Windows Server 2003 Active Directory-Betriebshandbuch
Kapitel 2: Administration des Windows-Zeitdienstes
Die Zeitsynchronisation ist ein kritischer Faktor für den fehlerfreien Betrieb vieler Windows-Dienste und Anwendungen. Der Windows-Zeitdienst nutzt das NTP-Protokoll (Network Time Protocol) zur Synchronisation der Computeruhren im Netzwerk. In diesem Kapitel erfahren Sie mehr zur Administration des Windows-Zeitdienstes unter Microsoft Windows Server 2003.
| • | Einführung in die Administration des Windows-Zeitdienstes |
| • | Verwaltung des Windows-Zeitdienstes |
Danksagung
Veröffentlicht: März 2005
Betrifft: Windows Server 2003
Erstellt durch: Microsoft Windows Server User Assistance Team
Autor: Shala Brandolini
Redaktion: Justin Hall
Auf dieser Seite
 | Einführung in die Kapitel Administration des Windows-Zeitdienstes |
| Verwaltung des Windows-Zeitdienst |
Einführung in die Kapitel Administration des Windows-ZeitdienstesDer Microsoft® Windows Server™ 2003 Windows-Zeitdienst, auch W32Time genannt, synchronisiert das Datum und die Uhrzeit aller Computer in einem Windows Server 2003-Netzwerk. Zweck des Zeitdienstes ist es, sicherzustellen, dass alle Computer unter Windows 2000 oder neueren Versionen innerhalb einer Organisation die gleiche Zeit verwenden. Um dies zu garantieren, nutzt der Zeitdienst eine Hierarchie, über die eine Autorität festgelegt ist und Schleifen verhindert werden. Standardmäßig nutzen Windows-Computer die folgenden Hierarchien:
Durch diese Hierarchie ist der PDC in der Stammdomäne der Gesamtstruktur der autorisierende Zeitgeber der Organisation. Dieser kann die genaue Zeit über einen externen NTP-Server ermitteln (zum Beispiel über ein Hardwaregerät oder über das Internet). Wenn Sie eine äußerst genaue Zeitsynchronisation benötigen, jedoch keine Verbindung zu einem externen Zeitgeber aufbauen können, dann empfehlen wir, entsprechende Hardware (zum Beispiel einen GPS-Empfänger) zu verwenden. Weitere Informationen zum Windows-Zeitdienst und eine vollständige Dokumentation zum w32tm-Tool finden Sie unter http://go.microsoft.com/fwlink/?LinkId=40648 (engl.). Verwaltung des Windows-ZeitdienstDie erste Konfiguration des Windows 2003-Zeitdienstes (W32Time) wird bei der Bereitstellung der Stammdomäne der Active Directory-Gesamtstruktur durchgeführt. Danach sind nur wenige tägliche Verwaltungsaufgaben notwendig. Wenn Sie jedoch Änderungen am Netzwerk vorgenommen haben, zum Beispiel das Hinzufügen von Clients, das Verschieben des PDC-Emulators oder das Ändern des Zeitgebers, kann es notwendig werden, eine oder mehrere der folgenden Aufgaben auszuführen.
Konfiguration eines Zeitgebers für die GesamtstrukturEs gibt normalerweise zwei Situationen, in denen eine Neukonfiguration des Zeitdienstes auf dem PDC-Emulator notwendig wird:
Gehen Sie bei der Konfiguration des Zeitgebers für den PDC-Emulator der Stammdomäne Ihrer Gesamtstruktur nach den folgenden Best Practices und in dieser Reihenfolge vor:
Der Zeitserver von Microsoft (time.windows.com) nutzt das NIST (National Institute of Standards and Technology in Boulder, Colorado) als externen Zeitgeber. Das NIST stellt den Automated Computer Time Service (ACTS) zur Verfügung, mit dem eine Computeruhr mit einer Abweichung von nicht mehr als zehn Millisekunden konfiguriert werden kann. Anmerkung Da die Synchronisation mit einem externen Zeitgeber nicht authentifiziert wird, ist sie als nicht sehr sicher zu betrachten. Üblicherweise ist der PDC der Stammdomäne der autorisierende Zeitgeber für die Gesamtstruktur. Er nutzt normalerweise einen externen Zeitgeber. Sollte dies nicht der Fall sein, konfigurieren Sie ihn für eine Synchronisation mit der internen Hardwareuhr. Die Rolle des PDC-Emulators kann auf andere Computer verschoben werden. Bei jedem Verschieben muss auf dem neuen PDC eine Neukonfiguration des Zeitdienstes durchgeführt werden. Auf dem alten PDC muss die Konfiguration entfernt werden. Um diesen Aufwand zu vermeiden, konfigurieren Sie einen Domänencontroller in der Stammdomäne, der nicht als PDC-Emulator arbeitet, als Zeitgeber. In diesem Fall spielt es keine Rolle, welcher Computer als PDC-Emulator arbeitet. Wenn Sie sich für die Implementierung einer anderen Zeitsynchronisation, die ebenfalls mit NTP arbeitet, entscheiden, müssen Sie den Windows-Zeitdienst deaktivieren. Alle NTP-Server verwenden UDP-Port 123. Wenn W32Time ausgeführt wird, ist dieser Port belegt. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig:
Mit den folgenden Verfahren können Sie einen Zeitgeber für Ihre Gesamtstruktur konfigurieren:
Konfigurieren des Windows-Zeitdienstes auf dem PDC-EmulatorWenn Sie eine neue Stammdomäne für die Gesamtstruktur erstellen oder den PDC-Emulator verschieben, müssen Sie den Windows-Zeitdienst auf dem PDC-Emulator konfigurieren. Wenn Sie den PDC-Emulator verschieben, müssen Sie außerdem die Aufgabe "Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator" ausführen. Bevor Sie den Zeitdienst konfigurieren können, sollten Sie zum Testen der NTP-Kommunikation die Differenz zwischen der lokalen Zeit und dem Zeitgeber ermitteln. Überwachen Sie nach der Konfiguration des Zeitdienstes das Systemprotokoll auf W32Time-Fehler. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984. Administrative Berechtigungen Um dieses Verfahren lokal auf dem PDC-Emulator ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Konfigurieren des Windows-Zeitdienstes auf dem PDC-Emulator"
Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-EmulatorMit dem folgenden Verfahren ändern Sie die Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator nach dem Verschieben der Rolle auf einen neuen Domänencontroller. Der alte PDC-Emulator synchronisiert seine Zeit automatisch über die Domänenhierarchie. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984. Administrative Berechtigungen Um dieses Verfahren lokal auf dem PDC-Emulator ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator"
Konfiguration eines Domänencontrollers in der übergeordneten Domäne als ZeitgeberVerwenden Sie dieses Verfahren, wenn Sie davon ausgehen, dass der PDC-Emulator irgendwann auf einen anderen Computer verschoben wird und Sie keine Neukonfiguration des Zeitdienstes durchführen möchten. Wenn Sie den Domänencontroller als Zeitgeber für die Stammdomäne konfigurieren, führen Sie zusätzlich das Verfahren "Ändern der Windows-Zeitdienst-Konfiguration auf dem alten PDC-Emulator" aus. Auch wenn Sie den PDC nicht verschoben haben, müssen Sie den bestehenden PDC so konfigurieren, dass er nicht weiterhin als Zeitgeber für die Domäne arbeitet. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984. Administrative Berechtigungen Um dieses Verfahren lokal auf dem Domänencontroller ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Konfiguration eines Domänencontrollers in der übergeordneten Domäne als Zeitgeber"
Konfiguration des PDC-Emulators für eine Synchronisation mit der internen HardwareuhrMit dem folgenden Verfahren konfigurieren Sie den PDC in der Stammdomäne für eine Synchronisation mit der internen Hardwareuhr und als Zeitgeber der Stammdomäne der Gesamtstruktur. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984 (engl.). Administrative Berechtigungen Um dieses Verfahren lokal auf dem PDC-Emulator ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Konfiguration des PDC-Emulators für eine Synchronisation mit der internen Hardwareuhr"
Deaktivieren des Windows-ZeitdienstesMit diesem Verfahren deaktivieren Sie den Windows-Zeitdienst (zum Beispiel, wenn Sie sich für die Implementierung eines anderen Zeitdienstes entscheiden). Administrative Berechtigungen Um dieses Verfahren auf dem lokalen Computer ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren auf dem PDC-Emulator sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Deaktivieren des Windows-Zeitdienst
Konfiguration von Windows-Clients für die ZeitsynchronisationEs gibt mehrere Windows-Clients, die keine automatische Synchronisation mit der Active Directory-Domäne durchführen:
Diese Computer müssen so konfiguriert werden, dass Sie ihre Zeit von einem bestimmten Zeitgeber beziehen - zum Beispiel dem Domänencontroller der Domäne. Wenn Sie keinen Zeitgeber konfigurieren, synchronisieren sich diese Computer mit der internen Hardwareuhr. Anforderungen Um die unten beschriebene Aufgabe ausführen zu können, sind die folgenden Tools erforderlich:
Mit den folgenden Verfahren können Sie die Zeit von Windows-Clients synchronisieren:
oder
Konfigurieren eines manuellen Zeitgebers für einen bestimmten ClientcomputerBevor Sie den Zeitdienst konfigurieren können, sollten Sie zum Testen der NTP-Kommunikation die Differenz zwischen der lokalen Zeit und dem Zeitgeber ermitteln. Überwachen Sie nach der Konfiguration des Zeitdienstes das Systemprotokoll auf W32Time-Fehler. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984 (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren auf dem lokalen Computer sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Konfigurieren eines manuellen Zeitgebers für einen bestimmten Clientcomputers"
Konfigurieren eines Clientcomputers für die automatische Domänen-ZeitsynchronisationEinige Computer, die einer Domäne beitreten, können mit einem manuellen Zeitgeber konfiguriert sein. Mit dem folgenden Verfahren konfigurieren Sie diese Computer zur Synchronisation mit der Domäne. Anmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren auf dem lokalen Computer sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Konfigurieren eines Clientcomputers für die automatische Domänen-Zeitsynchronisation"
Wiederherstellen der Standardeinstellungen des Windows-ZeitdienstesWenn die Einstellungen des Zeitdienstes fehlerhaft konfiguriert sind, können Sie diese auf die Standardeinstellungen zurücksetzen. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig:
Mit dem folgenden Verfahren können Sie den Windows-Zeitdienst lokal auf die Standardeinstellungen zurücksetzen:
Zurücksetzen des Windows-Zeitdienstes auf dem lokalen Computer auf die StandardeinstellungenAnmerkung Weitere Informationen zum Befehl w32tm erhalten Sie mit dem Befehl w32tm /? oder unter http://go.microsoft.com/fwlink/?LinkId=42984 (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Administratoren auf dem lokalen Computer sein. Um das Verfahren von einem Remotecomputer ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Zurücksetzen des Windows-Zeitdienstes auf dem lokalen Computer auf die Standardeinstellungen"
|
In diesem Beitrag
|
