Diese Seite beschreibt, wie ein Windows-Domaincontroller als zuverlässiger Zeitserver konfiguriert wird – entweder als Zeitquelle für andere Clients oder als Empfänger externer Zeitquellen (z. B. pool.ntp.org).

Das folgende Skript setzt den DC als NTP-Client und konfiguriert externe Zeitserver:

# Externe Zeitserver definieren
$NtpServers = "0.ch.pool.ntp.org,0x1 1.ch.pool.ntp.org,0x1"

# Registry-Eintrag setzen
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters" -Name "NtpServer" -Value $NtpServers

# Typ auf NTP setzen
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters" -Name "Type" -Value "NTP"

# Dienst neu starten
Restart-Service w32time

# Konfiguration neu laden
w32tm /config /update

# Synchronisation erzwingen
w32tm /resync

# Status prüfen
w32tm /query /status

• Bei virtualisierten DCs kann die Hypervisor-Zeitquelle stören → ggf. deaktivieren
• Der PDC-Emulator ist der maßgebliche Zeitserver in der Domäne
• Clients synchronisieren standardmäßig mit dem DC → dieser muss korrekt laufen

• Zeitabweichung >5 Minuten → Kerberos schlägt fehl
• Firewall blockiert UDP Port 123 → NTP funktioniert nicht
• Mehrere DCs mit widersprüchlicher Zeitquelle → Zeitdrift in der Domäne

Windows verwendet den Dienst „Windows-Zeitgeber“ (w32time). In AD-Umgebungen ist der PDC-Emulator der zentrale Zeitverteiler. Externe Zeitquellen sollten nur dort konfiguriert werden.

Letzte Aktualisierung: 20.10.2025