Wie kann ich den Windows-Zeitserver als Domänencontroller konfigurieren?
- Einführung
- Vorbereitung
- Zeitserver auf dem Domänencontroller als authoritative Quelle einrichten
- Konfiguration über die Eingabeaufforderung
- Registrierungseinträge überprüfen und anpassen
- Gruppenrichtlinie beachten
- Zusammenfassung und Kontrolle
- Fazit
Einführung
In einer Windows-Domäne ist es wichtig, dass alle Computer und Server eine einheitliche und genaue Zeitquelle verwenden. Der Domänencontroller, der in der Root-Domäne der Active Directory-Gesamtstruktur läuft, fungiert normalerweise als zuverlässiger Zeitserver (Windows Time Server oder NTP Server) für alle Clients innerhalb der Domäne. Die korrekte Konfiguration des Windows-Zeitdienstes (W32Time) auf dem Domänencontroller ist entscheidend, um Zeitabweichungen zu vermeiden und reibungslose Authentifizierungs- und Sicherheitsprozesse sicherzustellen.
Vorbereitung
Stellen Sie sicher, dass Sie administrative Rechte auf dem Domänencontroller besitzen und dass Sie Zugriff auf die Eingabeaufforderung mit erhöhten Rechten (als Administrator) haben. Zudem sollten Sie wissen, ob Ihr Domänencontroller die Zeit von einer externen, zuverlässigen Quelle beziehen soll, beispielsweise einem öffentlichen NTP-Server.
Zeitserver auf dem Domänencontroller als authoritative Quelle einrichten
Standardmäßig fungiert der PDC-Emulator der Root-Domäne als Zeitserver für die gesamte Domäne. Um den PDC-Emulator als autoritative Zeitquelle einzurichten, müssen Sie die Konfiguration des Windows-Zeitdienstes anpassen. Öffnen Sie dazu eine Eingabeaufforderung mit administrativen Rechten und geben Sie die entsprechenden Befehle ein.
Konfiguration über die Eingabeaufforderung
Falls Sie eine externe Zeitquelle, wie etwa einen oder mehrere öffentliche NTP-Server, konfigurieren möchten, setzen Sie diese mit dem Befehl w32tm /config /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org" /syncfromflags:manual /reliable:yes /update. Dabei können Sie die NTP-Server Ihren Anforderungen entsprechend anpassen. Der Parameter /reliable:yes markiert den Zeitdienst auf diesem Server als zuverlässige Zeitquelle.
Um die Zeitquelle umgehend zu synchronisieren, führen Sie w32tm /resync aus. Überprüfen können Sie die aktuelle Konfiguration mit w32tm /query /configuration und die aktuellen Zeitserver mit w32tm /query /peers.
Registrierungseinträge überprüfen und anpassen
Für die manuelle Feinkonfiguration können Sie auch die Windows-Registrierung anpassen. Der relevante Pfad ist manchmal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters. Dort stellt der Schlüssel Type auf NT5DS ein, dass sich der Server an der Domänenhierarchie orientiert. Möchten Sie den Server zwingend an externe Zeitquellen binden, setzen Sie Type auf Manual und definieren die Zeitquellen entsprechend im Schlüssel ManualPeerList.
Achten Sie darauf, nach Änderungen am Zeitdienst diesen neu zu starten mittels net stop w32time und net start w32time, damit die Konfiguration aktiv wird.
Gruppenrichtlinie beachten
In einer Domänenumgebung kann die Gruppenrichtlinie Zeitdienst-Einstellungen überschreiben. Prüfen Sie unter Gruppenrichtlinienverwaltung den Pfad Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Windows-Zeitdienst\Zeitanbieter, um sicherzustellen, dass die Zeitdienst-Einstellungen nicht durch eine GPO ungewollt verändert werden. Falls Gruppenrichtlinien Zeitquellen definieren, sollten diese berücksichtigt oder entsprechend angepasst werden.
Zusammenfassung und Kontrolle
Nachdem Sie die Konfiguration abgeschlossen haben, überprüfen Sie mit w32tm /query /status den Status des Zeitdienstes auf dem Domänencontroller. Prüfen Sie die Ereignisanzeige auf Fehler oder Warnungen unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Time-Service. Auf den Client-Computern können Sie ebenfalls mit w32tm /monitor die Synchronisation zum Domänencontroller bestätigen.
Fazit
Die richtige Konfiguration des Windows-Zeitservers auf dem Domänencontroller sichert eine konsistente Zeitbasis innerhalb Ihres Active Directory-Netzwerks. Der PDC-Emulator der Root-Domäne sollte als zuverlässiger Zeitserver konfiguriert und mit einer externen Zeitquelle synchronisiert werden. Die Einstellungen erfolgen typischerweise per w32tm-Befehle und ggf. per Registrierung oder Gruppenrichtlinien. Damit wird gewährleistet, dass alle Domänenmitglieder eine konsistente und korrekte Zeit erhalten.