cat-hyper-v

Hyper-V, Domain Controller und die Zeit

HYPER-V

Server Virtualisierung ist hoch im Kurs und auch Domain Controller werden inzwischen fleissig virtualisiert. Wer allerdings einen Domain Controller als Virtual Machine betreibt, sollte besonderes Augenmerk auf die korrekte Zeitsynchronisation legen. Grundsätzlich sollte dies kein Problem darstellen, denn…

… jeder Active Directory Client synchronisiert seine Zeit mit einem Domain Controller
… jeder Domain Controller gleicht seine Zeit mit dem PDC Emulator (Primary Domain Controller Emulator) FSMO Rolle ab.
… der Domain Controller mit der PDC Emulator FSMO Rolle kann die Zeit mit einer externen Zeitquelle abgleichen.

Was wenn die Zeit “falsch” ist? Doch “falsch” ist nicht gleich “falsch” – Haben alle Active Directory Clients die gleiche falsche Uhrzeit konfiguriert, so funktioniert die Authentifizierung nach wie vor. Doch wird nur bei einzelnen Computer oder Domain Controller eine falsche Uhrzeit konfiguriert, kann dies zu grossen Problemen führen. Denn bereits eine Abweichung von fünf (5) Minuten reicht aus, damit die Kerberos-Tickets ihre Gültigkeit verlieren.

Dead on arrival?

Seit Windows Server 2008 wird kein Microsoft Zeitserver (time.windows.com) mehr vorkonfiguriert. Dies bedeutet dass auch kein automatischer Abgleich mehr erfolgt. Auf diesen Umstand wird nun im Active Directory Best Practices Analyzer von Windows Server 2008 R2 entsprechend hingewiesen:

The PDC emulator master srv-dc01.intra.server-talk.eu in this forest should be configured to correctly synchronize time from a valid time source

Diesen Fehler gilt es nun zunächst zu korrigieren, doch auch funktioniert das cmdlet net time nicht mehr wie früher. Eine Möglichkeit für Windows Server 2008 R2 wäre folgender Befehl. Dieser kann in einem Command Prompt als Administrator ausgeführt werden: w32tm /config /computer:srv-dc01.intra.server-talk.eu /manualpeerlist:ntp.metas.ch /syncfromflags:manual /update

In diesem Beispiel wird der NTP Server von METAS verwendet. METAS ist das nationale Metrologieinstitut der Schweizerischen Eidgenossenschaft. Der Abgleich mit dem Zeitserver im Internet erfolgt jeweils mittels UDP 123. Dieser Port muss auch entsprechend auf der Firewall geöffnet werden, damit der Domain Controller mit dem Internet kommunizieren kann.

Do’s and Dont’s – was man vermeiden sollte

In einer Infrastruktur wo Domain Controller virtuell betrieben werden gilt es zudem noch weitere Punkte zu beachten:

Auch ein Hypervisor aktualisiert die Zeit seiner Guests. Um Probleme zwischen Hyper-V Host und Virtual Machines zu verhindern, muss bei den Domain Controller in den Integration Components, VMware oder Xen Tools die Zeit Synchronisation deaktiviert werden.

Eine Virtual Machine muss immer heruntergefahren (Shutdown) und darf nie pausiert werden. Da bei einer Pause Zeit / Datum nicht verändert werden, kann unter Umstände nicht mehr repliziert werden und es können veraltete Objekte (Lingering Objects) entstehen.

Für einen Domain Controller sind Snapshots und Undo Virtual Hard Disks (VHDs) sind absolut tabu! Eine falsche Anwendung kann in einem Desaster mit Verlust von Active Directory Informationen enden.

Pro Domain muss mindestens ein physikalischer Domain Controller inklusive GC, DNS und den FSMO Rollen existieren. Wenn dennoch sämtliche Domain Controller virtualisiert wurden, sollten diese zumindest nicht auf ein CSV Volume gespeichert werden, um ein einfacheres und schnelleres Recovery durchführen zu können.

Dazu hat Microsoft ein umfangreiches Dokument veröffentlicht. Der Reference Guide kann jeweils direkt im Microsoft Download Center heruntergeladen werden: Running Domain Controllers in Hyper-V. Zum Lesen von Word Dokumenten ist Microsoft Office Word oder der Microsoft Word Viewer erforderlich.

Windows Patch-Level

Bevor eine Virtual Machine als Domain Controller in Betrieb genommen wird, muss noch sichergestellt werden dass diese im Minimum folgenden Patch-Level aufweisen:

Operating System Service Pack Hotfixes
Windows 2000 Server Service Pack 4 KB885875
Windows Server 2003 Service Pack 2 KB875495
Windows Server 2008 Service Pack 1 (RTM)

Weitere Informationen

Active Directory , Hyper-V

, , ,

About the Author

Michel Luescher is a solution architect in the worldwide Datacenter & Cloud Infrastructure Center of Excellence (CoE) at Microsoft Corporation based out of Zurich, Switzerland. Primarily, Michel is focused on hybrid cloud solutions (Hyper-V, System Center and Microsoft Azure). In addition Michel is speaker, blogger and author of several books.

Comments (1)

  • Michael Seidl says:

    Tolle Info, wir benutzen immer die NTP Server von http://www.pool.ntp.org , ist ein Verbund von NTP Server auf der ganzen Welt, auch ich stelle hier einen Server. lg michael

     

Leave a Reply.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Error “Cluster Shared Volume is no longer available” mit Hyper-V Failover Cluster “Error Applying New Virtual Network Changes” bei Hyper-V