Timing beim Einloggen W7-Client in W2K8-Domäne

[Karli1969 0]

Hallo zusammen, 

 

ich habe gelesen, dass die Kennwortauswertung in W2K8 Domänen mit Kerberos funktioniert. Kerbereos-Tickets würden Timestamps enthalten. Was passiert, wenn auf einem W7-Client eine andere Systemzeit eingestellt ist, als auf dem Server?  Sind die nagelneuen Tickets wegen nach gehender Uhr im Client dann vielleicht schon sofort abgelaufen ?

 

Danke und viele Grüße

Karl 

[Barney88 10]

Ab einer gewissen Abweichung ist keine Anmeldung an der Domäne möglich. (Glaube mich da an Std. 5 Minuten zu erinnern).

[NilsK 2.792]

Moin,

 

korrekt, die Zeit zwischen Domänencontroller und Domänenclient darf nicht mehr als 5 Minuten abweichen. Das ist bereits seit über 13 Jahren so und kein ernsthaftes Problem. Windows hat Mechanismen, die das Funktionieren sicherstellen - jedenfalls solange man daran nicht herummanipuliert.

 

Gruß, Nils

[Karli1969 0]

Danke für Eure Antworten.  

 

 

Windows hat Mechanismen, die das Funktionieren sicherstellen - jedenfalls solange man daran nicht herummanipuliert.

 

Was sind das für Mechanismen? Vielleicht Synchronisation der Uhren? 

 

Hintergrund meiner Frage ist folgender: 

 

In einem PC-Raum in einer Schule, wo ich bisschen nach den Rechten schaue, gibt es 22 Schüler- und ein Lehrerrechner mit  Win7 Pro64 und einen Server 2008R2 als Domänenserver, DNS und DHCP. 

Zur Verwaltung der Schüler gab es ein System namens INIS (siehe www.trinet.de, falls es jemand genauer interessiert) 

Damit die Schüler keine Dummheiten anstellen können, ist jeder Rechner mit einem sogenannten HD-Guard geschützt. 

Obwohl das ganze System eigentlich so ausgelegt ist, dass jeder User seinen eigenen Account hat, wurde anfangs nur ein Schülerkonto und ein Lehrerkonto angelegt, d.h. alle Schüler loggten sich unter dem gleichen Account ein. 

 

Anfangs funktionierte alles so weit ganz brauchbar. Im Laufe der Zeit konnten immer mehr Schüler-PC von INIS nicht mehr richtig verwaltet werden. Sprich, Drucken auf den Netzwerkdrucker ging mal hier und mal dort nicht, Internet ließ sich nicht mehr freischalten. Allerdings ohne Fehlermeldungen. 

Zum Schluss war es soweit, dass man sich an einigen Rechnern nicht mehr anmelden konnte. Angeblich Konto gesperrt oder Anmeldeinformationen falsch.  Dafür konnte man sich plötzlich mit einem alten Passwort anmelden.  Witzigerweise war das nicht immer bei den gleichen Rechnern, sondern das war mal dieser und mal jener. 

 

 

Nach einigen Telefonaten mit Trinet, die das Problem leider auch nicht wirklich eingrenzen konnten, haben wir die Rechner einfach platt gemacht und auf den Domänenlogon und INIS verzichtet. Dadurch verzichten wir zwar auf einige Komfortfunktionen, aber dafür läuft das 'System' wieder 100% stabil.

Also Druckernutzung, gemeinsame Share auf einem NAS (das eigentlich nur als Backup dienen sollte), Internet für alle PCs... klappt, nur muss man Änderungen am Profil halt auf jedem Rechner einzeln durchführen. (was aber bei einem einzigen Profil nicht wirklich ein Problem ist) 

 

Beim Plattmachen ist mir aufgefallen, dass einige Rechner vollkommen unterschiedliche Uhrzeiten (teilweise noch Winterzeit) haben. Dabei hatte ich doch im Hinterkopf, dass Kerberostickets doch Zeitstempel haben und habe vermutet, dass die Logon-Probleme damit zu tun gehabt haben könnten. Aber wenn Windows ja Mechanismen hat, die das Problem lösen, so kann das ja leider auch nicht die Ursache sein. 

 

Danke nochmals für Eure Hilfe. 

und viele Grüße

Karl

[NilsK 2.792]

Moin,

 

ja, die beschriebenen Phänomene sind typisch für Kerberos-Fehler aufgrund uneinheitlicher Zeit zwischen Clients und Servern.

 

Die Mechanismen, mit denen Windows die normale Funktion sicherstellt (wenn man es lässt), beruhen auf einem automatischen Zeitabgleich über NTP (Network Time Protocol). Vereinfacht gesagt, holen sich die Clients die Zeit von ihrem Domänencontroller, und Windows sorgt dafür, dass die Zeit immer im Rahmen der fünf Minuten liegt (keine 100%-Synchronisation, normalerweise gibt es eine Toleranz im Bereich weniger Sekunden, das reicht aber völlig aus).

 

Hartes Zurücksetzen eines Clients kann hier natürlich stören. Ebenso stört es, wenn man die User an der Zeit herumfummeln lässt oder wenn der Client eine sehr falsche Zeit hat - ab einer gewissen Grenze kann Windows das mit NTP nicht mehr selbst korrigieren, dann muss man einmal manuell ran.

 

Gruß, Nils

[olc 18]

Moin, moin,

 

grundsätzlich ist die Systemzeit in Domänen-Umgebungen ein wichtiger Faktor. Jedoch ist eine verschiedene Zeit zwischen Client und DC in diesem Kontext kein allzu großes Problem (DC zu DC sieht es etwas anders aus).

 

Ohne zu sehr ins Detail zu gehen: Sofern sich die Systemzeit des Clients von der des DCs unterscheidet, welcher ein TGT ausstellen soll, sendet der DC seine Systemzeit an den Client und der Client wird diese Uhrzeit zur Authentifizierung nutzen. Hier dürfte es also erst einmal keine Probleme geben. Beim TGS bin ich mir gerade nicht ganz sicher, aber da sollte es ähnlich laufen.

 

Für mich klingt das eher nach einem Problem mit dem Computerkennwort. Kann es sein, dass der von Dir angesprochene "HD Guard" die Systeme per Image o.ä. immer wieder auf den Urzustand zurücksetzt? Damit würde nach 30 oder spätestens 60 Tagen das Computerkennwort zwischen AD und PC nicht mehr synchron sein (n-1 Prinzip bei einem Kennwortwechsel standardmäßig alle 30 Tage) und die Probleme ließen sich erklären.

 

Viele Grüße

olc

bearbeitet 2. Juni 2013 von olc

[Karli1969 0]

Genau so ist es Olc. Der HDGuard setzt die Clients komplett zurueck bei jedem Neustart. Das mit dem Kennwortwechsel klingt interessant. Werde der Sache weiter nachgehen. Danke!

[olc 18]

Hi,

 

schau einmal hier hinein, beschreibt in etwa das Szenario: http://support.microsoft.com/kb/295049/en-us

 

Ansonsten als Hintergrund-Informationen: http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx

 

Viele Grüße

olc