Synchronisation in der IT: Die 6 Typen, Entra Connect, NTP und OneDrive — Praxisleitfaden für IT-Entscheider

Inhalt in Kürze

• Synchronisation in der IT ist der automatische Abgleich zwischen Systemen, damit überall derselbe Datenstand gilt — Zeit, Identitäten, Dateien, Datenbanken, Cloud-Dienste.
• Es gibt sechs relevante Sync-Typen: Zeit (NTP), Datei (OneDrive), Identität (Entra Connect), Datenbank (SQL Always On), Cloud-to-Cloud (iPaaS) und Replikation (DR-Backup). Jeder hat eigene Tools und Fehlerquellen.
• Sync ist kein Backup. Das ist der häufigste Denkfehler. Wer eine Datei löscht, löscht sie binnen Minuten im gesamten Sync-Verbund — inklusive Ransomware-verschlüsselter Daten.
• Für Compliance kritisch: Zeitsync nach BSI TR-02102, Identity-Sync über Entra Connect und getrennte Backup-Strategie.

Ein Kunde in Hamburg rief uns an, weil Mitarbeiter sich nach einem Serverumzug nicht mehr in Microsoft 365 anmelden konnten. Ursache: Die Zeit auf dem neuen Domain Controller war 12 Minuten falsch — Kerberos verweigerte damit jede Authentifizierung. 12 Minuten falsche Uhrzeit haben ein 40-Personen-Büro einen halben Tag lahmgelegt. Solche Geschichten sind keine Ausnahme, sondern Alltag. Synchronisation klingt nach Nerd-Thema — ist aber Grundlage dafür, dass IT überhaupt funktioniert.

Was bedeutet Synchronisation in der IT?

Synchronisation in der IT ist der regelmäßige, automatisierte Abgleich zweier oder mehrerer Systeme, damit sie denselben Stand von Daten, Identitäten oder Uhrzeit haben. Ohne Synchronisation driften Systeme auseinander — und Menschen merken das sofort: E-Mails verschwinden, Anmeldungen schlagen fehl, Dokumente existieren in drei inkonsistenten Versionen. In einer modernen IT-Landschaft mit Cloud, Homeoffice und mobilen Geräten ist Sync keine Option, sondern Voraussetzung.

Die Definition klingt einfach. In der Praxis entscheidet sich an der richtigen Sync-Strategie, ob Ihre Microsoft-365-Umgebung stabil läuft oder täglich Ticket-Feuer auslöst.

Die 6 Synchronisations-Typen im Überblick

Es gibt nicht „die eine” Synchronisation, sondern sechs verschiedene Typen — jeder mit eigenen Tools, eigenen Protokollen und eigenen Ausfallszenarien. In 20+ Jahren IT-Praxis sehen wir dieselben Fehler immer wieder, weil Verantwortliche die Typen nicht sauber trennen.

Alle sechs Typen können gleichzeitig in einem Unternehmen laufen — und müssen verstanden werden, bevor man sie pauschal „absichert”. Wer mit einer einzigen Monitoring-Lösung alle sechs Typen überwachen will, scheitert. Wir nutzen bei Managed IT verschiedene Tools pro Sync-Typ und konsolidieren nur die Alerts.

Synchronisation in der Praxis — die 5 wichtigsten Use Cases 2026

Diese fünf Szenarien tauchen bei unseren Hamburger Kunden in 9 von 10 Migrations- und Audit-Projekten 2026 auf:

1. OneDrive- und SharePoint-Dateisynchronisation. Mit Files-On-Demand und Known Folder Move landen Desktop, Dokumente und Bilder automatisch in der Cloud — gerätübergreifend verfügbar, versioniert und Ransomware-resilient. Pflicht in jedem Microsoft-365-Tenant.
2. Active-Directory-Replikation zwischen Domain-Controllern. DCs in unterschiedlichen Standorten (z.B. Hamburg, Bremen, Berlin) replizieren ihre AD-Datenbank über das DRS-Protokoll. Site-Links und Replikations-Intervalle entscheiden, wie schnell ein Passwort-Reset überall greift. Diagnose mit `repadmin /replsummary`.
3. Identity-Sync mit Microsoft Entra Connect (Azure AD Connect). Lokale AD-Objekte fließen alle 30 Minuten in Microsoft Entra ID — Password-Hash-Sync läuft alle 2 Minuten. Voraussetzung für hybride Microsoft-365-Setups und Single-Sign-On.
4. Datenbank-Replication mit SQL Server Always-On. Synchrone Commits zwischen Primär- und Sekundär-Replika sichern ERP-, CRM- und Branchensoftware gegen Ausfall einzelner Server ab. Failover-Cluster mit zwei oder mehr Knoten, RPO nahe null. Pendants: MySQL Replication, PostgreSQL Streaming Replication.
5. Multi-Site-Backup-Sync mit DFS Replication oder Veeam. Backup-Daten zwischen Hauptsitz und DR-Standort werden asynchron repliziert — typisch stündlich oder täglich. DFS-R für Dateifreigaben, Veeam Backup Copy Jobs für VMs. Wichtig: RPO und RTO vorab definieren, sonst läuft die Replikation in eine Richtung, die im Ernstfall keinen wiederherstellbaren Stand liefert.

Tool-Hinweis 2026: OneDrive Files-On-Demand und Azure AD Connect (heute Entra Connect) sind die aktuellen Microsoft-Empfehlungen. DFS Replication wird weiter unterstützt, aber für moderne hybride Setups schauen wir gemeinsam, ob Azure File Sync der bessere Weg ist. SyncToy ist seit Jahren deprecated — wer es noch im Einsatz hat, sollte auf Robocopy, FreeFileSync oder gleich auf OneDrive/SharePoint migrieren.

Identity-Sync: Entra Connect (früher Azure AD Connect)

Entra Connect ist das wichtigste Sync-Thema für jeden Betrieb, der lokales Active Directory und Microsoft 365 kombiniert — also die meisten Hamburger KMU, mit denen wir arbeiten. Der Agent installiert sich auf einem Windows-Server, bindet sich an das lokale AD und synchronisiert Benutzerobjekte, Gruppen und Attribute in die Cloud-Identity Microsoft Entra ID.

Entra Connect synchronisiert standardmäßig alle 30 Minuten — Passwort-Hashes alle 2 Minuten. Das reicht für typische Mittelstandsumgebungen und ist laut Microsoft-Learn-Dokumentation zu Entra Connect Sync der empfohlene Rhythmus.

Die drei gängigen Authentifizierungs-Modi:

1. Password Hash Sync (PHS): Der Hash des Passworts wird — nochmals gehasht — in die Cloud synchronisiert. Authentifizierung findet in Entra ID statt. Funktioniert auch wenn das lokale AD ausfällt. Empfehlung für 90 % aller KMU.
2. Pass-Through Authentication (PTA): Passwörter bleiben vollständig lokal. Die Cloud fragt bei jedem Login kurz beim lokalen AD nach. Nur sinnvoll, wenn Sie Compliance-Gründe haben, Passwort-Hashes nicht in die Cloud zu lassen.
3. Federation (ADFS): Eigene ADFS-Farm für Single-Sign-On. Komplex, teuer, fehleranfällig. Empfehlung: nur bei konkreten Anforderungen, sonst auf PHS migrieren.

Die meisten unserer Neukunden haben Microsoft 365 bereits — nutzen aber nur E-Mail und vielleicht Word. Da liegt so viel Potenzial brach: Teams, SharePoint, Intune, Autopilot. Wir helfen, das freizuschalten.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Wichtige Entra-Connect-Regel aus der Praxis: Installieren Sie den Agent niemals auf einem Domain Controller. Das ist ein Supportfall, den wir mindestens zweimal im Jahr aufräumen. Entra Connect gehört auf einen dedizierten Windows-Server — wegen Ressourcenverbrauch, Sicherheit und damit DC-Updates nicht die Cloud-Sync blockieren.

NTP und Zeitsynchronisation für Compliance (TR-02102)

Zeitsynchronisation ist der unscheinbarste und gleichzeitig folgenreichste Sync-Typ. Wenn Uhrzeiten zwischen Clients, Servern und Cloud-Diensten mehr als fünf Minuten auseinanderdriften, schlägt Kerberos-Authentifizierung fehl — Nutzer können sich nicht mehr anmelden, SMB-Freigaben werden verweigert, Cloud-Tokens werden abgelehnt.

Empfohlene Zeitquelle für Deutschland:

• Deutscher NTP-Pool (de.pool.ntp.org) — kostenlos, dezentral, verlässlich
• PTB-Server der Physikalisch-Technischen Bundesanstalt (ptbtime1.ptb.de bis ptbtime4.ptb.de) — amtliche deutsche Zeitquelle
• Hardware-NTP-Appliance mit GPS-Empfänger — für regulierte Branchen (Finanz, KRITIS) Pflicht

Die BSI-Richtlinie TR-02102 und die BSI-Richtlinie zu sicherer Zeitübertragung empfehlen zusätzlich NTS (Network Time Security) oder Symmetric-Key-Authentifizierung, damit Angreifer keine falsche Zeit einspielen können — ein bekannter Angriffsvektor, der zum Aushebeln von TLS-Zertifikaten genutzt wurde. Praktische Umsetzung: chrony oder ntpsec als NTP-Client, konfiguriert mit NTS-authentifizierter Quelle.

Dateisynchronisation: OneDrive Known Folder Move

OneDrive Known Folder Move (KFM) ist das Microsoft-Feature, das die lokalen Ordner „Desktop”, „Dokumente” und „Bilder” automatisch in OneDrive synchronisiert. Klingt banal, ist aber die wahrscheinlich wirkungsvollste Einzelmaßnahme für Ransomware-Resilienz, die Sie in 30 Minuten ausrollen können.

Was KFM macht: Lokale Datei auf „Desktop” abgelegt → landet sofort in OneDrive → Versions-Historie wird 30 Tage geführt → bei Ransomware-Verschlüsselung können Sie per OneDrive „Dateien wiederherstellen” die letzte saubere Version zurückholen.

Typische Stolpersteine bei OneDrive-Sync:

• Pfadlängen über 400 Zeichen: OneDrive verweigert die Synchronisation. Aufräumen oder Tool wie TreeSize zur Diagnose nutzen.
• Access- oder Excel-Dateien: Nicht für Co-Authoring gemacht. Gehören in SharePoint-Bibliotheken oder als reine Backup-Datei in OneDrive.
• Lokaler Speicherplatz knapp: „Dateien bei Bedarf” aktivieren — Dateien liegen dann nur in der Cloud und werden on-demand geladen.
• Zu viele Dateien im Root: Mehr als 100.000 Objekte pro OneDrive-Konto führen zu Performance-Problemen. Bei Bedarf strukturieren oder auf SharePoint-Teams umziehen.

Mehr dazu in unserem detaillierten Ratgeber OneDrive: 10 Tipps für Unternehmen & Teams.

Sync-Konflikte und ihre Auflösung

Sobald zwei Systeme gleichzeitig dieselbe Information ändern, entsteht ein Konflikt. Wie er aufgelöst wird, entscheidet über Datenintegrität oder Chaos.

Drei klassische Auflösungs-Strategien:

• Last Writer Wins (LWW). Die zuletzt gespeicherte Version gewinnt. Einfach, aber gefährlich — verliert Änderungen des anderen Nutzers still. OneDrive nutzt dies für gleichzeitige Offline-Bearbeitung.
• Merge / Co-Authoring. Beide Änderungen werden zusammengeführt. Word, Excel und PowerPoint in SharePoint/Teams können das zeilen- und zellenbasiert. Voraussetzung: alle Nutzer online, Dokument im SharePoint/Teams-Bibliothek.
• Conflict Copy. System erstellt eine zweite Datei mit Hinweis auf den Konflikt. Nutzer entscheidet, welche Version gilt. OneDrive-Desktop-Client fällt auf diesen Modus zurück, wenn Co-Authoring nicht möglich ist (z.B. Access-Datenbanken, CAD-Dateien, verschlüsselte Dateien).

In der Praxis sehen wir: Co-Authoring in SharePoint-Bibliotheken läuft bei Office-Dateien zuverlässig. Für Access, Excel mit VBA-Makros und Branchensoftware ist die einzig saubere Lösung ein zentraler Terminalserver oder Azure Virtual Desktop — dort gibt es nur eine Kopie der Datei, und Konflikte können gar nicht entstehen.

Die 7 häufigsten Synchronisations-Fehler

Diese sieben Klassiker sehen wir bei fast jedem Neukunden in Hamburg — und sie sind alle mit überschaubarem Aufwand behebbar:

1. NTP-Server zeigt auf Internet-Router statt auf Pool-Server. Billig-Router haben oft ungenaue Zeitquellen. Korrektur: NTP-Server in Group Policy auf de.pool.ntp.org und ptbtime1.ptb.de umstellen.
2. Entra Connect auf einem Domain Controller installiert. Supportfall beim ersten Windows-Update. Korrektur: Migration auf dedizierten Server mit Staging-Modus.
3. OneDrive wird als Backup missverstanden. Wenn Ransomware verschlüsselt, ist binnen Minuten auch die Cloud-Kopie verschlüsselt. Korrektur: Zusätzliches Microsoft-365-Backup mit Versionierung außerhalb der Tenant-Grenze.
4. Doppelte UPNs im Active Directory. Nach manuellen Benutzeranlagen gibt es zwei Konten mit vorname.nachname@firma.de. Entra Connect bricht den Sync ab. Korrektur: Duplikate aufräumen, IdFix-Tool von Microsoft nutzen.
5. Passwort-Hash-Sync aus Vorsicht deaktiviert. Klingt sicherer, ist es nicht — Entra ID macht damit keine Anti-Leak-Analyse mehr. Korrektur: PHS aktivieren, Datenschutz-Freigabe mit fragHugo dokumentieren.
6. SharePoint-Bibliotheken über OneDrive-Client synchronisiert. Lokale Sync-Performance leidet bei >20.000 Dateien. Korrektur: Teams/SharePoint-Bibliotheken im Browser nutzen, nur Projektordner gezielt syncen.
7. Hyper-V-Time-Sync gleichzeitig mit Gast-NTP aktiv. Zeitsprünge bei jedem VM-Snapshot. Korrektur: Hyper-V-Time-Sync abschalten, NTP im Gast-OS konfigurieren.

Checkliste: Ihre Sync-Gesundheit in 15 Minuten

Diese Schnell-Prüfung zeigt, ob Ihre Synchronisation in den kritischen Bereichen sauber läuft:

• Zeit-Sync prüfen. Auf allen Servern und Clients die Systemzeit abgleichen. Maximal ±1 Sekunde Abweichung akzeptabel.
• NTP-Quelle verifizieren. `w32tm /query /status` zeigt die aktuelle Zeitquelle — sollte Pool-Server oder PTB sein, nicht der Internet-Router.
• Entra Connect Health-Status. Login auf portal.azure.com → Entra Connect Health. Alle Server grün? Letzter Sync unter 30 Minuten her?
• OneDrive-Sync-Status bei Pilotnutzern prüfen. Grünes Häkchen? Oder rotes Kreuz mit „Es konnten nicht alle Dateien synchronisiert werden"?
• Konflikt-Dateien finden. Suche im OneDrive-Ordner nach „-Konflikt" im Dateinamen — Anzahl ist ein Indikator für ungeeignete Dateitypen.
• Backup ist separat von Sync. Können Sie eine Datei, die gestern gelöscht wurde, aus einem Backup wiederherstellen — das NICHT im selben Tenant liegt?
• Monitoring-Alerts. Bekommen Sie binnen 4 Stunden eine Meldung, wenn Entra Connect einen Sync-Cycle auslässt? Falls nicht: [Managed-IT-Monitoring](/leistungen/workspace "Managed Workplace Monitoring") aufsetzen.
• Dokumentation aktuell. Gibt es ein Dokument, das beschreibt, welche Sync-Prozesse wo laufen, mit welchen Zugangsdaten, und wer zuständig ist?

Was Sie heute tun können

Die besten Synchronisations-Strategien scheitern nicht an der Technik, sondern an fehlender Priorisierung. Hier ist die Reihenfolge, in der wir bei neuen Kunden vorgehen:

1. Zeitsync fixen (1 Tag). NTP-Quellen auf offizielle Pool-Server umstellen, Group Policy ausrollen, auf allen Servern verifizieren. Kostet kein Geld, verhindert halbe Ausfalltage.
2. Entra Connect auditieren (2 Stunden). Läuft der Agent auf einem Domain Controller? Auf dedizierten Server migrieren. Ist Staging-Server vorhanden? Falls nicht, aufsetzen für Ausfallschutz.
3. OneDrive KFM ausrollen (halber Tag plus Kommunikation). Intune-Profil erstellen, Pilotgruppe testen, nach zwei Wochen unternehmensweit aktivieren. Spart in der Ransomware-Ernstfall 2–3 Wochen Arbeit.
4. Getrenntes Microsoft-365-Backup einrichten. Veeam, Keepit oder AvePoint — Hauptsache außerhalb des Tenants. Läuft einmal am Tag, kostet ca. 3–6 € pro Benutzer und Monat.
5. Monitoring konsolidieren. Ein Dashboard für alle Sync-Typen — wir nutzen dafür im [Managed-IT-Betrieb](/leistungen/managed-it "Managed IT Services Hamburg") PRTG kombiniert mit Entra Connect Health, OneDrive Admin Center und Veeam ONE.

Fazit: Sync ist Infrastruktur, kein Feature

Synchronisation ist keine optionale Komfortfunktion — sie ist die Grundlage dafür, dass Identitäten, Zeit und Daten in einer modernen hybriden IT konsistent bleiben. Wer die sechs Sync-Typen nicht sauber trennt, zahlt jede Woche Produktivität in Form von Fehler-Tickets und Ausfällen.

Wir sehen bei Neukunden regelmäßig, dass zwei Stunden Aufräumen in der Sync-Konfiguration dauerhaft Dutzende Stunden Ticket-Aufwand pro Jahr einsparen — und nebenbei Compliance-konform machen, was vorher nicht geprüft war. Details zu typischen Angriffen auf Zeitsynchronisations-Protokolle finden Sie regelmäßig bei heise Security, und die aktuellen BSI-Empfehlungen zu Sicherer Zeitsynchronisation im IT-Grundschutz-Kompendium.