Description Stefan Gohmann 2012-02-23 11:42:07 CET

Mit 3.1 sollten wir das bei der Installation von S4 auf einem DC per Default aktivieren.


+++ This bug was initially created as a clone of Bug #24953 +++

Mit Samba4/AD Domänenfunktionalität wird Zeitsynchronisation zwischen DCs und
Clients zu einer kritischen Voraussetzung. Andererseits fällt auf Windows7
Clients fällt z.B. auf, dass auf einem in die Domäne gejointes System der Tab
"Internet Time" nicht mehr angezeigt wird, auf dem man sonst NTP-Server
konfigurieren kann. Das liegt daran, dass Windows 7 in diesem Fall automatisch
"NT5DS" statt NTP verwendet. Wenn man dann auf der Console
 w32tm /resync /rediscover
aufruft, erhält man allerdings die Meldung "keine Zeitdaten verfügbar".
Das liegt daran, dass unser NTP-Server noch nicht für signed-NTP konfiguriert
ist. Wir haben hier das Glück, dass die NTP-Version aus squeeze das schon
unterstützt. Aktivieren lässt sich das durch folgende zusätzliche Zeilen in der
/etc/ntp.conf:

 ntpsigndsocket /var/run/samba/ntp_signd
 restrict default mssntp

Beim Neustart des ntpd sieht man dann im Sysog die Meldung
 ntpd[30321]: MS-SNTP signd operations currently block ntpd degrading service
to all clients.

Diese Meldung warnt davor, dass die Funktion des NTP-Dienstes durch die neue
Option von der Funktion des Samba4-Dienstes abhängig geworden ist: Wenn dieser
nicht auf dem Socket antwortet, dann blockt auch der NTP-Dienst.

Nach testweiser Aktivierung des NTP-signing auf dem Anmeldeserver des
Windows7-Clients verlief dann das w32tm /resync /rediscover erfolgreich.

Note: Alternativ zu NT5DS können die Windows-Clients auch auf die Verwendung
eines bestimmten NTP-Servers konfiguriert werden. Allerdings scheinen sie auch
dort signed NTP zu erwarten.

Note: Um die Zeit dennoch einmalig manuell zu synchronisieren kann man z.B.
 net time /domain /set /y
aufrufen.