Zeitserver für alle Mitglieder der Domäne über die Gruppenrichtlinie – Windows Server 2019 Standard |
---|
In diesem Tutorial wird die Einrichtung eines Zeitservers für die neu erstellte Active Directory Umgebung beschrieben.
Dieses Tutorial baut auf der Einrichtung der ersten AD mit Windows Server 2019 auf, den Artikel dazu finden Sie hier
In vielen Tutorials wird beschrieben wie mit einem einfachen Befehl innerhalb der Kommandozeile die Synchronisation der Uhrzeit in der globalen Domäne geregelt wird, auch ich habe diese Variante sehr lange verwendet. Allerdings gab es ab Windows Server 2019 im Zusammenspiel mit meiner Virtualisierungsumgebung immer wieder Zeitunterschiede, auch Standortübergreifend.
Da die Zeit Synchronisierung im Active Directory für die Kerberos-Authentifizierung eine sehr wichtige Rolle spielt, musste ich mir folgenden alternativen Weg suchen.
Einige der Probleme die bei unterschiedlichen Uhrzeiten zwischen Server und Client bzw. Server und Server entstehen können ist die Anmeldung an der Domäne, ein Login ist so teilweise erst gar nicht mehr möglich. Eine weitere Erfahrung, die ich gemacht habe ist bei der Vertrauensstellung mehrerer Domänen, wenn die Uhrzeiten zweiter Domänen nicht übereinstimmen, kann die Vertrauensstellung nicht zustande kommen bzw. fehlerfrei Funktionieren.
Ein weiterer Sicherheits-Punkt der mir sehr wichtig ist, ist dass die Domänencontroller mit allen Zugangsdaten und Rechten vom Internet abgetrennt sind, sehr oft lese ich, dass sich der DC direkt im Internet befindet um die Uhrzeiten Online anzurufen. Es gibt auch die Möglichkeit den DC über die Firewall so zu konfigurieren, dass nur bestimmte Ports für die Abfrage der Uhrzeit aus dem Internet frei gegeben werden können, allerdings wurde ich mit dieser Lösung auch nicht glücklich.
Ich habe mir also einen weiteren virtuellen „Service-Server“ erstellt der u.a. diese Uhrzeitabfrage über das Internet durchführt, der primäre Domänencontroller holt sich diese Uhrzeit einmal in der Nacht ab und verteilt sie dann an alle Rechner und Server bei der Anmeldung.
Vorbereitung
– Domänencontroller (ohne Internet-Zugriff) ist vorhanden
– Service-Server (mit Internetzugriff) ist vorhanden
– Client in der Domäne ist vorhanden
– Alle drei folgenden Skripte wurden als ausführbare Dateien (.cmd) erstellt
primärer Domänencontroller – dc01 (besteht bereits) | |
Domäne | acsnetz.local |
DC-Server Hostname | dc01 |
DC-Server IP-Adresse | 192.168.1.100 |
Subnetzmaske | 255.255.255.0 |
Standardgateway (Router) | 192.168.1.254 |
Bevorzugter DNS-Server | 192.168.1.101 (primärer Domänencontroller – dc01) |
Alternativer DNS-Server | 192.168.1.100 (sekundärer Domänencontroller – dc02) |
Service Server – service01 (Online-Uhrzeitabfrage) | |
Domäne | acsnetz.local |
Server Hostname | service01 |
Server IP-Adresse | 192.168.1.110 |
Subnetzmaske | 255.255.255.0 |
Standardgateway (Router) | 192.168.1.254 |
Bevorzugter DNS-Server | 192.168.1.100 (primärer Domänencontroller – dc01) |
Alternativer DNS-Server | 192.168.1.101 (sekundärer Domänencontroller – dc02) |
Windows 10 Client – Win10pro (Client in der Domäne) | |
Domäne | acsnetz.local |
Client Hostname |
|
Client IP-Adresse | 192.168.1.120 |
Subnetzmaske | 255.255.255.0 |
Standardgateway (Router) | 192.168.1.254 |
Bevorzugter DNS-Server | 192.168.1.100 (primärer Domänencontroller – dc01) |
Alternativer DNS-Server | 192.168.1.101 (sekundärer Domänencontroller – dc02) |
Skripte für service01 und dc01 |
das nachfolgende Skript ruft die aktuelle Uhrzeit von dem Internet-Zeitserver ptbtime1.ptb.de ab (start über Aufgabenplanung auf service01) |
TimeSync_Service-Server.cmdnet stop w32time |
das nachfolgende Skript ruft die aktuelle Uhrzeit von dem internen Service-Server service01 ab (start über Aufgabenplanung auf dc01) |
TimeSync_dc-Server.cmdnet time \service01 /set /yes |
das nachfolgende Skript Verteilt die aktuelle Uhrzeit über die GPO an alle Rechner in der Domäne weiter (start über Gruppenrichtlinie auf dc01) |
TimeSync_Client.cmdnet stop w32time |
TimeSync_Service-Server.cmd – service01 (C:\Program Files\GPO_TimeSync-Server) |
TimeSync_dc-Server.cmd – dc01 (C:\Program Files\GPO_TimeSync-Server) TimeSync_Client.cmd -dc01 (C:\Windows\SYSVOL\domain\scripts) |
service01 holt aktuelle Uhrzeit über das Internet bei bei ptbtime1.ptb.de ab |
C:\Program Files\GPO_TimeSync-Server\ |
dc01 holt aktuelle Uhrzeit bei service01 ab |
C:\Program Files\GPO_TimeSync-Server\ |
dc01 verteilt aktuelle Uhrzeit über GPO an alle Rechner in der Domäne |
Server-Manager starten… |
Tools / Gruppenrichtlinienverwaltung |
Pfad zur Start-Skript: Computerkonfiguration/Richtlinien/Windows-Einstellungen/Skripts (Start/Herunterfahren)/Starten Anders als bei der Benutzerkonfiguration für die Rechte des Benutzers, wo es genügt sich einmal ab und wieder anzumelden, muss nach der ersten Einrichtung einer Computerkonfiguration der Client neu gestartet werden. |
\\<DOMÄNENCONTROLLER>\SYSVOL\<IHRE DOMAIN>\scripts\ |
Die Zeit Synchronisation ist nun aktiv für alle Clients und Server in der Domäne weiter mit GPO-Netzlaufwerke WS2K19 |