Windows 10 in Domain: Zeit lässt sich u.U. nicht mehr stellen

Ein Blog-Leser ist in seiner Domänenumgebung auf einen merkwürdigen Effekt gestoßen. Er kann die Zeit auf den Rechnern mit Windows 10 nicht mehr ändern, diese lässt sich höchstens noch synchronisieren.


Anzeige

Blog-Leser Heiko hatte die Informationen im Diskussionsbereich eingestellt. Ich ziehe es mal als Beitrag separat hier heraus.

Die Umgebung und eine Beobachtung

Es geht um eine Domänenumgebung, in der Windows 10-Clients eingebunden sind. Dort soll die Zeit über die Einstellungen-App von Windows 10 geändert werden. Heiko schreibt dazu:

ich bin die Tage in unserer Domänenumgebung bei den Windows 10-Clients auf ein interessantes Phänomen aufmerksam geworden. (Nach einigen Tests kann ich übrigens bestätigen, dass zumindest das Phänomen mit der gesperrten Zeit-Einstellung in der Einstellungs App schon unter Windows 8.1 existiert.)

Worum geht es genau: Unsere Windows 10-Clients (Windows 10 1903 x64) in der Domäne ziehen automatisch die Zeit vom DC. Soweit so gut.

Aber interessanterweise ist es dann nicht mehr möglich, in der Windows 10 Einstellungs App die Zeit manuell zu setzen oder eine manuelle Zeitsynchronisierung anzustoßen.

Das ist natürlich doof wenn man mal was testen muss. Heiko hat dann nach einigem hin und her mal die alte DateTime.cpl der Systemsteuerung aufgerufen und erlebte eine Überraschung: Hier konnte er zumindest die Uhrzeit manuell stellen. Heiko schreibt, dass sich das geschilderte Verhalten übrigens auch bei Administratorkonten zeige.

Weitere Erkenntnisse

Heiko hat dann etwas experimentiert und etwas mit dem Befehl w32tm gespielt. Dabei hat er herausgefunden, dass sich mit der Eingabe:

w32tm /config /syncfromflags:all /update

zumindest die Zeitsync-Schaltfläche in der Windows 10 Einstellungenseite freischalten lässt. Aber sobald diese angewählt wird, erscheint sofort die Meldung “Synchronisation fehlgeschlagen“. Allerdings findet sich im Eventlog kein Eintrag auf eine versuchte Synchronisation und w32tm.exe liefert die Ausgabe “letzte Synchronisation erfolgreich“.

Heiko würde interessieren, ob andere Nutzer dieses Verhalten nachvollziehen können oder ob es an einer Fehlkonfiguration auf den Clients des Anwenders liegt?


Anzeige


Dieser Beitrag wurde unter Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Windows 10 in Domain: Zeit lässt sich u.U. nicht mehr stellen


  1. Anzeige
  2. egal sagt:

    Bug oder feature? =)

    Könnte beides sein aber es ist zumindest auch logisch erklärbar:

    1. Die Domäne steht hierarchisch über dem Admin also nix mit manueller Änderung; bei Anwendern auch zum Schutz für diese oder vor diesen ;)
    2. Korrekt auf die Domänenhierarchie zu synchronisieren wäre /syncfromflags:domhier
    3. Der Befehl syncfromflags:all vereint domhier und manual
    4. Für manual muss man natürlich entsprechende Server angeben können (z.B. manuell eintragen oder mit /manualpeerlist:NTPSERVER)
    5. Dass im Eventlog nichts steht könnte damit zusammenhängen, dass der Fehler wegen dem fehlenden Server bereits vor dem Versuch der Synchronisierung auftritt.
    6. Ich gehe davon aus, dass der Schalter zur automatischen Synchronisierung deaktiviert wurde :D

    HTH / Leider viel Spekulation

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/ff799054(v=ws.11)

    • JohnRipper sagt:

      Wobei man relativ viel tun muss um den Sync in deiner AD zu deaktivieren. Eben weil man es nicht machen sollte.

    • Heiko sagt:

      “5. Dass im Eventlog nichts steht könnte damit zusammenhängen, dass der Fehler wegen dem fehlenden Server bereits vor dem Versuch der Synchronisierung auftritt.”

      Macht nicht so viel Sinn, da erstens die manuelle Zeitsynchronisation per w32tm.exe funktioniert und er zweitens in der Oberfläche angibt den DC als Zeitserver zu verwenden.

  3. Dat Bundesferkel sagt:

    Kann ich bestätigen. Auch auf meinen Domänen-Clients ist die Option die Zeit zu stellen unter 2004 deaktiviert (ohne weiteres zutun).
    Salopp nur ein “Einige dieser Einstellungen sind ausgeblendet oder werden von Ihrer Organisation verwaltet.”

    Tatsächlich habe ich aber auch erst jetzt darauf geachtet. Verhalten scheint bekannt zu sein:
    https://answers.microsoft.com/en-us/windows/forum/windows_10-other_settings/set-time-automatically-option-grayed-out/4c09dc02-3983-4edd-bf30-50c3d8b2a025?page=1

    Man könnte nun, lt. Forenbeiträgen, wohl den Dienst NLA deaktivieren und via klassischer Systemsteuerung (oder Befehlen) die Uhrzeit setzen.

    Die Fehlermeldung, die der Heiko bekommt, ist nachvollziehbar. Das liegt einfach daran, daß einer der DCs als primärer Zeitgeber festgelegt ist und Microsoft Probleme mit der Kerberos-Authentifizierung vermeiden möchte.

  4. Anzeige

  5. Harald.L sagt:

    Das ist doch nicht neu? Auch mein damaliger Win7 Pro Desktop in der Domäne der Firma (auf dem ich aber lokale Adminrechte hatte) hatte das deaktiviert. Sollte eine Domänenrichtlinie sein, und es soll Probleme geben wenn die Zeit des Clients mehr als 5 Minuten vom Domaincontroller abweicht. Ich verweise mal auf einen Thread bereits aus 2006:
    https://www.mcseboard.de/topic/82442-dom%C3%A4nenuser-soll-lokale-systemzeit-%C3%A4ndern-d%C3%BCrfen/

    • Heiko sagt:

      Das “Zuweisen vom Benutzerrecht -Zeit ändern-” hilft nur für “TimeDate.cpl”. Das wird von der W10 Einstellungen App ignoriert.

  6. riedenthied sagt:

    Das ist ja auch mehr als sinnvoll. Kerberos funktioniert bei einer Abweichung von mehr als 5 Minuten nicht mehr.

  7. JohnRIpper sagt:

    Das muss ja auch so sein. In einem Netzwerk gibt es keinen Grund an den Zeiteinstellungen der lokalen Clients zu fummeln.

    Wenn man Zeitabweichungen von +/-5 Min hat, dann hat man aber ganz andere Probleme in seiner Domäne.

  8. Torsten sagt:

    Habe das auf den Client in der Firma getestet:
    Windows 7 ohne Admin-Rechte:
    – Rechte Maus auf Uhrzeit -> Datum/Uhrzeit ändern
    – Dialog mit Button “Datum und Uhrzeit ändern” erscheint (Button hat UAC-Logo)
    – nach Eingabe von Admin Kennwort Uhrzeit änderbar

    Windows 10 ohne Admin-Rechte
    – Rechte Maus auf Uhrzeit -> Datum/Uhrzeit ändern
    – Einstellungen-App geht auf mit:
    – Dropdown für Zeitzone
    – Schalter automatische Sommerzeit

    Windows 10 mit Admin-Rechte
    – Rechte Maus auf Uhrzeit -> Datum/Uhrzeit ändern
    – Einstellungen-App geht auf mit:
    – Dropdown für Zeitzone
    – Schalter automatische Sommerzeit
    – Schalter Uhrzeit automatisch festlegen
    – Schalter Zeitzone automatisch festlegen
    – Button Datum Uhrzeit ändern

    • Heiko sagt:

      Das du als Admin unter W10 die Uhr manuell stellen kannst, deutete wohl darauf hin, dass der PC entweder kein Domänenmitglied ist oder die Domain keine Zeit liefert bzw. Windows das nicht erkennt.

  9. Anzeige

  10. wufuc-MaD sagt:

    ist bei eigenständiger arbeitsstation nicht weniger problematisch.
    beschäftige mich seit ~3 Jahren damit.

    die uhrzeit ist DAS supraultimative mittel zur eindeutigen identifizierung eines devices.
    ms lässt sich das deshalt nicht aus der hand nehmen, jedenfalls nicht ohne klimmzüge.

    ich arbeite noch daran.

    gruß!

  11. Heiko sagt:

    Zwei Anmerkungen zum Artikel noch:
    1. Die manuell per w32tm gestartete Zeitsynchronisation funktioniert einwandfrei.
    2. Egal was per w32tm eingestellt wird ist es nicht möglich über die alte TimeDate.cpl eine Synchronisation zu starten, da das Register einfach fehlt.

    @Günter Born:
    Danke, dass Sie den Artikel erstellt haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.