Articles

Fejlfinding af Windows-tidstjenesten

On januar 4, 2022 by

Windows Tidstjeneste er meget vigtig i Active Directory. Som standard kræver Kerberos-godkendelse, at urene på alle maskiner i domænet skal være synkroniseret til inden for fem minutter af hinanden, når der korrigeres for forskelle i tidszoner og sommertid. Maskiner, hvis ure er uden for dette interval, kan ikke godkendes og har derfor ikke adgang til domænets ressourcer.

I et AD-domæne er den domænecontroller (DC), der har rollen PDC Emulator FSMO, hovedtidsserveren for hele domænet. Dette betyder dog ikke, at alle maskiner i domænet synkroniserer deres ur direkte med PDC-emulatoren. Andre DC’er synkroniserer med PDC Emulator, mens medlemsservere og klienter kan synkronisere med en hvilken som helst DC. I dette hierarki bør PDC Emulator være den eneste maskine, der er konfigureret til at synkronisere med en ekstern tidskilde, f.eks. en offentlig NTP-server. Alt andet i domænet bør være konfigureret til at synkronisere med AD. Enhver anden konfiguration kan resultere i et tab af ur-synkronisering.
Se dette TechNet-websted for detaljerede oplysninger om, hvordan Windows Time-tjenesten fungerer.
Det første skridt i fejlfinding af et problem med Windows Time-tjenesten bør være at fastslå, hvor mange maskiner der er påvirket. Hvis tiden kun er forkert på én maskine, vil de trin, der kræves for at løse problemet, være anderledes end de trin, der kræves for at løse et tidsproblem i hele domænet.
Hvis kun få maskiner er berørt

  1. Hvis den berørte maskine kører Windows Vista eller nyere, skal du køre w32tm /query /source på en kommandoprompt for at bestemme tidskilden for den berørte maskine. En ekstern tidskilde bør kun vises, hvis denne kommando køres på PDC-emulatoren; ellers bør kommandoen udstede navnet på en DC i domænet.
  2. Kommandoen w32tm /query /status viser også maskinens tidskilde samt andre potentielt nyttige oplysninger. Indstillingen /verbose giver endnu flere oplysninger. Som med den første kommando er disse switches kun tilgængelige på maskiner, der kører Windows Vista eller nyere.
  3. Hvis den korrekte tidskilde er angivet, kan du bruge w32tm /resync til at forsøge at resynkronisere maskinens ur med tidskilden. Hvis du tilføjer /rediscover-knappen til denne kommando, får du maskinen til først at forsøge at finde netværkstidskilder og derefter forsøge at resynkronisere.
  4. For at ændre maskinens tidskilde kan du bruge en af følgende to kommandoer:
    w32tm /config /syncfromflags:DOMHIER /update konfigurerer maskinen til at bruge domænehierarkiet (AD) som tidskilde.
    w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update konfigurerer maskinen til at bruge tidsserverne i <list> som dens tidskilde.
    BEMÆRK: Hvis der er angivet flere tidsservere i <list>, skal de være adskilt af mellemrum, og hele listen skal være omsluttet af anførselstegn.

Hvis hele domænet er påvirket

  1. Hvis tiden er forkert på alle maskiner i domænet, er det meget sandsynligt, at PDC-emulatoren er kilden til problemet. Kør kommandoen netdom query fsmo på en DC for at fastslå, hvilken DC der har PDC Emulator-rollen.
  2. Kør w32tm /query /source fra en kommandoprompt på PDC Emulator for at sikre, at den er konfigureret til at synkronisere med en ekstern tidskilde. PDC-emulatoren bør aldrig konfigureres til at synkronisere med domænet, da den er domænets mastertidskilde.
  3. Hvis PDC-emulatoren er en virtuel maskine (VM), skal du deaktivere gæsteværtens ur-synkronisering. Proceduren for at gøre dette afhænger af det operativsystem, der kører på den virtualiserede vært.
  4. For at konfigurere PDC Emulator til at synkronisere med en eller flere eksterne tidsservere skal du bruge følgende kommando:
    w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update
    BEMÆRK: Hvis der er angivet flere tidsservere i <list>, skal de være adskilt af mellemrum, og hele listen skal være omsluttet af anførselstegn.

Windows Time-tjenestens registerindstillinger
De w32tm-kommandoer, der er angivet i ovenstående procedurer, foretager ændringer i Windows Time-tjenestens registerværdier, som alle er placeret under følgende registernøgle:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
Det er naturligvis muligt at indstille disse værdier manuelt i stedet for at bruge w32tm-kommandoer. Hvis du vælger at gøre det, kan følgende websteder være nyttige:

  • Windows Time Service Tools and Settings (indeholder et afsnit om indstillinger i registreringsdatabasen)
  • How to Configure an Authoritative Time Server in Windows Server

Group Policy
Hvis du foretager ændringer i Windows Time Service ved hjælp af w32tm-kommandoer eller via registreringsdatabasen, men ændringerne slet ikke træder i kraft eller kun træder i kraft i kort tid, før de vender tilbage til de tidligere værdier, kan der være et gruppepolitikobjekt (GPO), der tilsidesætter dine ændringer. Gruppepolitikindstillingerne for Windows Time-tjenesten omfatter mange af de samme elementer, som kan konfigureres via registreringsdatabasen eller w32tm-kommandoer. Disse indstillinger findes på følgende sted:
Computerkonfiguration\Politikker\Administrative skabeloner\System\Windows Time Service
Nulstil Windows Time-tjenestens værdier i registreringsdatabasen til standardindstillingerne
Hvis alt andet mislykkes, kan denne procedure nulstille Windows Time-tjenesten til standardindstillingerne:

  1. Åbn konsollen Tjenester, og stop Windows Time-tjenesten (eller kør net stop w32time fra en kommandoprompt), hvis den kører.
  2. Åbn en forhøjet kommandoprompt, og kør w32tm /unregister for at fjerne Windows Time-tjenesten fra registreringsdatabasen. Tjenesten vil ikke længere være opført i konsollen Tjenester.
  3. Kør w32tm /register for at genskabe tjenesten med dens standardindstillinger i registreringsdatabasen.
  4. Før eventuelle nødvendige ændringer i registreringsdatabasen, og start derefter Windows Time-tjenesten i konsollen Tjenester eller med kommandoen net start w32time.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.