Sysadmin > NtP > NtpPeerProblemWindows

Problem with NTP queries from Windows as peer


wir hatten letztens einen Ausfall in der AD, nachdem die Zeitserver (NTP1 - NTP6) einen Patch bekommen haben. Der Patch bewirkt, dass unsere PDCs keine Zeit mehr bekommen und nach 24 Stunden dann letztlich die Zeit auch nicht mehr an die Clients weitergeben.

Inzwischen habe wir die Ursache und eine Lösung gefunden. Der PDC darf nicht mehr als "Peer" gegenüber dem Zeitserver auftreten, sondern nur noch als "Client". Das kann man konfigurieren in dem man "0x8" an den Namen des Zeitservers hängt.

Ich habe das in der AD erfolgreich getestet. Auch in der AD ist der Eintrag inzwischen auf dem PDC gesetzt. Derzeit laufen der NTP5 und NTP6 mit dem Patch. Bei den anderen wurde der Patch zurückgezogen. Bevor nun alle wieder den Patch bekommen, sollte die Änderung auch in allen anderen Umgebungen gemacht werden. Evtl. sind auch IPSEC Regeln anzupassen, wenn alle 6 NTP Server eingetragen werden sollen.

Die aktuelle Konfiguration für den Registry Key "NTP Server" in der AD sieht so aus:

ntp1.example.com,0x9 ntp2.example.com,0x9 ntp3.example.com,0x9 ntp4.example.com,0x9 ntp5.example.com,0x9 ntp6.example.com,0x9

D.h. neben dem 0x8 wurde auch noch 0x1 gesetzt, damit fragt der PDC regelmäßiger die NTP Server ab.