Jump to content

Zeitserver eintragen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo

 

ja in einer domäne synchronisierendie clients immer mit dem DC die systemzeit !

 

Ich rate dir davon ab die zeitsynchr. dier cleints mit einem anderen zeitgeber als den dc zu synchronisieren. da dies zu authentif. problemen führen kann,wenn die differnez > als 5min beträgt.

 

du kannst aber den dc so einstellen. das sich dieser mit einer externen zeiquelle synchronisiert !

 

http://support.microsoft.com/default.aspx?scid=kb;de;816042

http://www.mcseboard.de/showthread.php?t=58112&highlight=timeserver

 

lg

rossi

Link zu diesem Kommentar

hallo

 

sicherlich !

 

das schlüsselwort ist kerberos ! authentifizierungsdienst von 2003 !

 

Stellen Sie sicher, dass die Zeitsynchronisierung und DNS auf dem Server funktionieren, ehe Sie Kerberos 5 installieren. Zollen Sie der Zeitsynchronisierung zwischen dem Kerberos-Server und seinen verschiedenen Clients besondere Aufmerksamkeit. Überschreitet die Zeitdifferenz zwischen der Server- und den Clientuhren fünf Minuten (der Standardwert kann in Kerberos 5 konfiguriert werden), sind die Kerberos-Clients nicht in der Lage, sich am Server anzumelden. Diese Zeitsynchronisierung ist notwendig, um Angreifer davon abzuhalten, einen alten authentifizierenden Server als einen gültigen Benutzer zu verkleiden.

 

 

quelle:

http://www.tu-chemnitz.de/docs/lindocs/RH73/RH-DOCS/rhl-rg-de-7.3/s1-kerberos-server.html

 

ist zwar ein linux link, aber 2003 nutzt auch kerberos und funktioniert fast ident !

 

und hier was von MS

 

Max. Toleranz für die Synchronisation des Computertakts

Mit dieser Sicherheitseinstellung wird der maximale von Kerberos V5 tolerierte Zeitunterschied (in Minuten) zwischen der Uhrzeit auf dem Client und der Zeit des Domänencontrollers, auf dem die Kerberos-Authentifizierung unter Windows Server 2003 ausgeführt wird.

 

Sicherheitslücke

Kerberos V5 verwendet Timestamps als Teil der Protokolldefinition, um "Replay-Angriffe" zu verhindern. Damit Timestamps ordnungsgemäß funktionieren, müssen die Uhren des Clients und des Domänencontrollers soweit wie möglich synchronisiert werden. Da es häufig vorkommt, dass Uhren verschiedener Computer nicht synchronisiert sind, können Administratoren mit dieser Richtlinie den für Kerberos V5 maximal zulässigen Unterschied zwischen den Uhren des Clients und des Domänencontrollers festlegen. Wenn der Zeitunterschied zwischen der Uhr des Clients und der des Domänencontrollers kleiner ist als der maximale in dieser Richtlinie festgelegte Wert, wird jeder in einer Sitzung zwischen diesen beiden Computern verwendete Timestamp als authentifiziert angesehen.

 

Gegenmaßnahme

Stellen Sie Max. Toleranz für die Synchronisation des Computertakts auf den Wert 5 Minuten ein.

 

Mögliche Werte für diese Gruppenrichtlinieneinstellung sind:

 

• Ein benutzerdefinierter Wert in Minuten zwischen 0 und 99.999

 

• Nicht definiert

 

quelle:

http://www.microsoft.com/germany/technet/datenbank/articles/900049.mspx

 

lg

rossi

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...