Tijd syncen windows 7 met domain controller

Ik zag deze pagina voorbij komen. Heb je daar iets aan?

Voor zover ik begrijp heeft de registerwaarde niet zoveel zin omdat de service weer gekilled wordt nadat deze runt via de task manager.

(ervan uitgaande dat je wel reeds je DC in je w32tm config hebt zitten)

[ Voor 13% gewijzigd door Felyrion op 18-01-2016 23:34 ]

Ik heb ervoor gezorgd dat mijn domain controllers met een ntp server verbinden. Daarna ging het eigenlijk automatisch goed met al mijn clients.

Voorbeeld:
https://community.spicewo...-with-external-ntp-server

BachW schreef op woensdag 20 januari 2016 @ 16:04:
Ik heb ervoor gezorgd dat mijn domain controllers met een ntp server verbinden. Daarna ging het eigenlijk automatisch goed met al mijn clients.

Voorbeeld:
https://community.spicewo...-with-external-ntp-server

Je hoeft dit niet te doen op alle Domain Controllers. Je hoeft alleen je PDC te laten updaten met een NTP server (zoals ook in jouw link staat). De overige Domain Controllers synchroniseren met de PDC server (default) en de clients/member servers synchroniseren op hun beurt weer met een Domain Controller.

Let op dat VM's in den beginne altijd syncen met de host. Dit kan roet in het eten gooien voor domain joined machines wanneer de situatie niet ideaal is. Eventueel een puntje van aandacht.

nico_van_wijk schreef op maandag 18 januari 2016 @ 21:15:
Ik probeer er achter te komen hoe ik het interval van een windows 7 client voor het syncen met een domeincontroller kan aanpassen. De Windows 7 machine zit in het domein. Ik lees daar verschillende zaken over en snap niet helemaal hoe het zit.

Een domainjoined Windows 7 client regelt zelf wel dat zijn time in sync loopt met een DC. Deels gebasseerd op de ingestelde waarde bij "allowable time skew".

Waarom zou je dit handmatig willen beinvloeden?

Let verder even op dat de NTP variant in een Windows domain SNTP based is (simple network time protocol), en dus ietwat beperkt is. Voor realtime monitoring en dat soort zaken schiet het tekort.

Razwer schreef op donderdag 21 januari 2016 @ 09:59:
Let op dat VM's in den beginne altijd syncen met de host. Dit kan roet in het eten gooien voor domain joined machines wanneer de situatie niet ideaal is. Eventueel een puntje van aandacht.

Als de PDC gevirtualiseerd is, dan is het volgens mij zelfs mandatory om de time sync via de host uit te schakelen.

Stel dat een host niet in het domein hangt maar een standalone machine is, is er dan eigenlijk een goede best-practise om de host met de gevirtualiseerde PDC te laten syncen? Hier zijn natuurlijk 10.000 mogelijkheden voor, wat zijn enkele goede best-practises?

Wat mij vaak opvalt is dat als de time eenmaal skewed is (bijv. in de firmware aanpassen met meer dan 5 minuten verschil en dan booten) dat hij ook skewed blijft en dat je dan handmatig een w32tm /resync moet doen. Tenzij hij nog niet out of bounds is, dan wordt de tijd wel gewoon weer gesynct.

Hoe werkt de timesync eigenlijk met AzureAD? Is het dan time.windows.com? Of is het dan NT5DS?

AzureAD kent geen time sync. De tijd in on premise AD is van belang om dat AD kerberos authenticatie kent. In dit authenticatie protocol speelt de absolute tijd een rol.
AzureAD gebruikt geen kerberos. Authenticeren gebeurt o.a. met SAML, daar speelt de aboslute tijd geen rol.

[ Voor 3% gewijzigd door Semt-x op 21-01-2016 11:40 ]

Semt-x schreef op donderdag 21 januari 2016 @ 11:22:
AzureAD kent geen time sync. De tijd in on premise AD is van belang om dat AD kerberos authenticatie kent. In dit authenticatie protocol speelt de absolute tijd een rol.
AzureAD gebruikt geen kerberos. Authenticeren gebeurt o.a. met SAML, daar speelt de aboslute tijd geen rol.

doet het ook SAML met Windows 10 (OS) clients? Het is iets te nieuw voor mij om er mee gespeelt te hebben.

Azure Active Directory Domain Services PREVIEW
Your domain controller as a service

“Lift-and-shift” apps to Azure more easily than ever
Use LDAP, Active Directory domain join, NTLM, and Kerberos authentication
Rely on a managed, highly-available service
Get started in minutes, pay as you go
Develop and test with no identity worries
Manage Azure virtual machines effectively using Group Policy
Try it now

https://azure.microsoft.c...ices/active-directory-ds/
Het kan blijkbaar wel kerberos.
Nog een stukje: http://blogs.technet.com/...ed-domain-controller.aspx
Blijft mij onduidelijk of OS clients nu wel ok geen kerberos gebruiken. Op eerste oog lijkt het van wel...

maargoed gaat nu beetje offtopic

SAML is OS onafhankelijk en werkt met Windows, Mac en Linux clients. Het bestaat vanaf 2002 en is vanaf Windows 2003 in de vorm van ADFS 1.0 beschikbaar in de Windows wereld. Heel nieuw is het niet.

De dienst die je linkt is een "domain controller as a service", dat is wel nieuw, het is een Azure dienst. Je kan het zien als DC in een ander datacenter. Het heeft verder niets te maken met AzureAD.

Semt-x schreef op donderdag 21 januari 2016 @ 13:43:
SAML is OS onafhankelijk en werkt met Windows, Mac en Linux clients. Het bestaat vanaf 2002 en is vanaf Windows 2003 in de vorm van ADFS 1.0 beschikbaar in de Windows wereld. Heel nieuw is het niet.

De dienst die je linkt is een "domain controller as a service", dat is wel nieuw, het is een Azure dienst. Je kan het zien als DC in een ander datacenter. Het heeft verder niets te maken met AzureAD.

Het "domain controller as a service" is onderdeel van hoor kerel. Dat de "oude" Azure AD SAML doet is oud nieuws.
Het is sinds enkele maanden mogelijk om via je "gewone" Azure AD Windows (10) machines te plakken. Zie onder andere hier: http://blogs.technet.com/...rise-cloud-a-reality.aspx

Vandaar dat ik benieuwd ben over authenticatie/kerberos/time sync.