Zeitserver Domäne Clients

Moin,

ergänzend dazu kannst Du dem DC einen externen NTP mitgeben, bei dem der sich die Zeit holen soll. Somit stimmt dann auch die "interne" Zeit mit der "externen" Zeit überein.

Ansetzen würde ich bei GPOs, welche den Zeitdienst der Clients verändern.

Gruß

Looser

Das ist mir auch schon aufgefallen (Server 2016), also hat vermutlich niemand herum gefummelt. Ich habe es damals abgestempelt, dass es daran liegen könnte, dass der DC auch eine VM war und seine Zeit vom Hypervisor erhalten hat und der Hypervisor in der Domain drinnen war, also eigentlich ein Loop. Ich habe daraufhin den Zeitdienst für die DC VM deaktiviert und NTC aller Server wieder auf den DC umgestellt und die DCs manuell auf unseren Zeitserver im Netzwerk.

Wir haben einen dedizierten 2. DC, der die Zeit extern holt. Alle anderen Systeme holen sich ihre Zeit bei den DCs (ESXi's, VMs, Telefonanlage, etc.).
Damit ist es auch kein Problem, wenn man die Virtuelle Umgebung mal für ein paar Stunden vom Netz nehmen muss für Wartung.

Gruß

Looser

Nein das ist nicht so wichtig. Wichtig ist, dass du ein zentrales Gerät in deinem Netzwerk hast, was sich darum kümmert und alle anderen Geräte sich von dort die zeit holen. Das kann ein DC sein, muss es aber nicht. Es muss auch keine physische Maschine sein, aber die hat wie schon gesagt wurde den Vorteil, dass der Zeitserver dann auch zur Verfügung steht, wenn die VMS runter gefahren werden. Du kannst aber genau so gut einen physischen Management-Server (zum Beispiel der der ohnehin deine Server überwacht) dafür nehmen.

Ich persönlich nehme gerne die Firewall als NTP-Server. Zum einen ist die permanent erreichbar und auch bei Update (weil Cluster) noch verfügbar. Zum anderen ändert sich die IP der Firewall so gut wie nie. Selbst bei einem Tausch bleibt die IP der Firewall gleich, wo bei eines virtuellen DCs oder eines physischen Managementservers sich im Laufe der Zeit (meist bei einer Migration auf eine höhere Serverversion) auch mal wechselt. Und für die Kritiker: Ja das ist ein bisschen mehr Last für die Firewall, aber ich muss die NTP-Daten ja nicht alle 5 Sekunden Abfragen. Es reicht die Daten beim Start des Gerätes und dann (meine Meinung) maximal alle 3 Stunden abgeglichen werden. Diese "Last" sollte eine Firewall durchaus aushalten.

Ich verwende ebenfalls die Firewall als NTP, jedoch wird diese nur von einem DC abgefragt, nicht von den Clients. Die Clients holen sie es sich trotzdem vom DC ab.

Aus folgendem Grund:

Ich habe zwei DC's. Beide holten sich die Zeit von der Firewall ab. Nach einem Stromausfall war die Firewall nicht bereit. Firewall neu gestartet, geht wieder. Ein DC wollte in der Phase eine neue Zeit abholen, der andere DC noch nicht. Das Ergebnis war ein Zeitunterschied von 1h - die Zeitzonen stimmten jedoch überall. Alle Clients und Server, die am DC1 angemeldet waren, hatten eine andere Uhrzeit, als Geräte, die am DC2 angemeldet waren. Kerberos hat die Häfte abgewiesen. Erst nach 45 Minuten mit ständigen Neustarts, überprüfen der NTP Einstellungen sämtlicher DCs, Server und ein paar Clients, hat es sich wieder von selbst normalisiert.