Problembehandlung für die Synchronisierung des Windows-Zeitdienstes (w32time)

Bei Schwierigkeiten mit der Synchronisation Ihres Windows-Systems (Client oder Server) mit einem NTP-Server stellt diese Seite nützliche erste Vorschläge und Ideen sowie mögliche Lösungen für die Ursache des Problems.

Hintergrund

Der Windows-Zeitdienst bzw. w32time ist ein Programm, das im Hintergrund Ihres Windows-Systems läuft und übernimmt die Kommunikation mit externen Zeitservern für die Synchronisierung der internen Uhr Ihres Systems. Er ist der Standard-Synchronisationsdienst bei Microsoft Windows und wählt eine geeignete Zeitquelle, je nachdem, ob Ihr Windows-System ein eigenständiges Gerät ist (lokale Benutzerauthentifizierung) oder einer Netzwerkdomäne untergeordnet ist (Netzwerkauthentifizierung).

Firewall oder Port-Sperrungen als Ursachen für blockierte NTP-Pakete

Eine häufige Ursache von Problemen bei der Synchronisation eines Windows-Systems mit einem NTP-Server sind Firewalls oder Port-Filter, entweder auf dem Windows-System selbst oder auf einem zwischengeschalteten Geräte (z. B. Switch oder Router).

Die NTP-Daten - sowohl ausgehende Anfragen als auch eingehende Antworten - werden über den UDP-Port 123 übertragen. NTP benötigt einen ungehinderten Fluss der Daten über diesen Port in beiden Richtungen, d. h. sowohl Anfragen, die von Ihrem Windows-System an den NTP-Server gehen, auch als Antworten, die vom NTP-Server zurück an Ihr Windows-System gesendet werden.

Die erste empfohlene Maßnahme ist damit zu prüfen, dass Ihr Windows-System keine NTP-Daten blockiert, die über diesen Port gesendet werden. Auch wenn Windows-Installationen heute standardmäßig so konfiguriert sind, dass NTP-Daten störungsfrei fließen, kann eine modifizierte Firewall-Konfiguration, die explizit nur Daten per Whitelist zulässt, aus Versehen das Eintreffen von legitimen NTP-Antworten oder das Versenden von NTP-Anfragen unterbinden. Das kann zum Beispiel dann passieren, wenn Sie eine Sicherheitslösung eines Drittanbieters verwenden, die standardmäßig oder optional sehr streng mit Verbindungen umgeht.

Wenn Sie also eine Sicherheitslösung eines Drittanbieters verwenden, bitte lesen Sie die Dokumentation der Software, um herauszufinden, wie sowohl eingehende als auch ausgehende Verbindungen über den UDP-Port 123 erlaubt werden.

Wenn Sie nur die standardmäßig installierte Windows-Sicherheitsinfrastruktur verwenden (Microsoft Defender), öffnen Sie die Firewall-Konfiguration über „Systemsteuerung → Windows-Firewall → Erweiterte Einstellungen“. Prüfen Sie, ob es Regeln gibt, die aktiv den UDP-Datenverkehr auf den Port 123 verhindern. Ihr System zum Beispiel könnte so konfiguriert sein, dass alles an UDP-Datenverkehr standardmäßig blockiert ist und dass Verbindungen nur über explizit definierte Ports erlaubt sind (Whitelist-Verfahren). In diesem Fall müssen Sie eine vorrangige Regel (höher in der Liste), die explizit NTP-Pakete erlaubt:

Es ist auch möglich, dass der Austausch von NTP-Daten an einer anderen Stelle im Übertragungsweg (z. B. Router oder Switch) zwischen Ihrem Windows-System und dem NTP-Server blockiert wird. In diesem Fall sollten Sie die Benutzeroberfläche bzw. die Dokumentation des Routers oder Switch prüfen, um zu erkennen, ob der UDP-Port 123 durch das Gerät blockiert wird und wie man entsprechend eine Ausnahme bzw. eine Regel definieren kann.

Ist w32time tatsächlich für die Synchronisierung meines Systems verantwortlich?

Zunächst gilt es zu prüfen (vor allem dann, wenn Sie diesen Artikel gefunden haben, weil Sie Lösungen für Probleme mit der Synchronisation eines Windows-PCs im Allgemeinen suchen) ob die Uhr Ihres Systems tatsächlich durch w32time synchronisiert wird. Wenn Sie das Meinberg NTP für Windows-Paket installiert haben, ist es wahrscheinlich, dass es das Windows-eigene w32time deaktiviert hat, damit der ntpd-Dienst die Systemzeit an seiner Stelle anpassen kann. In diesem Fall wird auf die Dokumentation und das Knowledge Base für NTP für Windows verwiesen.

Eine Neuaktivierung des w32time-Dienstes, solange ntpd als Systemzeit-Manager installiert ist, kann zu Systemkonflikte führen, bei denen die beiden Dienste sich um die Kontrolle der Systemuhr „kämpfen“. So ist es wichtig, sicher zu sein, welcher Dienst ihre Systemzeit verwalten soll.

Prüfen, ob der w32time-Dienst läuft

Wenn Sie sicher sind, dass w32time der für die Systemzeit zuständige Zeitdienst ist, sollten Sie prüfen, dass der w32time-Dienst tatsächlich läuft. Unter Windows 11 können Sie das über „Systemsteuerung→ Windows-Tools → Dienste“ erreichen. Scrollen Sie nach unten zum Eintrag „Windows Time“ und versichern Sie sich, dass der Status „wird ausgeführt“ lautet.

Wenn es nicht so ist, klicken Sie mit der rechten Maustaste auf dem Dienst und starten Sie ihn manuell. Alternativ können Sie die Eigenschaften öffnen und den „Starttyp“ auf Automatisch setzen.

,

Windows NTP-Anfragentypen

Es gibt mehrere Arten von Anfragen, die Windows-Systeme senden können, um die Zeit über NTP abzufragen.

Ist das Windows-System ein eigenständiges Gerät mit lokaler Benutzerauthentifizierung, wird w32time standardmäßig die Uhr mit dem NTP-Dienst synchronisieren, die bei der Domäne time-windows-com hinterlegt ist. Diese URL kann auf jeden anderen NTP-Server umgestellt werden, z. B. auf einen Meinberg GNSS-synchroniserter LANTIME-Server.

Ist das Windows-System ein Netzwerk-Arbeitsplatz oder ein anderer Server, der durch ein Windows-Domain-Controller authentifiziert wurde, synchronisiert sich das Windows-System standardmäßig über NT5DS mit dem Domain-Controller. Der Netzwerkadministrator kann aber diese Konfiguration so ändern, dass Arbeitsplätze sich direkt mit einem NTP-Server synchronisieren.

Ist das Windows-Gerät selbst ein Domain-Controller, wird dieser Server versuchen, sich über den konfigurierten NTP-Server zu synchronisieren. Per Default sendet w32time hier Anfragen im Modus Symmetric-Active, das von vielen Nicht-Windows-NTP-Servern nicht unterstützt werden.

Abhilfe bei dem Symmetric-Active-Modus

LTOS-Versionen vor V7.10 hatten eine eingeschränkte Unterstützung für Anfragen im Symmetric-Active-Modus. Wenn Sie ein Gerät mit einem Meinberg-Zeitserver synchronisieren wollen, auf dem LTOS läuft, muss berücksichtigt werden, dass das Symmetric Active-Modus seit V7.10 im Haupt-Branch x64 nicht mehr unterstützt ist. Dementsprechend empfiehlt Meinberg ausdrücklich, den w32time-Dienst auf Ihrem Windows-Gerät so zu konfigurieren, dass es NTP-Anfragen im normalen Modus sendet.

Im x32-Branch von LTOS V7.10 ist die Unterstützung für Symmetric-Active-Anfragen weiterhin aktiviert. Seit V7.10 gilt diese Unterstützung allerdings als veraltet und wird nicht weiterentwickelt.

Sie können selber prüfen, ob Ihr Windows-System Symmetric-Active-Anfragen senden, indem Sie den folgenden Befehl bei der Windows-Kommandozeile eingeben (Eingabeaufforderungoder PowerShell), die mit administrativen Rechten geöffnet werden muss:

Ihr Windows-System kann konfiguriert werden, NTP-Anfragen im normalen Modus zu senden, indem Sie den folgenden Befehl eingeben:

[server] sollen Sie mit der festen IP-Adresse oder dem entsprechenden Hostname des Servers ersetzen.

So wird sichergestellt, dass w32time an den NTP-Server nur normale NTP-Anfragen sendet, die von allen NTP-Servern korrekt verarbeitet werden können. Dieser Zustand wird durch den Flag ,0x8 gekennzeichnet.

Um die Änderungen an der Konfiguration anzuwenden, geben Sie den folgenden Befehl ein:

Alternativ kann der w32time-Dienst einfach neugestartet werden, um die Änderungen anzuwenden:

Ist diese Änderung erfolgreich angewendet, synchronisiert sich Ihre Systemuhr mit dem konfigurierten NTP-Server. Sie erkennen, dass die Uhr sich gerade synchronisiert hat, indem Sie mit der rechten Maustaste auf der Uhr unten rechts klicken und „Datum und Uhrzeit festlegen“ anklicken. Die Uhrzeit der letzten Synchronisation wird unter „Jetzt synchronisieren“ angezeigt.

Mit dem folgenden Befehlen können Sie die aktuelle Konfiguration des w32time-Dienste prüfen:

Um eine Neusynchronisation der Systemuhr mit der aktuellen w32time-Konfiguration auszulösen, geben Sie den folgenden Befehl ein:

Wählen Sie einen zuverlässigen NTP-Server

Wenn Sie keinen Erfolg mit den obengenannten Vorschlägen haben, sollten Sie in Erwägung ziehen, dass das Problem eventuell durch einen unzuverlässigen NTP-Server verursacht wird, vor allem, wenn der Server einen kostenlosen öffentlichen Server ist, der nicht zuverlässig erreichbar ist und eventuell eine fragwürdige Genauigkeit aufweist. Auch wenn solche öffentlichen Server kostenlos zu verwenden sind, können sie keine Garantien bezüglich Genauigkeit, Verfügbarkeit und Kundensupport anbieten.

Wenn eine genaue, zuverlässige und sichere Zeitinfrastruktur für Ihre Anwendung kritisch ist, ist ein für die Anwendung speziell entwickelter Zeitserver zu empfehlen, der die erforderliche Leistung und Zuverlässigkeit bietet. Die branchenführenden Zeitserver von Meinberg sind Hochleistungssynchronisationslösungen für Netzwerke jeder Größe und für Anwendungen in allen Industriebranchen. Alle Meinberg-Produkte werden an unserem eigenen Produktionsstandort in Bad Pyrmont, Deutschland für eine optimale Versorgungssicherheit entwickelt und hergestellt.

Weitere Informationen zu den Zeitservern von Meinberg erhalten Sie über unsere NTP-Server-Produktseiten: