Innerhalb einer Domänenstruktur übernimmt der erste Domaincontroller die Aufgabe des PDC Emulators. Er ist der autorisierende Zeitserver der Domäne und für die Uhrzeiten aller anderen Domaincontroller, Server und Clients in der Gesamtstruktur verantwortlich.
Es ist also extrem wichtig, dass der PDC Emulator stets die richtige Uhrzeit anzeigt und nicht durcheinander kommt nach einem Neustart. Deswegen empfiehlt es sich (insbesondere bei virtualisierten Domaincontrollern) einen externen Zeitserver (bspw. de.pool.ntp.org) als Zeitquelle zu nutzen.
Ich zeige Euch hier, wie das per Gruppenrichtlinien funktioniert.
1. WMI-Filter erstellen
Da die externe Zeitquelle nur für den PDC-Emulator gelten sollte, muss ein WMI-Filter in der GPO-Verwaltung erstellt werden.
Die einzutragende WMI-Abfrage lautet:
Select * from Win32_ComputerSystem where DomainRole = 5
2. Gruppenrichtlinie erstellen
Eine neue Gruppenrichtlinie erstellen und der OU „Domain Controllers“ zuordnen. Außerdem muss nun der WMI-Filter ausgewählt werden.
Im GPO-Editor müssen zwei Richtlinien aktiviert und konfiguriert werden, die du unter folgendem Pfad findest:
Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Windows-Zeitdienst > Zeitanbieter
- Windows-NTP-Client konfigurieren
- NtpServer = de.pool.ntp.org
- Type = NTP
- Alle anderen Einstellungen sind Standardwerte und können übernommen werden.
- Windows-NTP-Client aktivieren
- „Aktiviert“ auswählen
3. Einstellungen prüfen
Sofortige Aktualisierung der Gruppenrichtlinien auf dem Domaincontroller mit
gpupdate /force
Abfrage der Zeitquelle
w32tm /query /source
Diese Abfrage sollte zur Sicherheit auch auf den anderen Domaincontrollern durchgeführt werden, um zu prüfen, ob dort weiterhin der erste DC als Zeitquelle hinterlegt ist.