wobei eine per DHCP versorgt wurde, fragt er auch zwei mal den Zeitserver ab. Einmal fragt er dabei über die vom DHCP zugewiesenen Adresse im eigene Netz ab und auf der manuell erstellten Netzwerkadresse kann er direkt im Internet anfragen

Änderungen der Systemzeit verbieten.

Zuerst entzieht man dem Benutzer die Möglichkeit, die Systemzeit selbst zu ändern:
Gruppenrichtlinien
-Computerkonfiguration
-Windows Einstellungen
-Sicherheitseinstellungen
-Lokale Richtlinien
-Ändern der Systemzeit

Anschliessend kann man die Zeitserver, die bei den Clients genutzt werden sollen, noch festlegen:
Gruppenrichtlinien
-Computerkonfiguration
-Administrative Vorlagen
-System
-Windows Zeitdienst
-Zeitanbieter
-Windows-NTP-Client aktivieren
-Windows-NTP-Client konfigurieren
-NTP-Server: ptbtime1.ptb.de ptbtime2.ptb.de
-Standortübergreifende Sync.-Flags: 2
-Minuten für "Peer-Backoff" auflösen: 15
-Max. Anzahl für "Peer-Backoff" auflösen: 10
-Bestimmtes Pollintervall: 1800
-Ereignisprotokollflags: 3

Zeitzuweisung über ein Logonscript

Beim Logonscript während der Anmeldung an die Domäne, kann z.B. für die Clients der Befehl "net time \\zeitserverip /set" verwendet werden, damit sie sich mit dem richtigen Server synchronisieren. Wenn ein Linux Rechner als Zeitserver dient, muss auch Samba installiert und konfiguriert sein, damit der Windows Client sich in dieser Domäne authentifizieren kann.

Bisher ungetestet:
w32tm /config /update /manualpeerlist:"ptbtime1.ptb.de ptbtime2.ptb.de" /syncfromflags:manual /reliable:yes

(1)http://support.microsoft.com/default.aspx?scid=kb;de;816042
(2)http://support.microsoft.com/default.aspx?scid=kb;en-us;875424