Jump to content

Probleme mit der Uhrzeit auf einem DC nach Stromunterbrechung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo liebe Forenkollegen,

 

In der Nacht von Samstag auf Sonntag gab es in unserem Gebäude eine geplante Stromunterbrechung von ca 2 Stunden. Nach der Unterbrechung habe ich festgestellt, dass ein virtueller DC nicht mehr die aktuelle Zeit sondern exakt 2 Stunden in der Zukunft ist.

 

Was habe ich bereits überprüft:

 

a.) Da der Server auf einem ESXi Host läuft habe ich im UEFI Bios des Hosts nachgesehen und dort ist die korrekte Uhrzeit eingetragen.

b.) Ich kann zwar als angemeldeter und berechtigter User auf dem betreffenden DC die Uhrzeit zwar ändern, aber nach einem Neustart ist diese wieder 2 Stunden in der Zukunft.

c.) Überprüfung der Zeitzone am Problem DC -> Ist ebenfalls korrekt eingestellt.

d.) Ping zu der IP eines anderen DCs erfolgreich

 

e.) Ping zum Namen des DCs nicht erfolgreich!

 

 

Im Augenblick stellt der Problem DC bisher keine DNS/DHCP Dienste bereitstellt sondern nur die AD Domain Dienste.

 

Da es sich aber um einen sekundären DC handelt mache ich mir jetzt natürlich Sorgen was die Synchronisierung der DCs untereinander betrifft (Stichwort Replizierung). Sind diese Sorgen berechtigt?

 

Im Ereignisprotokoll tauchen zumindest entsprechende Replizierungsfehler auf und ich erhalte auf dem Problem DC in sporadischen Abständen ein Meldungsfenster:

 

------------------------------------------------------------------------------

Gruppenrichtlinien-Verwaltungskonsole

Domäne (meine Domäne)

 

Die angegebene Domäne ist nicht vorhanden, oder aber es kann keine Verbindung hergestellt werden

 

Wählen Sie eine der folgenden Optionen aus

-> Anderen Domänencontroller auswählen

-> Wiederholen

-> Entfernt diese Domäne von der Konsole

------------------------------------------------------------------------------

 

Wo könnte ich noch nach einer falschen Uhrzeit schauen? Auch wenn es im Bios / Uefi korrekt eingetragen ist drängt sich mir dennoch der Verdacht auf, dass es mit dem Host zusammenhängen könnte.

 

Die Überprüfung an welchem DC ich angemeldet  bin (echo %logonserver%) hilft mir bei der Fehlerfindung leider auch nicht viel weiter da mein client sich an dem Problem DC angemeldet hat und die korrekte Zeit bekommt/hat

 

Wenn alle Ansätze ins leere Laufen überlege ich den Problem DC herunterzustufen und anderweitig neu aufzusetzen.

 

Danke für eure Kommentare und Anregungen...

 

Beste Grüsse

 

SMR_Support

Link to comment

Ein DC ist ein DC ist ein DC. Kein DHCP Server oder sowas. Sollte auch so bleiben. Weiterhin gibt es sowas wie "sekundäre" DCs schon lange nicht mehr. Manche DCs halten zwar gewisse Rollen inne, deswegen macht sie das aber nicht zu einem primären DC. Das Konzept solltest du aus deinem Kopf streichen.

 

Bei Kerberos kann es ab 5 Minuten Zeitunterschied zu Problemen kommen, also sind 2 Stunden wohl schon ein Problem.

 

Nachdem dein DC auch nichts weiter macht würde ich ihn herunterstufen und den Server neu installieren. Sollte durch visualisierte Umgebung recht fix gehen.

Edited by Doso
Link to comment

Hast du die Zeitsynchronisierung mit dem Host abgeschaltet?

Hallo das mit der Zeitnsynchronisierung mit dem Host war das was ich suchte...

 

aufgrund der Info konnte ich die gesuchten Einstellungen finden und korrigieren. Sie waren in der Tat um 2 Stunden in die Zukunft versetzt.

 

https://it-services.netlogix.de/blog/zeitsynchronisierung-in-einer-esx-landschaft

 

Ich werde den betreffenden Server heute nochmal beobachten und falls erforderlich wie von Doso empfohlen aus der Ad entfernen...

 

Danke Sehr für eure Antworten!

Link to comment

Moin,

 

gut, dass du es gefunden hast. Danke für die Rückmeldung.

 

Bei VMware gibt es eine Falle: Beim Neustart einer VM übergibt der Host immer seine Zeit an die VM, auch wenn die Zeitsynchronisation abgeschaltet ist. Das Abschalten bewirkt nur, dass der Host im laufenden VM-Betrieb die Zeit nicht synchronisiert. In deinem Fall war die Abweichung zwei Stunden, und einen so großen Unterschied gleicht Windows (meist) nicht selbst aus.

 

Das ist ein Grund, warum man den DC mit der PDC-Emulator-Rolle immer als physischen DC halten sollte: Er ist die maßgebliche Zeitquelle in Active Directory. Hat man das so aufgebaut, dann kann man in vSphere die Domäne als NTP-Server eingeben (den DNS-Namen der Domäne, nicht eines einzelnen DCs), was solche Probleme effektiv verhindern hilft.

 

Gruß, Nils

Link to comment

Ich werfe noch ein, dass man securityrelevante Systeme wie DCs oder CA-Server der reinen Lehre nach eigentlich immer physikalisch laufen lassen sollte.

- Jeder VM Admin kann sich Zugriff zum virtuellen DC verschaffen

- Wird der VM-Host gehackt, fallen auch die VMs

- Attacker suchen daher gerne gezielt nach VM-Hosts im Netzwerk, da hier bei Erfolg die größte Beute liegt.

- Es ist Malware bekannt, die die Grenzen zwischen VMs überspringen kann.

 

Blub

Link to comment

Moin,

 

- Es ist Malware bekannt, die die Grenzen zwischen VMs überspringen kann.

 

das würde ich anders ausdrücken: Es sind Lücken in den Hypervisoren denkbar und es wurden auch bereits welche gefunden, die einen solchen Übergriff ermöglichen. Die bisher gefundenen Lücken dieser Art wurden stets sehr schnell geschlossen, aber das heißt natürlich nicht, dass es keine weiteren gibt (und dass neu entdeckte jedes Mal so schnell geschlossen werden können).

 

In sofern ist der Hinweis schon richtig, aber aus diesem konkreten Umstand leite ich eher die Forderung ab, Systeme aus getrennten Sicherheitszonen (LAN/DMZ, Admin/Produktion, Bereich1/Bereich2 ... das ist eine Designfrage) nicht auf dem selben Hypervisor-System (Einzelhost, Cluster) zu betreiben. Immerhin sind Übergriffe von System zu System in vielen Situationen viel einfacher möglich, ohne dass man den Hypervisor überhaupt angreifen muss.

 

Gruß, Nils

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...