Tijdsynchronisatie in een Active Directory-omgeving is meer dan alleen het instellen van de juiste NTP-servers en hopen op het beste. Als de tijd niet goed gesynchroniseerd is, kunnen er vreemde dingen gebeuren: mislukte Kerberos-authenticatie, certificaatproblemen of cryptische foutmeldingen die volkomen onbegrijpelijk zijn totdat je beseft dat de klokken totaal niet op tijd staan. Het is nogal frustrerend dat Windows dit ingewikkelder maakt dan nodig, vooral met alle verschillende manieren om de tijdservice te configureren en het feit dat rollen zoals de PDC-emulator kunnen worden verplaatst. Deze handleiding is er dan ook op gericht om ervoor te zorgen dat de primaire domeincontroller (PDC) gesynchroniseerd is met een betrouwbare, externe NTP-provider – want Windows moet het natuurlijk weer ingewikkelder maken dan nodig. Daarna zouden de andere servers en clients zonder problemen moeten volgen. Het eindresultaat? Minder tijdgerelateerde problemen en een soepeler functioneren van het domein.
Hoe los ik de tijdssynchronisatie in een Active Directory-domein op?
Methode 1: Zorg ervoor dat de PDC-emulator is gesynchroniseerd met een externe NTP-bron.
Dit is essentieel omdat de PDC fungeert als de belangrijkste tijdautoriteit in het domein — als die niet klopt, volgt alles dat voorbeeld. Als uw domeincontroller (DC) niet synchroniseert met een echte NTP-server, sluipen er tijdsverschillen in die allerlei problemen veroorzaken.
- Identificeer eerst de huidige PDC-emulator door de volgende opdracht in PowerShell uit te voeren:
Get-ADDomain | Select-Object PDCEmulator- Dit helpt je te bepalen met welke server je moet knoeien.
- Controleer op de PDC welke tijdbron deze momenteel gebruikt:
w32tm /query /source- Als er ‘Local CMOS Clock’ staat of iets anders dan een externe NTP, dan is dat een teken dat je het moet repareren.
- Stop de Windows Tijd-service:
net stop w32time - Configureer het om een betrouwbare externe server te gebruiken, bijvoorbeeld van het pool.ntp.org-project. Voor het Verenigd Koninkrijk is dat doorgaans 0.uk.pool.ntp.org, 1.uk.pool.ntp.org, enzovoort.
- Loop:
-
w32tm /config /manualpeerlist:"0.uk.pool.ntp.org 1.uk.pool.ntp.org 2.uk.pool.ntp.org" /syncfromflags:manual /reliable:YES /update - Start vervolgens de tijdservice opnieuw op:
net start w32time- Een hersynchronisatie afdwingen:
w32tm /resync- Controleer tot slot de bron nogmaals met
w32tm /query /source. Er zou nu moeten staan: de externe NTP-servers.
Dit zou het belangrijkste probleem moeten oplossen, namelijk dat de PDC fungeert als een instabiele of alleen lokale tijdbron, vooral als het een virtuele machine betreft of als de systeemklok afwijkt.
Methode 2: Stel de NTP-configuratie in via Groepsbeleid (zodat deze behouden blijft, zelfs als de rol verandert).
Als je niet constant met commando’s wilt werken, of als je bang bent dat rollen veranderen, is het gebruik van GPO’s een slimme oplossing. Op deze manier wordt een server die de PDC-rol vervult, automatisch geconfigureerd om te synchroniseren met de juiste externe bronnen.
- Open de Group Policy Management Console ( GPMC.msc ).
- Maak een nieuw WMI-filter aan met:
Select * from Win32_ComputerSystem where DomainRole = 5- Koppel dat filter aan een nieuw groepsbeleidsobject (GPO) en ga naar Computerconfiguratie -> Beleid -> Beheersjablonen -> Systeem -> Windows Tijdservice -> Tijdproviders.
- Configureer deze GPO’s:
- Windows NTP-client configureren inschakelen: instellen op Ingeschakeld
- Windows NTP-client inschakelen: Ingeschakeld
- Windows NTP-server inschakelen: Ingeschakeld (indien nodig voor synchronisatie)
- Stel specifieke opties in bij Windows NTP-client configureren:
- NtpServer:
0.uk.pool.ntp.org, 0x8 1.uk.pool.ntp.org, 0x8 2.uk.pool.ntp.org, 0x8 3.uk.pool.ntp.org, 0x8 - Type: NTP
- Andere parameters kunt u op de standaardwaarden laten staan, tenzij u geavanceerde configuraties aanpast.
- NtpServer:
- Koppel dit groepsbeleidsobject aan de OU Domeincontrollers, zodat het van toepassing is op de domeincontroller met de rol van primaire domeincontroller (PDC).
Methode 3: Zorg ervoor dat de Windows Tijd-service correct is geconfigureerd op de clientcomputers.
De meeste pc’s en servers die aan een domein zijn gekoppeld, volgen gewoon de domeinhiërarchie, maar soms gaan instellingen mis of worden ze verkeerd geconfigureerd. Meestal synchroniseren ze automatisch met de domeincontroller (in NT5DS-modus), maar als dat niet gebeurt, kunt u dit afdwingen.
- Voer deze opdrachten uit in een PowerShell- of CMD-venster met beheerdersrechten om de tijdservice terug te zetten naar de standaard domeinhiërarchie:
-
net stop w32timew32tm /unregisterw32tm /registernet start w32timew32tm /resync - Controleer welke bron er nu gebruikt wordt:
w32tm /query /source- Als alles naar behoren werkt, zou hier LogonServer of uw domeinhierarchiebron moeten staan, en niet de lokale CMOS-klok.
Dat is het zo’n beetje. In de meeste gevallen lost het instellen van de PDC op een betrouwbare externe NTP-bron de problemen grotendeels op. Zorg ervoor dat de firewallpoorten (UDP 123) openstaan op uw NTP-servers en houd de gebeurtenislogboeken in de gaten als er nog steeds problemen zijn.
Samenvatting
- Vind je PDC-emulator met PowerShell.
- Configureer de PDC om te synchroniseren met een betrouwbare externe NTP-server, bijvoorbeeld van pool.ntp.org.
- Gebruik Groepsbeleid om deze configuratie consistent te houden op alle domeincontrollers, vooral als rollen wisselen.
- Zorg ervoor dat clientcomputers de domeinhiërarchie volgen en hun lokale klok niet verstoren.
Samenvatting
Het correct instellen van de tijd in Active Directory lijkt misschien een lastige klus, maar als het eenmaal goed is gedaan, verloopt alles een stuk soepeler. Geen cryptische logfouten, authenticatieproblemen of certificaatellende meer. Gewoon een op feiten gebaseerde, gesynchroniseerde tijd die ervoor zorgt dat uw domein optimaal blijft functioneren. Het werkte voor verschillende configuraties aan mijn kant – hopelijk helpt dit anderen om het wat minder lastig te maken.