Vor dem Transfer der FSMO Rollen: Autoritativen Zeitserver im Active Directory anpassen

Im Rahmen der Migration des Active Directories von 2003 auf 2008 R2 muss die Rolle des PDC Emulators übergangsweise auf einen anderen Domänencontroller verschoben werden. Dabei gilt zu beachten, dass es sich beim PDC Emulator um den autoritativen Zeitgeber für das gesamte Active Directory handelt:

    By default, the domain controller that holds the PDC emulator master role in the forest root domain is the reliable time source at the top of the time-source domain hierarchy for the forest. [1]

Wird die Rolle des PDC Emulators verschoben, muss die Hierarchie entsprechend angepasst und der neue Server als zuverlässige Zeitquelle konfiguriert werden. In der Regel wird hierfür eine Synchronisiation mit einem NTP-Server im Internet eingerichtet.

Zunächst wird die aktuelle Hierarchie der Domäne wie folgt überprüft:

C:\>w32tm /monitor
dc1.domain.dom[172.16.0.55:123]:
    ICMP: 0ms delay
    NTP: -0.0016321s offset from dc3.domain.dom
        RefID: dc3.domain.dom [172.16.0.5]
        Stratum: 5
dc2.domain.dom[172.16.0.4:123]:
    ICMP: 0ms delay
    NTP: -0.0085320s offset from dc3.domain.dom
        RefID: dc3.domain.dom [172.16.0.5]
        Stratum: 5
dc3.domain.dom *** PDC ***[172.16.0.5:123]:
    ICMP: 0ms delay
    NTP: +0.0000000s offset from dc3.domain.dom
        RefID: ptbtime1.ptb.de [192.53.103.108]
        Stratum: 4
dc4.domain.dom[192.168.26.3:123]:
    ICMP: 36ms delay
    NTP: -0.0011915s offset from dc3.domain.dom
        RefID: dc3.domain.dom [172.16.0.5]
        Stratum: 5
dc5.domain.dom[172.18.0.2:123]:
    ICMP: 34ms delay
    NTP: +0.0571048s offset from dc3.domain.dom
        RefID: dc3.domain.dom [172.16.0.5]
        Stratum: 5
dc5.domain.dom[172.17.0.100:123]:
    ICMP: 37ms delay
    NTP: +0.0035574s offset from dc3.domain.dom
        RefID: dc3.domain.dom [172.16.0.5]
        Stratum: 5

Wie zu sehen ist, existieren in der Domäne insgesamt sechs Domänencontroller und DC3 beinhaltet die Rolle des PDC Emulators. Während alle anderen Domänencontroller DC3 als autoritativen Zeitserver ansehen (RefID) und ihre Zeit von dort beziehen, erhält DC3 selbst seine Zeit vom externen NTP-Server ptbtime1.ptb.de.

Soll die Rolle des PDC Emulators z.B. von DC3 auf DC2 verschoben werden, muss die Konfiguration des Windows Time Service auf DC2 angepasst werden. Aktuell bezieht DC2 seine Zeit gemäß Hierarchie von Domänencontroller und PDC Emulator DC3:

C:\>w32tm /query /computer:dc2 /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0809174s
Root Dispersion: 1.9102004s
ReferenceId: 0xB4000005 (source IP:  172.16.0.5)
Last Successful Sync Time: 13.09.2011 16:38:12
Source: dc3.domain.dom
Poll Interval: 9 (512s)

Um DC2 als zuverlässige Zeitquelle zu konfigurieren und mit einem externen NTP-Server zu synchronisieren, werden entweder die Registry-Einträge des W32Time Dienstes wie im Artikel How to configure an authoritative time server in Windows Server manuell geändert oder auf DC2 folgender Befehl ausgeführt:

C:\>w32tm /config /manualpeerlist:ptbtime1.ptb.de /syncfromflags:manual /reliable:yes /update
The command completed successfully.

Anschließend ist auf DC2 nicht mehr DC3, sondern ein externer NTP-Server der PTB als Zeitquelle definiert:

C:\>w32tm /query /computer:dc2 /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0809174s
Root Dispersion: 1.9102004s
ReferenceId: 0xB4000005 (source IP:  192.53.103.108)
Last Successful Sync Time: 13.09.2011 16:38:12
Source: ptbtime1.ptb.de
Poll Interval: 9 (512s)

Danach kann die FSMO Rolle des PDC-Emulators auf DC2 verschoben werden. Anschließend wird der Zeitdienst auf DC3 so konfiguriert, dass er nicht mehr als zuverlässige Zeitquelle fungiert und seine Zeit gemäß Domänenhierarchie bezieht:

C:\>w32tm /config /syncfromflags:domhier /reliable:no /update
The command completed successfully.

C:\>net stop w32time && net start w32time
The Windows Time service is stopping.
The Windows Time service was stopped successfully.

The Windows Time service is starting.
The Windows Time service was started successfully.

Um die Änderung bekannt zu geben, wird auf allen anderen DC folgender Befehl ausgeführt:

C:\>w32tm /resync /rediscover
Sending resync command to local computer
The command completed successfully.

Anschließend sollten alle Domänencontroller ihre Zeit vom neuen PDC Emulator und autoritativen Zeitgeber DC2 beziehen:

C:\>w32tm /monitor
dc1.domain.dom[172.16.0.55:123]:
    ICMP: 0ms delay
    NTP: -0.0241047s offset from dc2.domain.dom
        RefID: dc2.domain.dom [172.16.0.4]
        Stratum: 5
dc2.domain.dom *** PDC ***[172.16.0.4:123]:
    ICMP: 0ms delay
    NTP: +0.0000000s offset from dc2.domain.dom
        RefID: ptbtime1.ptb.de [192.53.103.108]
        Stratum: 4
dc3.domain.dom[172.16.0.5]:123]:
    ICMP: 0ms delay
    NTP: -0.0019425s offset from dc2.domain.dom
        RefID: dc2.domain.dom [172.16.0.4]
        Stratum: 5
dc4.domain.dom[192.168.26.3:123]:
    ICMP: 34ms delay
    NTP: -0.0012029s offset from dc2.domain.dom
        RefID: dc2.domain.dom [172.16.0.4]
        Stratum: 5
dc5.domain.dom[192.168.60.2:123]:
    ICMP: 23ms delay
    NTP: +0.0080481s offset from dc2.domain.dom
        RefID: dc2.domain.dom [172.16.0.4]
        Stratum: 5
dc6.domain.dom[172.17.0.100:123]:
    ICMP: 32ms delay
    NTP: +0.0031522s offset from dc2.domain.dom
        RefID: dc2.domain.dom [172.16.0.4]
        Stratum: 5

Soll die Rolle des PDC Emulators nach abgeschlossener Migration wieder auf den ursprünglichen Server wechseln, müssen die Schritte entsprechend wiederholt werden.

Ebenfalls lesenswert zu dem Thema sind die Artikel Configuring the Windows Time Service for Windows Server, How Windows Time Service Works und Keeping the Domain On Time.

[1] http://technet.microsoft.com/en-us/library/cc784800(WS.10).aspx

0 Responses to “Vor dem Transfer der FSMO Rollen: Autoritativen Zeitserver im Active Directory anpassen”



  1. Schreibe einen Kommentar

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s





%d Bloggern gefällt das: