Zeitsynchronisation via NTP für Domaincontroller konfigurieren

Der Primary Domain Controller (PDC) muss zwingend eine verlässliche Zeitquelle für die Windows Domäne zur Verfügung stellen. Das lässt sich am Einfachsten durch Verwendung eines NTP Server Pools verwirklichen.

NTP ServerPools

Öffentliche NTP-Server werden zur Ausfallsicherheit über sogenannte “NTP-Pools” angesteuert. Als Zeitquelle sollten auf Domaincontrollern mindestens 2 dieser Pools verwendet werden:

• 0.at.pool.ntp.org
• 1.at.pool.ntp.org
• 2.at.pool.ntp.org
• 3.at.pool.ntp.org

Update #2: Windows Server 2016

Windows Server 2016 hat eine ganze Reihe Verbesserungen des NTP-Dienstes an Bord, nutzt aber nach wie vor w32tm zur Konfiguration. Insbesondere im Hinblick Domain Controller hat Microsoft ein detailliertes Best Practice Dokument herausgegeben: Windows Server 2016 Accurate Time

Update: Windows Server 2008 & 2012

Seit Windows Server 2008 kann anstatt des Registry-Hacks das Tool “w32tm” verwendet werden:

w32tm /config /manualpeerlist:"<Peers>" /syncfromflags:manual /reliable:yes /update

Peers unter Doppelten Anführungszeichen, mit Leerzeichen getrennt eingeben. Beispiel: “0.at.pool.ntp.org 1.at.pool.ntp.org”

Achtung: wird der Domain Controller virtualisiert unter Hyper-V betrieben sollte die Zeitsynchronisierung mit dem Hyper-V Host in den Eigenschaften der VM (unter “Integration Services”) deaktiviert werden!

Windows Server 2003

Der TimeService kann durch setzen der folgenden Registry-Keys konfiguriert werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type = NTP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags = 5
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer\NTPServer = <Peers>
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval = 900
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection = 1800
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection = 1800

Peers mit Leerzeichen getrennt und mit Suffix “,0x1” eingeben. (Ohne Suffix wird das PollingInterval ignoriert.) Beispiel: 0.at.pool.ntp.org,0x1 1.at.pool.ntp.org,0x1

Danach den Windows-Timeservice neu starten:

net stop w32time && net start w32time

Quellen

• How to configure an authoritative time server in Windows Server (KB816042)
• TechNet: Configure the Windows Time Service
• How do I use pool.ntp.org?