Active Directory Zeitsynchronistation konfigurieren
Bei der Überprüfung des Eventlogs eines Domain-Controllers
stellte ich fest, dass dieser sich über ein fehlerhaftes Kerberos-Ticket eines
anderen DCs beschwerte. Da ja bekanntlich für Kerberos eine synchrone Zeit aller
beteiligten Systeme lebensnotwendig ist, ging mein erster Blick in Richtung lokaler
Urzeit auf dem betroffenen DC. Wie vermutet, hatte dieser ein Zeitdifferenz von
10 Minuten zu den andern DCs was jenseits der tolerierbaren Abweichung in
Kerberos liegt.
Die Frage war nun, warum die Zeit nicht vom primären Zeitserver synchronisiert wurde.
Mit Net time wurde die richtige Zeit auf dem primären Zeitserver angezeigt.
Durch net time /Set konnte die Zeit manuell problemlos auf die Domänen-Zeit gesetzt werden.
Da der Zeitserver also erreichbar war, untersuchte ich die lokale Konfiguration des Servers.
Hierbei zeigte sich, dass der Registry-Schlüssel:
HKLM\System\CurrentControlSet\Services\W32Time
komplett fehlte.
Glücklicherweise besitzt das Time-Server Konfigurationstool w32tm ein Funktion, dies zu beheben.
w32tm /register erstellt den kompletten W32Time – Zweig in der Registry und aktiviert den Zeitserver Client und Server.
Ein direkter Start des Zeitservers mit net start w32time schlug allerdings fehl. Die
Fehlermeldung verwies auf eine Diskrepanz zwischen dem, für den Zeitservice
angefordertem Service-Account „Local Service“ und dem aktuellen Prozesskonto
des Hosting-Prozesse.
An der Stelle habe ich allerdings keine Detailanalyse mehr gemacht, sondern den eh anstehenden Reboot abgewartet. Danach zeigte sich dann auch, dass der Service korrekt gestartet
und die Uhrzeit fehlerfrei synchronisiert wurde.
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>