Zeitserver eintragen

Hallo zusammen,

habe im Moment folgendes Problem:

Windows XP Rechner in einer Domäne (W2k3 Server).

Dienst zur automatischen Zeitsynchronisation ist gestartet.

Lt. meinen Informationen synchronisiert sich der Dienst mit einem DC. Stimmt das?

Wenn ja, wie schaffe ich es einen anderen Zeitserver einzutragen?

Hallo netsniffer,

am client musst Du in der Registry den Eintrag NTPServer unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

auf Deinen neuen NTP Server abändern

Gruss Berny

hallo

ja in einer domäne synchronisierendie clients immer mit dem DC die systemzeit !

Ich rate dir davon ab die zeitsynchr. dier cleints mit einem anderen zeitgeber als den dc zu synchronisieren. da dies zu authentif. problemen führen kann,wenn die differnez > als 5min beträgt.

du kannst aber den dc so einstellen. das sich dieser mit einer externen zeiquelle synchronisiert !

http://support.microsoft.com/default.aspx?scid=kb;de;816042

http://www.mcseboard.de/showthread.php?t=58112&highlight=timeserver

lg

rossi

Hallo Hr_Rossi,

hast du vielleicht auch die Quelle da, wo die Sache mit den 5 min beschrieben ist?

Danke schon mal!

hallo

sicherlich !

das schlüsselwort ist kerberos ! authentifizierungsdienst von 2003 !

Stellen Sie sicher, dass die Zeitsynchronisierung und DNS auf dem Server funktionieren, ehe Sie Kerberos 5 installieren. Zollen Sie der Zeitsynchronisierung zwischen dem Kerberos-Server und seinen verschiedenen Clients besondere Aufmerksamkeit. Überschreitet die Zeitdifferenz zwischen der Server- und den Clientuhren fünf Minuten (der Standardwert kann in Kerberos 5 konfiguriert werden), sind die Kerberos-Clients nicht in der Lage, sich am Server anzumelden. Diese Zeitsynchronisierung ist notwendig, um Angreifer davon abzuhalten, einen alten authentifizierenden Server als einen gültigen Benutzer zu verkleiden.

 

quelle:

http://www.tu-chemnitz.de/docs/lindocs/RH73/RH-DOCS/rhl-rg-de-7.3/s1-kerberos-server.html

ist zwar ein linux link, aber 2003 nutzt auch kerberos und funktioniert fast ident !

und hier was von MS

Max. Toleranz für die Synchronisation des Computertakts

Mit dieser Sicherheitseinstellung wird der maximale von Kerberos V5 tolerierte Zeitunterschied (in Minuten) zwischen der Uhrzeit auf dem Client und der Zeit des Domänencontrollers, auf dem die Kerberos-Authentifizierung unter Windows Server 2003 ausgeführt wird.

 

Sicherheitslücke

Kerberos V5 verwendet Timestamps als Teil der Protokolldefinition, um "Replay-Angriffe" zu verhindern. Damit Timestamps ordnungsgemäß funktionieren, müssen die Uhren des Clients und des Domänencontrollers soweit wie möglich synchronisiert werden. Da es häufig vorkommt, dass Uhren verschiedener Computer nicht synchronisiert sind, können Administratoren mit dieser Richtlinie den für Kerberos V5 maximal zulässigen Unterschied zwischen den Uhren des Clients und des Domänencontrollers festlegen. Wenn der Zeitunterschied zwischen der Uhr des Clients und der des Domänencontrollers kleiner ist als der maximale in dieser Richtlinie festgelegte Wert, wird jeder in einer Sitzung zwischen diesen beiden Computern verwendete Timestamp als authentifiziert angesehen.

 

Gegenmaßnahme

Stellen Sie Max. Toleranz für die Synchronisation des Computertakts auf den Wert 5 Minuten ein.

 

Mögliche Werte für diese Gruppenrichtlinieneinstellung sind:

 

• Ein benutzerdefinierter Wert in Minuten zwischen 0 und 99.999

 

• Nicht definiert

 

quelle:

http://www.microsoft.com/germany/technet/datenbank/articles/900049.mspx

lg

rossi

Super, Danke !