Wie funktioniert die Zeitsynchronisation in Active Directory?

AD verwendet ein hierarchisches Zeitsynchronisationsmodell: Domaenenmitgliedscomputer synchronisieren mit dem Domaenencontroller, bei dem sie sich authentifiziert haben, Domaenencontroller synchronisieren mit dem PDC Emulator ihrer Domaene, und der PDC Emulator an der Gesamtstrukturwurzel sollte mit einer zuverlaessigen externen NTP-Quelle synchronisieren (wie time.nist.gov oder pool.ntp.org). Diese Hierarchie stellt sicher, dass alle Maschinen in der Gesamtstruktur innerhalb der akzeptablen Zeittoleranz liegen.

Wie konfiguriere ich den PDC Emulator fuer die Synchronisation mit einem externen NTP-Server?

Fuehren Sie diese Befehle auf dem PDC Emulator aus: w32tm /config /manualpeerlist:'0.pool.ntp.org 1.pool.ntp.org' /syncfromflags:manual /reliable:yes /update, dann starten Sie den Dienst mit 'net stop w32time && net start w32time' neu und erzwingen Sie eine Synchronisation mit 'w32tm /resync'. Dies konfiguriert den PDC fuer die Verwendung von externem NTP und kuendigt ihn als zuverlaessige Zeitquelle an.

Wie ueberprruefe ich, ob die Zeit korrekt synchronisiert ist?

Verwenden Sie 'w32tm /monitor', um die Zeitabweichung aller DCs in der Domaene zu ueberpruefen. Verwenden Sie 'w32tm /query /status', um die aktuelle Synchronisationsquelle und die letzte Synchronisationszeit auf jeder Maschine zu sehen. Verwenden Sie 'w32tm /stripchart /computer:time.nist.gov', um die Zeitabweichung zwischen der lokalen Maschine und einem NTP-Server in Echtzeit zu visualisieren.

Windows-Zeitdienste zur Zeitsynchronisation verwenden

Eine genaue Zeitsynchronisation ist in Windows-Umgebungen unerlasslich, insbesondere in Active-Directory-Domaenen, wo die Kerberos-Authentifizierung erfordert, dass die Uhren maximal 5 Minuten voneinander abweichen. Wenn die Zeit zu stark abweicht, koennen sich Benutzer nicht anmelden, Dienste scheitern bei der Authentifizierung und die Replikation kann zusammenbrechen. Dieser Leitfaden behandelt, wie die Windows-Zeitdienste (W32Time) funktionieren, wie man sie in einer AD-Umgebung korrekt konfiguriert und wie man Probleme mit der Zeitsynchronisation behebt.

Wie die Windows-Zeitsynchronisation funktioniert

Die NTP-Hierarchie in Active Directory

Active Directory verwendet ein hierarchisches Zeitsynchronisationsmodell:

External NTP Source (e.g., time.nist.gov, pool.ntp.org)
    └── PDC Emulator (Forest Root Domain)
          └── Domain Controllers
                └── Domain Member Computers

Domaenenmitgliedscomputer synchronisieren ihre Uhren mit dem Domaenencontroller, bei dem sie sich authentifiziert haben
Domaenencontroller synchronisieren mit dem PDC Emulator ihrer Domaene
Der PDC Emulator in der Stammdomaene der Gesamtstruktur sollte mit einer zuverlaessigen externen NTP-Quelle synchronisieren

Wenn der PDC Emulator keine externe Zeitquelle konfiguriert hat, verlaesst er sich auf seine eigene Hardwareuhr, die mit der Zeit erheblich abweichen kann — besonders auf virtuellen Maschinen.

Warum die Zeit wichtig ist

Kerberos-Authentifizierung hat eine Standard-Maximaltoleranz von 5 Minuten. Uhren ausserhalb dieses Fensters verursachen Authentifizierungsfehler.
AD-Replikation verwendet Zeitstempel zur Konfliktloesung. Falsche Zeit kann Replikationsprobleme verursachen.
Log-Korrelation zwischen Servern erfordert synchronisierte Zeit fuer genaue Ereignisanalyse.
Zertifikatsvalidierung haengt von genauer Zeit fuer Ablaufpruefungen ab.
Geplante Aufgaben und Backups laufen zur falschen Zeit, wenn die Uhren falsch gehen.

Den PDC Emulator fuer externes NTP konfigurieren

Die kritischste Konfiguration betrifft den PDC Emulator. Er ist die autoritative Zeitquelle fuer die gesamte Domaene (oder Gesamtstruktur).

Den PDC Emulator identifizieren

# Find the PDC Emulator
Get-ADDomain | Select-Object PDCEmulator

# Or use netdom
netdom query fsmo

Externe NTP-Quelle konfigurieren

Fuehren Sie diese Befehle auf dem PDC Emulator aus:

# Configure the NTP peers
w32tm /config /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org" /syncfromflags:manual /reliable:YES /update

# Restart the Windows Time service
net stop w32time
net start w32time

# Force an immediate sync
w32tm /resync /rediscover

Parameter erklaert:

/manualpeerlist — Durch Leerzeichen getrennte Liste von NTP-Servern
/syncfromflags:manual — Von der manuellen Peer-Liste synchronisieren (nicht von der Domaenenhierarchie)
/reliable:YES — Diesen Server als zuverlaessige Zeitquelle ankuendigen
/update — Die Konfigurationsaenderungen anwenden

Empfohlene NTP-Quellen

Quelle	Adresse	Hinweise
NTP Pool Project	`0.pool.ntp.org` bis `3.pool.ntp.org`	Verteilter Pool, haeufigste Wahl
NIST	`time.nist.gov`	Zeitserver der US-Regierung
Google	`time.google.com`	Verwendet den “Leap-Smearing”-Ansatz
Microsoft	`time.windows.com`	Standard fuer Windows ausserhalb einer Domaene

Fuer Redundanz geben Sie mehrere Server in der Peer-Liste an.

Domaenencontroller konfigurieren

Domaenencontroller ausser dem PDC Emulator sollten aus der Domaenenhierarchie synchronisieren (Standardverhalten):

# Reset a DC to sync from the domain hierarchy
w32tm /config /syncfromflags:domhier /update

# Restart the service
net stop w32time
net start w32time

Dies ist die Standardkonfiguration. Sie muessen dies nur ausfuehren, wenn ein DC zuvor mit manuellen Peers konfiguriert wurde.

Domaenenmitgliedscomputer konfigurieren

Domaenenmitglieder synchronisieren sich automatisch mit ihrem authentifizierenden DC. Normalerweise ist keine Konfiguration erforderlich. Falls Sie uebersteuern muessen:

# Force resync on a client
w32tm /resync

# Check the current time source
w32tm /query /source

W32tm-Befehlsreferenz

Synchronisationsstatus ueberpruefen

# Show current time source and status
w32tm /query /status

# Verbose status output
w32tm /query /status /verbose

# Show configured peers
w32tm /query /peers

# Show the current configuration
w32tm /query /configuration

Zeit in der gesamten Domaene ueberwachen

# Monitor all DCs in the domain
w32tm /monitor

# Monitor specific computers
w32tm /monitor /computers:DC01,DC02,DC03

# Stripchart (real-time offset display)
w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonly

Die /monitor-Ausgabe zeigt die Abweichung (in Sekunden) zwischen jedem DC und dem PDC Emulator. Alles ueber 1-2 Sekunden erfordert eine Untersuchung.

Resynchronisation erzwingen

# Force resync
w32tm /resync

# Force resync and rediscover peers
w32tm /resync /rediscover

# Force resync on a remote computer
w32tm /resync /computer:WORKSTATION01

Dienst registrieren und deregistrieren

# Re-register the W32Time service (fixes corrupted configurations)
w32tm /unregister
w32tm /register

# Then restart
net start w32time

Group-Policy-Konfiguration

Fuer grosse Umgebungen konfigurieren Sie die Zeitsynchronisation ueber Group Policy.

PDC Emulator ueber GPO konfigurieren

Erstellen Sie ein GPO, das mit der OU der Domain Controllers verknuepft ist, mit einem WMI-Filter, der nur den PDC Emulator anspricht:

WMI-Filter:

SELECT * FROM Win32_ComputerSystem WHERE DomainRole = 5

(DomainRole 5 = PDC Emulator)

GPO-Einstellungen:

Navigieren Sie zu:

Computer Configuration > Policies > Administrative Templates > System > Windows Time Service > Time Providers

Enable Windows NTP Client: Enabled
Configure Windows NTP Client:
- NtpServer: 0.pool.ntp.org,0x9 1.pool.ntp.org,0x9 2.pool.ntp.org,0x9
- Type: NTP
- CrossSiteSyncFlags: 2
- SpecialPollInterval: 3600

Das Flag 0x9 bedeutet NTP-Modus mit speziellem Abfrageintervall.

Alle anderen DCs ueber GPO konfigurieren

Erstellen Sie ein separates GPO fuer alle DCs mit einem WMI-Filter, der den PDC ausschliesst:

WMI-Filter:

SELECT * FROM Win32_ComputerSystem WHERE DomainRole = 4

(DomainRole 4 = Domain Controller, nicht PDC)

GPO-Einstellungen:

Configure Windows NTP Client:
- Type: NT5DS (aus der Domaenenhierarchie synchronisieren)

Domaenenmitglieder konfigurieren

Domaenenmitglieder synchronisieren standardmaessig aus der Hierarchie. Falls Sie ein GPO benoetigen:

Type: NT5DS

Fehlerbehebung bei Zeitsynchronisation

Die Zeit weicht auf einem Domaenencontroller ab

Pruefen Sie, ob der DC den PDC Emulator kennt:
```
w32tm /query /source
```
Sollte den Namen des PDC Emulators anzeigen.
Ueberpruefen Sie den Replikationszustand:
```
repadmin /replsummary
```
Erzwingen Sie die Resynchronisation:
```
w32tm /resync /rediscover
```

“The computer did not resync because no time data was available”

Das bedeutet, dass die konfigurierte Zeitquelle nicht erreichbar ist:

Falls auf dem PDC Emulator, ueberpruefen Sie, ob die Firewall UDP-Port 123 ausgehend zu den NTP-Servern erlaubt.
Testen Sie die Konnektivitaet: w32tm /stripchart /computer:pool.ntp.org /samples:3
Ueberpruefen Sie die DNS-Aufloesung der NTP-Servernamen.

Die Zeit weicht erheblich ab (mehr als 5 Minuten)

Kerberos kann die Authentifizierung verhindern. Stellen Sie die Zeit zuerst manuell ein:

# Manually set the time
net time /setsntp:time.nist.gov

# Or set it directly
w32tm /config /manualpeerlist:"time.nist.gov" /syncfromflags:manual /update
net stop w32time
net start w32time
w32tm /resync /force

Auf virtuellen Maschinen ueberpruefen Sie auch:

Hyper-V: Deaktivieren Sie den Integrationsdienst fuer Zeitsynchronisation, wenn die Zeit des Hosts falsch ist. Im Hyper-V-Manager > VM-Einstellungen > Integrationsdienste, deaktivieren Sie die Zeitsynchronisation.
VMware: Ueberpruefen Sie die Zeitsynchronisationseinstellungen der VMware Tools. In der .vmx-Datei setzen Sie tools.syncTime = "FALSE", wenn Sie die AD-Zeitsynchronisation verwenden.

Der W32Time-Dienst startet nicht

# Re-register the service
w32tm /unregister
w32tm /register
net start w32time

Falls das nicht funktioniert, ueberpruefen Sie die Registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time

Stellen Sie sicher, dass der Dienst mit dem Start-Wert 2 (Automatisch) konfiguriert ist.

Ereignisprotokolle ueberpruefen

Ereignisse des Zeitdienstes werden protokolliert unter:

Event Viewer > Applications and Services Logs > Microsoft > Windows > Time-Service

Ueberpruefen Sie auch das Systemprotokoll auf Event-IDs:

Event ID 35 — Der Zeitdienst synchronisiert sich jetzt mit…
Event ID 36 — Der Zeitdienst konnte sich nicht synchronisieren…
Event ID 129 — Der NTP-Clientanbieter kann den Server nicht erreichen…

Ueberlegungen zu virtuellen Maschinen

Virtuelle Maschinen sind besonders anfaellig fuer Zeitabweichungen:

Hyper-V-VMs haben einen Integrationsdienst fuer Zeitsynchronisation, der die Gastuhr mit dem Host synchronisiert. In AD-Umgebungen deaktivieren Sie dies fuer DCs, um Konflikte mit der AD-Zeithierarchie zu vermeiden.
VMware-VMs haben eine VMware-Tools-Zeitsynchronisation, die ebenfalls mit der AD-Zeitsynchronisation in Konflikt geraten kann. Deaktivieren Sie sie auf DCs.
Nach der Wiederherstellung einer VM aus einem Snapshot kann die Uhr auf die Snapshot-Zeit gesetzt sein. Fuehren Sie w32tm /resync /force sofort nach der Wiederherstellung aus.

Zusammenfassung

Die Windows-Zeitdienste (W32Time) halten die Uhrsynchronisation in Ihrer gesamten Active-Directory-Umgebung durch ein hierarchisches Modell aufrecht. Der kritischste Schritt ist die Konfiguration des PDC Emulators fuer die Synchronisation mit einer zuverlaessigen externen NTP-Quelle — ohne dies wird die Zeitabweichung an alle Domaenenmitglieder weitergegeben. Verwenden Sie w32tm /query /status zur Ueberpruefung der Konfiguration, w32tm /monitor zur Ueberpruefung aller DCs und Group Policy fuer die unternehmensweite Konfiguration. Auf virtuellen Maschinen achten Sie darauf, Konflikte zwischen der Hypervisor-Zeitsynchronisation und der AD-Zeithierarchie zu vermeiden.