netsniffer 10 Geschrieben 26. Juli 2005 Melden Teilen Geschrieben 26. Juli 2005 Hallo zusammen, habe im Moment folgendes Problem: Windows XP Rechner in einer Domäne (W2k3 Server). Dienst zur automatischen Zeitsynchronisation ist gestartet. Lt. meinen Informationen synchronisiert sich der Dienst mit einem DC. Stimmt das? Wenn ja, wie schaffe ich es einen anderen Zeitserver einzutragen? Zitieren Link zu diesem Kommentar
MS-Hotfix 10 Geschrieben 26. Juli 2005 Melden Teilen Geschrieben 26. Juli 2005 Hallo netsniffer, am client musst Du in der Registry den Eintrag NTPServer unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters auf Deinen neuen NTP Server abändern Gruss Berny Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 26. Juli 2005 Melden Teilen Geschrieben 26. Juli 2005 hallo ja in einer domäne synchronisierendie clients immer mit dem DC die systemzeit ! Ich rate dir davon ab die zeitsynchr. dier cleints mit einem anderen zeitgeber als den dc zu synchronisieren. da dies zu authentif. problemen führen kann,wenn die differnez > als 5min beträgt. du kannst aber den dc so einstellen. das sich dieser mit einer externen zeiquelle synchronisiert ! http://support.microsoft.com/default.aspx?scid=kb;de;816042 http://www.mcseboard.de/showthread.php?t=58112&highlight=timeserver lg rossi Zitieren Link zu diesem Kommentar
netsniffer 10 Geschrieben 26. Juli 2005 Autor Melden Teilen Geschrieben 26. Juli 2005 Hallo Hr_Rossi, hast du vielleicht auch die Quelle da, wo die Sache mit den 5 min beschrieben ist? Danke schon mal! Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 26. Juli 2005 Melden Teilen Geschrieben 26. Juli 2005 hallo sicherlich ! das schlüsselwort ist kerberos ! authentifizierungsdienst von 2003 ! Stellen Sie sicher, dass die Zeitsynchronisierung und DNS auf dem Server funktionieren, ehe Sie Kerberos 5 installieren. Zollen Sie der Zeitsynchronisierung zwischen dem Kerberos-Server und seinen verschiedenen Clients besondere Aufmerksamkeit. Überschreitet die Zeitdifferenz zwischen der Server- und den Clientuhren fünf Minuten (der Standardwert kann in Kerberos 5 konfiguriert werden), sind die Kerberos-Clients nicht in der Lage, sich am Server anzumelden. Diese Zeitsynchronisierung ist notwendig, um Angreifer davon abzuhalten, einen alten authentifizierenden Server als einen gültigen Benutzer zu verkleiden. quelle: http://www.tu-chemnitz.de/docs/lindocs/RH73/RH-DOCS/rhl-rg-de-7.3/s1-kerberos-server.html ist zwar ein linux link, aber 2003 nutzt auch kerberos und funktioniert fast ident ! und hier was von MS Max. Toleranz für die Synchronisation des ComputertaktsMit dieser Sicherheitseinstellung wird der maximale von Kerberos V5 tolerierte Zeitunterschied (in Minuten) zwischen der Uhrzeit auf dem Client und der Zeit des Domänencontrollers, auf dem die Kerberos-Authentifizierung unter Windows Server 2003 ausgeführt wird. Sicherheitslücke Kerberos V5 verwendet Timestamps als Teil der Protokolldefinition, um "Replay-Angriffe" zu verhindern. Damit Timestamps ordnungsgemäß funktionieren, müssen die Uhren des Clients und des Domänencontrollers soweit wie möglich synchronisiert werden. Da es häufig vorkommt, dass Uhren verschiedener Computer nicht synchronisiert sind, können Administratoren mit dieser Richtlinie den für Kerberos V5 maximal zulässigen Unterschied zwischen den Uhren des Clients und des Domänencontrollers festlegen. Wenn der Zeitunterschied zwischen der Uhr des Clients und der des Domänencontrollers kleiner ist als der maximale in dieser Richtlinie festgelegte Wert, wird jeder in einer Sitzung zwischen diesen beiden Computern verwendete Timestamp als authentifiziert angesehen. Gegenmaßnahme Stellen Sie Max. Toleranz für die Synchronisation des Computertakts auf den Wert 5 Minuten ein. Mögliche Werte für diese Gruppenrichtlinieneinstellung sind: • Ein benutzerdefinierter Wert in Minuten zwischen 0 und 99.999 • Nicht definiert quelle: http://www.microsoft.com/germany/technet/datenbank/articles/900049.mspx lg rossi Zitieren Link zu diesem Kommentar
netsniffer 10 Geschrieben 26. Juli 2005 Autor Melden Teilen Geschrieben 26. Juli 2005 Super, Danke ! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.