Probleme mit Active Directory, Zeitunterschied zum Domänenc.

BennyTurbo · 21. März 2013

Hallo,

ich hoffe mir kann jemand helfen. Wir haben ein QNAP TS-859RP+ im Einsatz und nutzen dies als Backup Speicher für unsere VMware Umgebung als Datenspeicher für VEEAM Backup. Funktioniert seit 2011 eigentlich super, nur irgendwann fing es an zu nerven, da man vom Domänennetzwerk (PC's oder Server) nicht mehr auf die Volumes kommt vom QNAP. Die Meldung ist dann "Es besteht ein Zeitunterschied zwischen dem primären Domänencontroller. Es ist aber sporadisch, wenn er aber mal weg ist, kommt er erstmal nicht wieder....

Wenn ich im QNAP auf Aktualisieren gehe und als Zeitserver Server aus dem Internet nehme oder sogar den DC selbst, aktualisiert er die Zeit irgendwie verzögert und geht immer noch minimal anders als die Server Uhren.

Habe das QNAP schon platt gemacht (Platten auch gelöscht) und komplett neu aufgesetzt, jedoch bisher ohne Erfolg. Hab sogar Firmware wieder zurück auf 3.7.3 aber auch ohne Erfolg.

Woran kann das liegen? Habt Ihr das auch? Wenn ja, welche Lösung gibt es?

Gruß, Benny

awinterl · 22. März 2013

Hallo Benny,

Zitat von "BennyTurbo"

Hallo,

ich hoffe mir kann jemand helfen.

Helfen direkt wohl leider nicht...

Zitat

"Es besteht ein Zeitunterschied...

Wenn ich im QNAP auf Aktualisieren gehe und als Zeitserver Server aus dem Internet nehme oder sogar den DC selbst, aktualisiert er die Zeit irgendwie verzögert und geht immer noch minimal anders als die Server Uhren.

Grundsätzlich sollten alle Client Rechner in einem AD ihre Zeit auf den DC der Domäne Synchronisieren!
Von dem her sollte hier der DC Statisch eingetragen sein das macht Qnap aber eigentlich schon von alleine sobald das NAS in die Domäne genommen wird.
Minimale Abweichungen sollten dabei eigentlich auch unkritisch sein hab ich allerdings persönlich auch noch nicht erlebt.
Ich lasse das Nas alle 4 Stunden mit dem DC abgleichen im Standard setzt hier Qnap, soweit ich mich erinnern kann, 8 Stunden an was in meiner Umgebung aber nicht funktionierte.
Mit den 4 Stunden hatte ich jetzt noch nie Probleme mit Zeitabweichungen!

Zitat

Woran kann das liegen? Habt Ihr das auch? Wenn ja, welche Lösung gibt es?

Ich setzte das Nas ja nur in meiner privaten AD Umgebung ein und hier läuft das ganze eigentlich absolut Problemlos.
Ich hatte über die Jahre schon Geräte die schafften es einfach nicht die Uhr über eine Stunde synchron zu halten Abweichungen von 1 Minute zähle ich hier als Hardware Defekt die Teile gehen dann umgehend zurück.
Einzige Pseudo Lösung ist ansonsten noch den Sync Intervall auf wenige Minuten herunter zu drehen.
Deiner Beschreibung entnehme ich das es über die Jahre öfters vorkommt daher tippe ich hier eher auf einen Hardware Defekt wenn ansonsten in den Protokollen nichts zu finden ist.

Präsi · 22. März 2013

Hi,

hast Du mal versucht, die Zeit des DC`s und die Zeit des QNAPs von einem externen Zeitserver zu bekommen?
Diese Möglichkeit würde ich noch sehen (die gibt`s ja auch mit Boardmitteln bei QNAP).
Somit müssten dann alle Rechner innerhalb des AD - insbesondere aber das NAS und der/die DC`s, unabhängig voneinandner - die gleiche Zeit bekommen.

Allerdings kein Vorteil ohne Nachteil:
Sowohl das QNAP-NAS, als auch der DC müssten irgendwie Zugang zum Internet bekommen können.

Gruß

Sascha

BennyTurbo · 22. März 2013

Hi,

danke für die Tipps.

Also folgendes habe ich schon probiert:

DC bezieht seine Zeit vom Zeitserver aus dem Internet ptbtime1.ptb.de ...

Testweise das NAS direkt vom DC und testweise direkt vom Zeitserver im Inet... trotzdem sind leichte Unterschiede da und irgendwann setzt er aus und die Netzlaufwerke sind weg. Das blöde ist, dass dies z.B. in einem Veeam Backup Job passiert und dann mittendrin das Backup harkt weil Share weg ist. Aktuell helfe ich mir das ich nicht per AD Konto das Netzlaufwerk mappe sondern mit einem lokalen QNAP User... das frisst Windows bisher super. Kann man daher auf eine Lösung schliessen was man tun könnte?

Von meinem Laptop oder einem anderne Server komme ich selten auf das QNAP da er meine Windows Daten nimmt....

Was könnte denn defekt sein?

Gruß, Benny

Präsi · 22. März 2013

Hallo Benny,

verzeih` mir bitte die vielleicht etwas banale Frage (aber das geht aus Deinem ersten Post nicht wirklich deutlich hervor) , und diese Aussage von Dir verwirrt mich ein wenig:

Zitat von "BennyTurbo"

...da man vom Domänennetzwerk (PC's oder Server) nicht mehr auf die Volumes kommt vom QNAP.

Ist Dein QNAP Mitglied Deiner Domäne? Hier scheint mir doch ein Berechtigungs-Problem vorzuliegen.
Sowohl der Zugriff vom PC/Server, als auch - wie mein Vorredner bereits geschildert hat - die Zeitsynchronisation sollte innerhalb der Domäne funktionieren.

Gruß

Sascha

BennyTurbo · 22. März 2013

Hi,

das ist ja genau mein Problem. Der Zugriff ist da.... geht normalerweise.... QNAP ist Mitglied der Domäne....

Wenn ich auf das Volume gehe kommt die Meldung "Die Uhrzeit stimmt nicht mit dem primären Domaincontroller überein".... nächsten Tag geht es dann irgendwann wieder....

Hab schon zig Firmware Versionen durchprobiert und hatte das Problem früher nicht so stark .... :shock:

jody · 22. März 2013

hi
zum einen gibt es beim NAS die Möglichkeit, den Interval für die Zeitaktualisierung zu definieren (in Deinem Falle würde ich das pauschal mal auf stündlich setzen) somit dürften die beiden Uhrzeiten nicht großartig auseinanderlaufen.

Auf der AD-Seite kannst Du den Zeitdienst ggf. so konfigurieren, dass die Zeitdifferenz auch größer als 5 min sein darf (sollte jedoch mit Vorsicht...)

Mögliche Lösung wäre auch, das NAS via Internet zu syncen und als NTP-Server zu konfigurieren (ich weiß jedoch nicht ob es dafür ggf. ein QPKG gibt) dann kann der DC mit dem NAS syncen und alles sollte gut sein.

Grüße
Jody

BennyTurbo · 22. März 2013

Wo stellt man das in der AD ein, also welches Zeitintervall er akzeptieren darf?

Wie meinst Du das mit dem Zeitserver? Als zusätzliche App? In dem Feld von QNAP funktioniert das ja nicht wirklich gut wenn ich da einen NTP Server eintrage....

jody · 22. März 2013

Hi,

hilfreiche Quellen findest Du hier:
http://support.microsoft.com/kb/816042/de
http://support.microsoft.com/kb/223184/de
http://support.microsoft.com/kb/224799/de

Vornehmen kannst Du die Einstellungen über die Computerkonfiguration der DefaultDomainPolicy irgendwo unter Kerberos...

Das mit dem Zeitserver war so gemeint:
Du konfigurierst das Nas so, dass es seine Systemzeit aus dem Internet bezieht und gleichzeitig als NTP-Server arbeitet. Leider vermute ich, dass dazu ein Eingriff in das OS des NAS von nöten sein wird, da ich nicht weiß, ob es für Dein NAS ein QPKG-Paket gibt, welches die Funktion implementiert.

Zitat von "BennyTurbo"

In dem Feld von QNAP funktioniert das ja nicht wirklich gut wenn ich da einen NTP Server eintrage....

Eigentlich sollte das kein Problem sein! Entweder Du gibst dort eine IP oder einen Hostnamen ein.

Je nachdem wieviele DCs ihr im Netz habt, solltest Du dort eigentlich nur statt des Hostnamens Deines DCs (z.B. dc1.contoso.com) den Namen der Domäne eintragen (contoso.com). Das funktioniert aber nur wenn DNS in Deiner Domäne richtig konfiguriert ist.

awinterl · 22. März 2013

Zitat von "BennyTurbo"

Wo stellt man das in der AD ein, also welches Zeitintervall er akzeptieren darf?

Hallo Benny,
so wie man eigentlich fast alles im AD einstellt in den Gruppenrichtlinien man sollte hier allerdings genau Wissen was man tut, wie man es tut und vor allen Dingen welche Auswirkungen es hat!

Das wäre also auf jeden Fall die letzte Stellschraube an der ich etwas ändern würde!

BennyTurbo · 22. März 2013

Zitat von "jody"

Je nachdem wieviele DCs ihr im Netz habt, solltest Du dort eigentlich nur statt des Hostnamens Deines DCs (z.B. dc1.contoso.com) den Namen der Domäne eintragen (contoso.com). Das funktioniert aber nur wenn DNS in Deiner Domäne richtig konfiguriert ist.

AD/DNS ist sauber aufgesetzt.... haben 3 DC's... hab das mal probiert, das QNAP nimmt es an. Hab den Intervall jetzt auf 1 Stunde gesetzt. Im Moment kann ich auch darauf zugreifen. (Das ging vorhin nicht)... ich beobachte das mal. Hab den Wert in der Gruppenrichtlinie auch gefunden und ihn mal testweise von 5 Sek. auf 8 Sek. Toleranz gesetzt... da das QNAP meistens knapp über 5 Sek. falsch geht... irgendwie hab ich das Gefühl der Aktualisierungsmechanismus ist zu langsam die Uhr "Schnell" einzustellen von daher geht er nach der Timesync etwas nach...

Wäre ja super, wenn das so jetzt helfen würde.

Danke schon mal.

jody · 22. März 2013

Zitat von "BennyTurbo"

...und ihn mal testweise von 5 Sek. auf 8 Sek. Toleranz gesetzt... ...

Bist Du sicher, dass der Wert in Sekunden angegeben ist, nicht in Minuten?

Würd mich ja freuen, wenn ich Dir helfen konnte.
Grüße
Jody

BennyTurbo · 23. März 2013

Es war in Nanosekunden.... hab nur vorne die 5 auf 8 ersetzt und die 0en gelassen....

jody · 23. März 2013

Ich wäre sehr interessiert daran, ob die Lösung funktioniert hat, also wenn Du die Testphase abgeschlossen hast gib mal bitte ein Feedback
Grüße Jody

BennyTurbo · 26. März 2013

Rückmeldung: Hat nix gebracht.... Setze Zeiteinstellungen wieder zurück.

Was aber komisch ist. Gestern kam ich von meinem Rechner (Domäne) wunderbar drauf und mein Kollege nicht. Fehler wieder mit dem Zeitunterschied. Uhren gehen aber gleich ! Ich probiere es über 3 Windows Server die in der AD sind... funktioniert.

Heute gleicher Versuch, geht es bei 2 Servern... 1 Server will nicht, mein Rechner will heute auch nicht aufs QNAP , dafür aber der von meinem Kollegen.

Kann mir das mal jemand erklären? Ich glaub ja mittlerweile der Fehler mit der Uhrzeitsync zum Primären Domaincontroller ist nur ein Vorwand.... also falsche Fehlermeldung. Kann es sein, dass die Kerberos Sache im QNAP nicht sauber läuft? Nutze ich den "lokalen" User, also keine AD User, so funktioniert es immer und ich komme auf das NAS. Nur wenn ich eh in Windows eingeloggt bin, ist das sehr umständlich.... die AD NAmen sind auf jeden Fall freigegeben und im Wechsel läuft es ja auch. Nur warum nicht bei allen zu jeder Zeit? :-/

--- EDIT ---

Frage: Ich habe das QNAP als AD Mitglied eingebunden oder sollte ich evtl. nur die LDAP Variante wählen? Was nutzt Ihr?

--- EDIT ---

Hat jemand mal ein Beispiel, wie ich einen Microsoft LDAP (Windows Server) von den Daten her eintragen muss? Was muss in welches Feld? Ein Beispiel wäre toll.

Probleme mit Active Directory, Zeitunterschied zum Domänenc.

QTS 5.2.0.2744 Build 20240424 Public Beta

Multiple Vulnerabilities in Media Streaming Add-on

QuTS hero h5.2.0.2737 Build 20240417 Public Beta

QTS 5.2.0.2737 Build 20240417 Public Beta

Warnungs-Ablauf/Vorgang bei auffälligem HDD-Zustand....

nach Backup Ordnerstruktur wieder haben

Fenstergröße speichern?

Alert: Massive Zugriffs- oder Einbruchsversuche auf dem QNAP-NAS von außen

Kein Zugriff auf Einzellaufwerk

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

[QUICK HOW TO] QNAP Disks unter Windows mit UFS Explorer auslesen

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur