Problemen oplossen met de Windows-tijdservice

De Windows-tijdservice is zeer belangrijk in Active Directory. Standaard vereist Kerberos-authenticatie dat de klokken op alle machines in het domein tot op vijf minuten van elkaar zijn gesynchroniseerd, gecorrigeerd voor tijdzoneverschillen en zomertijd. Machines waarvan de klok buiten dit bereik valt, kunnen niet worden geverifieerd en hebben dus geen toegang tot domeinbronnen.

In een AD-domein is de domeincontroller (DC) met de rol PDC Emulator FSMO de mastertijdserver voor het hele domein. Dit betekent echter niet dat elke machine in het domein zijn klok rechtstreeks synchroniseert met de PDC-Emulator. Andere DC’s synchroniseren met de PDC Emulator, terwijl aangesloten servers en clients met elk DC kunnen synchroniseren. In deze hiërarchie zou de PDC Emulator de enige machine moeten zijn die is geconfigureerd om te synchroniseren met een externe tijdbron, zoals een openbare NTP-server. Al het andere in het domein dient geconfigureerd te zijn om te synchroniseren met AD. Elke andere configuratie kan resulteren in een verlies van kloksynchronisatie.
Verwijs naar deze TechNet-site voor gedetailleerde informatie over hoe de Windows Time-service werkt.
Bepaal de omvang van het probleem
De eerste stap bij het oplossen van een probleem met de Windows Time-service moet zijn om vast te stellen hoeveel machines zijn getroffen. Als de tijd onjuist is op slechts één machine, zullen de stappen die nodig zijn om het probleem op te lossen anders zijn dan de stappen die nodig zijn om een domeinbreed tijdsprobleem op te lossen.
Als slechts een paar machines zijn getroffen

1. Als de getroffen machine Windows Vista of later draait, voert u w32tm /query /source uit op een opdrachtprompt om de tijdbron van de getroffen machine te bepalen. Een externe tijdbron zou alleen moeten worden vermeld als deze opdracht op de PDC Emulator wordt uitgevoerd; anders zou de opdracht de naam van een DC in het domein moeten uitvoeren.
2. De opdracht w32tm /query /status toont ook de tijdbron van de machine, evenals andere mogelijk nuttige informatie. De /verbose optie geeft nog meer informatie. Net als bij het eerste commando zijn deze opties alleen beschikbaar op machines met Windows Vista of hoger.
3. Als de juiste tijdbron in de lijst staat, kun je w32tm /resync gebruiken om te proberen de klok van de machine opnieuw te synchroniseren met de tijdbron. Door de schakeloptie /rediscover aan dit commando toe te voegen, probeert de machine eerst netwerktijdbronnen te vinden en daarna te synchroniseren.
4. Om de tijdbron van de machine te wijzigen, kun je een van de volgende twee commando’s gebruiken:
   w32tm /config /syncfromflags:DOMHIER /update configureert de machine om de domein hiërarchie (AD) als tijdbron te gebruiken.
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update configureert de machine om de tijdservers in <list> te gebruiken als zijn tijdbron.
   OPMERKING: Als er meerdere tijdservers worden opgegeven in <list>, moeten deze worden gescheiden door spaties en moet de hele lijst tussen aanhalingstekens worden geplaatst.

Als het hele domein is getroffen

1. Als de tijd onjuist is op alle machines in het domein, is de PDC Emulator zeer waarschijnlijk de bron van het probleem. Voer het commando netdom query fsmo uit op een DC om te bepalen welke DC de rol van PDC Emulator vervult.
2. Run w32tm /query /source vanaf een opdrachtprompt op de PDC Emulator om er zeker van te zijn dat deze is geconfigureerd om te synchroniseren met een externe tijdbron. De PDC Emulator mag nooit worden geconfigureerd om met het domein te synchroniseren, aangezien het de mastertijdbron van het domein is.
3. Als de PDC Emulator een virtuele machine (VM) is, schakelt u de kloksynchronisatie van de guest-host uit. De procedure hiervoor is afhankelijk van het besturingssysteem dat op de virtualisatiehost draait.
4. Om de PDC Emulator zo in te stellen dat deze met een of meer externe tijdservers synchroniseert, gebruikt u het volgende commando:
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update
   OPMERKING: Als in <list> meerdere tijdservers worden opgegeven, moeten deze door spaties van elkaar worden gescheiden en moet de hele lijst tussen aanhalingstekens worden geplaatst.

Windows Time service register instellingen
De w32tm opdrachten die in de bovenstaande procedures zijn gespecificeerd, brengen wijzigingen aan in de Windows Time service registerwaarden, die alle onder de volgende registersleutel staan:
HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\ServicesW32Time
Het is natuurlijk mogelijk om deze waarden handmatig in te stellen in plaats van met w32tm opdrachten. Als u ervoor kiest om dit te doen, kunnen de volgende sites nuttig blijken:

• Hulpmiddelen en instellingen voor Windows Time Service (bevat een sectie over registerinstellingen)
• Hoe een gezaghebbende tijdsserver configureren in Windows Server

Groepsbeleid
Als u wijzigingen aanbrengt in de Windows Time service met behulp van w32tm-opdrachten of via het register, maar die wijzigingen worden helemaal niet van kracht of worden slechts korte tijd van kracht voordat ze terugkeren naar hun vorige waarden, kan er een Groepsbeleidobject (GPO) zijn dat uw wijzigingen overschrijft. Groepsbeleidinstellingen voor de Windows Time-service omvatten veel van dezelfde items die kunnen worden geconfigureerd via het register of de w32tm-opdrachten. Deze instellingen kunnen worden gevonden op de volgende locatie:
Computerconfiguratie\Beleidssjablonen\SysteemWindows Time Service
De registerwaarden van de Windows Time-service terugzetten op de standaardinstellingen
Als al het andere faalt, kunt u met deze procedure de Windows Time-service terugzetten op de standaardinstellingen:

1. Open de Services-console en stop de Windows Time-service (of voer net stop w32time uit vanaf een opdrachtprompt) als deze actief is.
2. Open een verhoogde opdrachtprompt en voer w32tm /unregister uit om de Windows Time-service uit het register te verwijderen. De service wordt niet langer vermeld in de Services-console.
3. Run w32tm /register om de service opnieuw te maken met de standaardinstellingen in het register.
4. Maak de nodige wijzigingen in het register en start vervolgens de Windows Time-service in de Services-console of met de opdracht net start w32time.