Kerberos-fouten of clock skew, tijd staat niet meer in lijn op de DC.
Kerberos vereist dat klokken binnen 5 minuten lopen. De PDC-emulator is de tijdbron voor het hele domein, dus die moet kloppen, anders sleurt hij iedereen mee.
Probeer dit eerst zelf
- 1Identificeer de PDC-emulator: netdom query fsmo. Op die DC moet w32tm /query /status NTP-bron tonen die extern is, niet 'Local CMOS Clock'.
- 2Configureer correct op de PDC: w32tm /config /manualpeerlist:'pool.ntp.org 0x9' /syncfromflags:manual /reliable:yes /update, daarna w32tm /resync.
- 3Andere DC's en members syncen automatisch met de PDC. Check met w32tm /monitor of w32tm /query /source: zou 'CMOS Clock' nooit moeten zijn op een member.
- 4Op virtuele DC's: tijdsynchronisatie via Hyper-V/VMware tools UIT zetten, anders vecht het met Windows Time. Alleen Windows Time zorgt voor tijd.
- 5Plan een hertest na een paar uur en na de volgende reboot. Time-issues komen soms pas na een herstart terug.
Wanneer ons inschakelen
Bij hardnekkige tijdsdrift op de host (CMOS-batterij leeg, oude hardware) is vervangen of upgraden van de host onvermijdelijk. Software lost geen sterven hardware op.
Zie ook
- Eén DC of twee DC's voor een MKB-kantoor?Twee is bijna altijd het juiste antwoord; één DC is een single point of failure voor logon, DNS en GPO.
- Moet ik FSMO-rollen verdelen over twee DC's?Voor een klein domein mag alles op één DC; bij twee DC's is verdelen netter maar geen must.
- Hoe weet ik of mijn AD-replicatie gezond is?Replicatie-fouten sluipen er stilletjes in; ze worden pas zichtbaar als logins of GPO's gek doen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.