Windows Zeitdienst W32tm W32Time NTP Zeitsynchronisation richtig einrichten

Stefan Haßlinger 27 May 2020 Last Updated: 03 June 2020

Problem

Wie wird der Zeitdienst W32TM W32Time NTP unter Windows korrekt verwaltet und konfiguriert.

Lösung

Es stellt sich die Frage, wie die Uhrzeit in einer Windows Domäne optimal synchronisiert wird. Das Abgleichen

per Login-Script mit dem Befehl net time \\servername /set /yes wie man es von früher vielleicht noch kennt würde zwar nach wie vor funktionieren, allerdings sind hierfür besondere Systemrechte erforderlich. Diese Rechte besitzt mittlerweile nicht mehr jeder Benutzer. Die alte Methode hat also ausgedient. In diesem Artikel erkläre ich wie die Zeitsynchronisation über Gruppenrichtlinie bzw. über die moderneren w32tm und w32time Befehle verwaltet werden.

Tipp - Gut zu wissen:
Wenn auf einem Client oder Server bereits Zeit-Einstellungen getroffen wurden, sind Einstellungen unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS vorhanden. Diese lokalen Einstellungen, haben Vorrang gegenüber jenen welche über eine GPO verteilt werden und unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Services\NTDS gesetzt werden. Wenn also bereits eine lokale Konfiguration erfolgte, müssen die Zeiteinstellungen somit zuvor einmal gelöscht werden damit die Einstellungen per GPO greifen.

Optional: Zuvoriges löschen der bestehenden Zeitkonfiguration:

WIN+R -> cmd -> STRG+SHIFT+ENTER
net stop w32time
w32tm /unregister
Computer Neustarten
Nach dem Neustart:
w32tm /register

Damit wurde der Zeitdienst resettet. Im Prinzip de-registriert und wieder registriert.

Manuelles Konfigurieren der Einstellungen

Durchzuführen Am PDC Server der die Zeit anbietet

Den Zeitdienst eine Zeitquelle geben
w32tm /config /syncfromflags:manual /manualpeerlist:ptbtime2.ptb.de /update /reliable:YES

Am Client und an Servern welche die Zeit vom PDC holen sollen
w32tm /config /syncfromflags:domhier /update

Am Server/Client: zur Neusynchronisierung
net stop w32time && net start w32time
w32tm /resync

Am Server/Client: zum Check einer Zeitdifferenz
w32tm /monitor /computers:localhost
w32tm /query /configuration /verbose
Statt localhost kann man mit einem Computernamen im Netzwerk die Zeitdifferenz zum lokalen Computer sehen.

Mit Client/Server Gruppenrichtlinie

Bei Server GPO

Info: Der Zeitserver in der Domain ist der PDC Betriebsmaster (siehe netdom /query fsmo)

Computerkonfiguration > Administrative Vorlagen > System > Windows Zeitdienst
Richtlinie: Globale Konfigurationseinstellungen
AnsageFlag/AnnounceFlag = 5
Erklärung: Server ist authoritiv für Zeit

Computerkonfiguration > Administrative Vorlagen > System > Windows Zeitdienst >Zeitanbieter
Richtlinie: NTP Client Konfigurieren
NTP-Server: 1.de.pool.ntp.org,0x1
Typ=NTP
Erklärung: 0x1 ist Special Time Interval

Computerkonfiguration > Administrative Vorlagen > System > Windows Zeitdienst >Zeitanbieter
Richtlinie: NTP Client aktivieren setzen auf Aktiviert

Tipp:
WMI Filter für „nur DCs“: SELECT * FROM Win32_OperatingSystem WHERE ProductType="2"
WMI Filter für "nur SrvXy": SELECT * FROM Win32_ComputerSystem WHERE Name like "%MyPDCSrv%"

Bei Client GPO

Computerkonfiguration > Administrative Vorlagen > System > Windows Zeitdienst >Zeitanbieter
Richtlinie: NTP Client Konfigurieren
NTP-Server: MeinInternerDC.domain.local oder auch 1.de.pool.ntp.org,0x1
Typ=NT5DS
Erklärung: NT5DS heißt, zuerst über Domänen Hirarchie, sonst über den TimeServer per NTP.

Computerkonfiguration > Administrative Vorlagen > System > Windows Zeitdienst >Zeitanbieter
Richtlinie: NTP Client aktivieren setzen auf Aktiviert

Zusätzliche Informationen

Firewall

Windows Firewall Ausnahme für Port UDP/123 nicht vergessen.
Der DC muss NTP zu zu seinen Quell-NTP Servern machen dürfen.

Einige NTP Server Beispiele

ptbtime2.ptb.de (meiden Sie ptbtime1, dieser macht bei mir bei Switches immer wieder Ärger, ptbtime2 funktioniert hingegen zuverlässig)
0.de.pool.ntp.org
1.de.pool.ntp.org
2.de.pool.ntp.org
pool.ntp.org
time.windows.com

Diverse Check Befehle:

w32tm /query /configuration - Zeigt NTP Konfiguration
w32tm /query /peers - Zeigt eine Liste der NTP Server mit deren Status
w32tm /resync /nowait - Erzwingt die Synchronisierung
w32tm /query /source - Zeigt die Zeitquelle
w32tm /query /status - Zeigt den Dienststatus. Verwenden um zu erkennen ob die Zeit von internen oder externen NTP Server oder der CMOS Uhr kommt.
w32tm /config /reliable:yes - Macht, wenn der aktuelle Rechner ein PDC ist, diesen zu einer Zeitquelle

Erklärungen:

0x01 – use special poll interval SpecialInterval
0x02 – UseAsFallbackOnly
0x04 – send request as SymmetricActive mode
0x08 – send request as Client mode

Nachlesen

https://docs.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings
http://blogs.msdn.com/b/powershell/archive/2006/08/01/encoding-operations-knowledge.aspx
http://technet.microsoft.com/de-de/library/cc784191(WS.10).aspx
http://technet.microsoft.com/de-de/library/cc731790(WS.10).aspx
http://technet.microsoft.com/en-us/library/cc779560(WS.10).aspx
http://technet.microsoft.com/de-de/library/cc773263(WS.10).aspx
http://technet.microsoft.com/de-de/library/cc773263(WS.10).aspx
http://technet.microsoft.com/de-de/library/cc773013(WS.10).aspx
http://support.microsoft.com/kb/314054/en-us
http://support.microsoft.com/kb/816042/en-us

Blog