Troubleshooting bei Problemen mit dem Windows-Zeitdienst w32time

Der Windows-Zeitdienst ist in Active Directory sehr wichtig. Standardmäßig erfordert die Kerberos-Authentifizierung, dass die Uhren auf allen Computern in der Domäne innerhalb von fünf Minuten synchronisiert werden, wenn Zeitzonenunterschiede und Sommerzeit korrigiert werden. Maschinen, deren Uhren außerhalb dieses Bereichs liegen, können sich nicht authentifizieren und haben keinen Zugriff auf Domänenressourcen.

In einer Active Directory-Domäne ist der Domänencontroller (DC), der die FSMO-Rolle „PDC Emulator“ besitzt, der primäre Zeitserver für die gesamte Domäne. Dies bedeutet nicht, dass jeder Computer in der Domäne sein Uhr direkt mit dem PDC-Emulator synchronisiert. Andere DCs werden mit dem PDC-Emulator synchronisiert, während Mitgliedsserver und Clients sich mit einem beliebigen DC synchronisieren können. In dieser Hierarchie sollte der PDC-Emulator der einzige Computer sein, der für die Synchronisierung mit einer externen Zeitquelle konfiguriert ist, z. B. einem öffentlichen NTP-Server. Alles andere in der Domäne muss so konfiguriert werden, dass es mit AD synchronisiert wird. Jede andere Konfiguration kann zu einem Verlust der Uhrzeitsynchronisierung führen.

Detaillierte Informationen zur Funktionsweise des Windows-Zeitdiensts finden Sie im Microsoft-Dokument. 

Bestimmen Sie das Ausmaß des Problems.

Der erste Schritt bei der Behebung eines Fehlers des Windows Zeitdienstes sollte darin bestehen, zu bestimmen, wie viele Computer betroffen sind. Wenn die Uhrzeit nur auf einem Computer falsch ist, unterscheiden sich die Schritte, die zum Beheben des Problems erforderlich sind, von den Schritten, die zum Beheben eines domänenweiten Zeitproblems erforderlich sind.

Wenn nur wenige Rechner betroffen sind:

1. Wenn auf dem betroffenen Computer Windows Vista oder höher ausgeführt wird, führen Sie Folgendes aus: w32tm /query /source an einer Eingabeaufforderung, um die Zeitquelle des betroffenen Rechners zu ermitteln. Eine externe Zeitquelle sollte nur angezeigt werden, wenn dieser Befehl auf dem PDC-Emulator ausgeführt wird. Andernfalls sollte der Befehl den Namen eines DC in der Domäne ausgeben.
2. Die Datei w32tm /query /status zeigt auch die Zeitquelle des Computers und andere potenziell nützliche Informationen an. Die Datei /verbose bietet noch mehr Informationen. Wie beim ersten Befehl sind diese Switches nur auf Computern verfügbar, auf denen Windows Vista oder höher ausgeführt wird.
3. Wenn die richtige Zeitquelle aufgeführt ist, können Sie w32tm /resync , um zu versuchen, die Uhr des Geräts mit der Zeitquelle neu zu synchronisieren. Hinzufügen der /rediscover Wenn Sie zu diesem Befehl wechseln, versucht das Gerät zunächst, Netzwerkzeitquellen zu ermitteln, und versucht dann, eine Neusynchronisierung durchzuführen.
4. Zum Ändern der Zeitquelle des Computers können Sie einen von zwei Befehlen verwenden:
   w32tm /config /syncfromflags:DOMHIER /update konfiguriert den Rechner so, dass er die Domänenhierarchie (AD) als Zeitquelle verwendet.
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update konfiguriert die Maschine für die Verwendung der Zeitserver in <list> als seine Zeitquelle.
   
   HINWEIS: Wenn mehrere Zeitserver in <list>, müssen sie durch Leerzeichen getrennt werden, und die gesamte Liste muss in Anführungszeichen eingeschlossen werden.

Wenn die gesamte Domain betroffen ist:

1. Wenn die Zeit auf allen Computern in der Domäne falsch ist, ist der PDC-Emulator sehr wahrscheinlich die Ursache des Problems. Führen Sie netdom query fsmo Befehl auf einem Domänencontroller, um zu bestimmen, welcher Domänencontroller die PDC-Emulatorrolle innehat.
2. Führen Sie w32tm /query /source über eine Eingabeaufforderung auf dem PDC-Emulator, um sicherzustellen, dass er für die Synchronisierung mit einer externen Zeitquelle konfiguriert ist. Der PDC-Emulator sollte nie für die Synchronisierung mit der Domäne konfiguriert werden, da es sich dabei um die Hauptzeitquelle der Domäne handelt.
3. Wenn der PDC-Emulator eine virtuelle Maschine (VM) ist, deaktivieren Sie die Gast-Host-Uhrzeitsynchronisation. Die Vorgehensweise ist abhängig vom Betriebssystem, das auf dem Virtualisierungs-Host ausgeführt wird.
4. Um den PDC-Emulator für die Synchronisierung mit einem oder mehreren externen Zeitservern zu konfigurieren, verwenden Sie den folgenden Befehl:
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update
   HINWEIS: Wenn mehrere Zeitserver in <list>, müssen sie durch Leerzeichen getrennt werden, und die gesamte Liste muss in Anführungszeichen eingeschlossen werden.

Registrierungseinstellungen für Windows Zeitdienst

Die Datei w32tm Befehle, die in den obigen Verfahren angegeben werden, ändern die Registrierungswerte des Windows-Zeitdienstes, die sich alle unter dem folgenden Registrierungsschlüssel befinden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time

Es ist möglich, diese Werte manuell festzulegen, anstatt w32tm Befehle. Wenn Sie sich dafür entscheiden, können sich die folgenden Microsoft-Dokumente als nützlich erweisen:

• Tools und Einstellungen für den Windows-Zeitdienst (enthält einen Abschnitt zu Registrierungseinstellungen)
• Konfigurieren eines autorisierenden Zeitservers in Windows Server

Gruppenrichtlinie

Wenn Sie zum Windows-Zeitdienst wechseln, indem Sie w32tm Befehle oder die Verwendung der Registrierung verwenden, diese Änderungen jedoch überhaupt nicht oder nur für kurze Zeit wirksam werden, bevor sie auf ihre vorherigen Werte zurückgesetzt werden, kann ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) Ihre Änderungen außer Kraft setzen. Die Gruppenrichtlinieneinstellungen für den Windows-Zeitdienst enthalten viele der gleichen Elemente, die mithilfe der Registrierung oder w32tm Befehle. Diese Einstellungen befinden sich an den folgenden Speicherorten:

Computer Configuration\Policies\Administrative Templates\System\Windows Time Service

Setzen Sie die Registrierungswerte des Windows-Zeitdienstes auf die Standardeinstellungen zurück.

Wenn alles andere fehlschlägt, setzt dieses Verfahren den Windows-Zeitdienst auf seine Standardeinstellungen zurück:

1. Öffnen Sie die Dienstekonsole und beenden Sie den Windows-Zeitdienst (oder führen Sie Folgendes aus: net stop w32time über eine Eingabeaufforderung), wenn es ausgeführt wird.
2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten und führen Sie Folgendes aus: w32tm /unregister , um den Windows-Zeitdienst aus der Registrierung zu entfernen. Der Service wird nicht mehr in der Servicekonsole aufgelistet.
3. Führen Sie w32tm /register , um den Dienst mit seinen Standardregistrierungseinstellungen neu zu erstellen.
4. Nehmen Sie alle erforderlichen Registrierungsänderungen vor und starten Sie dann den Windows-Zeitdienst in der Dienstekonsole oder mit dem Befehl net start w32time .

• Woher weiß ich, ob der Windows-Zeitdienst ausgeführt wird?

Um festzustellen, ob der Windows-Zeitdienst (auch als w32time  bezeichnet) ausgeführt wird, können Sie seinen Status in der Dienstekonsole überprüfen. Öffnen Sie die Konsole Services (Zugriff über services.msc), suchen Sie nach Windows Time, und überprüfen Sie, ob der Status Wird ausgeführt lautet. Sie können auch den Starttyp überprüfen, um sicherzustellen, dass er auf Automatisch oder Manuell eingestellt ist.

Schnelle Tipps zur Problembehandlung finden Sie im Meinberg-Artikel Schnelles Troubleshooting für die Synchronisierung des Windows-Zeitdienstes (w32time). 

• Wie genau ist der Windows-Zeitdienst?

Weitere Informationen finden Sie im Microsoft-Artikel Konfigurieren von Systemen für hohe Genauigkeit .