Fehlerbehebung für den Windows-Zeitdienst

Der Windows-Zeitdienst ist in Active Directory sehr wichtig. Standardmäßig erfordert die Kerberos-Authentifizierung, dass die Uhren aller Computer in der Domäne mit einer Genauigkeit von fünf Minuten synchronisiert werden, wenn sie um Zeitzonenunterschiede und Sommerzeit korrigiert werden. Maschinen, deren Uhren außerhalb dieses Bereichs liegen, können sich nicht authentifizieren und haben daher keinen Zugriff auf Domänenressourcen.

In einer AD-Domäne ist der Domänencontroller (DC), der die PDC-Emulator FSMO-Rolle innehat, der Master-Zeitserver für die gesamte Domäne. Das bedeutet jedoch nicht, dass jeder Rechner in der Domäne seine Uhr direkt mit dem PDC-Emulator synchronisiert. Andere DCs synchronisieren sich mit dem PDC-Emulator, während Mitgliedsserver und Clients sich mit jedem DC synchronisieren können. In dieser Hierarchie sollte der PDC-Emulator der einzige Computer sein, der für die Synchronisierung mit einer externen Zeitquelle, wie z. B. einem öffentlichen NTP-Server, konfiguriert ist. Alles andere in der Domäne sollte für die Synchronisierung mit AD konfiguriert sein. Jede andere Konfiguration kann zu einem Verlust der Uhrensynchronisation führen.
Ausführliche Informationen zur Funktionsweise des Windows-Zeitdienstes finden Sie auf dieser TechNet-Site.
Bestimmen Sie das Ausmaß des Problems
Der erste Schritt bei der Problembehandlung eines Problems mit dem Windows-Zeitdienst sollte darin bestehen, festzustellen, wie viele Computer betroffen sind. Wenn die Zeit auf nur einem Computer falsch ist, unterscheiden sich die zur Behebung des Problems erforderlichen Schritte von den Schritten, die zur Behebung eines domänenweiten Zeitproblems erforderlich sind.
Wenn nur wenige Computer betroffen sind

1. Wenn auf dem betroffenen Computer Windows Vista oder höher ausgeführt wird, führen Sie w32tm /query /source an einer Befehlszeile aus, um die Zeitquelle des betroffenen Computers zu ermitteln. Eine externe Zeitquelle sollte nur aufgelistet werden, wenn dieser Befehl auf dem PDC-Emulator ausgeführt wird; andernfalls sollte der Befehl den Namen eines DC in der Domäne ausgeben.
2. Der Befehl w32tm /query /status zeigt auch die Zeitquelle des Computers sowie andere potenziell nützliche Informationen an. Der Schalter /verbose liefert noch mehr Informationen. Wie der erste Befehl sind diese Schalter nur auf Computern mit Windows Vista oder höher verfügbar.
3. Wenn die richtige Zeitquelle aufgelistet ist, können Sie mit w32tm /resync versuchen, die Uhr des Computers mit der Zeitquelle zu synchronisieren. Durch Hinzufügen des Schalters /rediscover zu diesem Befehl versucht der Computer zunächst, Zeitquellen im Netzwerk zu ermitteln und dann eine Neusynchronisierung vorzunehmen.
4. Um die Zeitquelle des Computers zu ändern, können Sie einen von zwei Befehlen verwenden:
   w32tm /config /syncfromflags:DOMHIER /update konfiguriert den Computer so, dass er die Domänenhierarchie (AD) als Zeitquelle verwendet.
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update konfiguriert den Rechner so, dass er die Zeitserver in <list> als Zeitquelle verwendet.
   HINWEIS: Wenn mehrere Zeitserver in <list> angegeben werden, müssen sie durch Leerzeichen getrennt werden und die gesamte Liste muss in Anführungszeichen eingeschlossen sein.

Wenn die gesamte Domäne betroffen ist

1. Wenn die Zeit auf allen Rechnern in der Domäne falsch ist, ist der PDC-Emulator sehr wahrscheinlich die Ursache des Problems. Führen Sie den Befehl netdom query fsmo auf einem DC aus, um festzustellen, welcher DC die Rolle des PDC-Emulators innehat.
2. Führen Sie w32tm /query /source von einer Eingabeaufforderung auf dem PDC-Emulator aus, um sicherzustellen, dass er für die Synchronisierung mit einer externen Zeitquelle konfiguriert ist. Der PDC-Emulator sollte niemals so konfiguriert werden, dass er sich mit der Domäne synchronisiert, da er die Hauptzeitquelle der Domäne ist.
3. Wenn der PDC-Emulator eine virtuelle Maschine (VM) ist, deaktivieren Sie die Synchronisierung der Uhrzeit des Gasthosts. Das Verfahren hierfür hängt von dem Betriebssystem ab, das auf dem Virtualisierungshost läuft.
4. Um den PDC-Emulator für die Synchronisierung mit einem oder mehreren externen Zeitservern zu konfigurieren, verwenden Sie den folgenden Befehl:
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update
   HINWEIS: Wenn mehrere Zeitserver in <list> angegeben werden, müssen sie durch Leerzeichen getrennt werden, und die gesamte Liste muss in Anführungszeichen eingeschlossen sein.

Registrierungseinstellungen des Windows Time-Dienstes
Die in den obigen Verfahren angegebenen w32tm-Befehle nehmen Änderungen an den Registrierungswerten des Windows Time-Dienstes vor, die sich alle unter dem folgenden Registrierungsschlüssel befinden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
Es ist natürlich möglich, diese Werte manuell zu setzen, anstatt w32tm-Befehle zu verwenden. Wenn Sie sich dafür entscheiden, können sich die folgenden Seiten als nützlich erweisen:

• Windows Time Service Tools and Settings (enthält einen Abschnitt über Registrierungseinstellungen)
• How to Configure an Authoritative Time Server in Windows Server

Group Policy
Wenn Sie Änderungen am Windows Time Service mit w32tm-Befehlen oder über die Registrierung vornehmen, vorgenommen haben, diese Änderungen aber nicht oder nur für kurze Zeit wirksam werden, bevor sie wieder auf die vorherigen Werte zurückgesetzt werden, gibt es möglicherweise ein Gruppenrichtlinienobjekt (GPO), das Ihre Änderungen außer Kraft setzt. Die Gruppenrichtlinieneinstellungen für den Windows-Zeitdienst umfassen viele der Elemente, die auch über die Registrierung oder den Befehl w32tm konfiguriert werden können. Diese Einstellungen befinden sich an folgendem Ort:
Computerkonfiguration\Policies\Verwaltungsvorlagen\System\Windows Time Service
Rücksetzen der Registrierungswerte des Windows Time-Dienstes auf die Standardeinstellungen
Wenn alles andere fehlschlägt, kann der Windows Time-Dienst mit diesem Verfahren auf die Standardeinstellungen zurückgesetzt werden:

1. Öffnen Sie die Dienste-Konsole und stoppen Sie den Windows Time-Dienst (oder führen Sie net stop w32time über eine Eingabeaufforderung aus), wenn er läuft.
2. Öffnen Sie eine erweiterte Eingabeaufforderung und führen Sie w32tm /unregister aus, um den Windows Time-Dienst aus der Registrierung zu entfernen. Der Dienst wird nicht mehr in der Dienste-Konsole aufgeführt.
3. Führen Sie w32tm /register aus, um den Dienst mit den Standard-Registrierungseinstellungen neu zu erstellen.
4. Nehmen Sie alle erforderlichen Registrierungsänderungen vor und starten Sie dann den Windows Time-Dienst in der Dienste-Konsole oder mit dem Befehl net start w32time.