Cyber Security

NTP – Zeitserver unter Windows konfigurieren (w32tm)

By on ( 4 Comments )

Ist auf dem Smartphone, auf den Servern oder auf den Routern und Switches nicht die korrekte Zeit konfiguriert, dann passieren ungewöhnliche Dinge.

  • Die Domänen-Benutzer werden sich nicht anmelden können
  • Es können keine Apps über den App Store installiert werden
  • Es können keine Updates installiert werden

Denn Zeit ist Vertrauen. Insbesondere bei der Protokollierung von Ereignissen. Wenn beide Systeme unterschiedliche Zeiten in der Protokollierung aufweisen, so wir die Beweislage nicht einfach. Außerdem kann das Vortäuschen einer anderen Zeit zu weiteren security-relevanten Problemen führen.

Zeitserver in Windows lokal konfigurieren

In Windows sind die Einstellungen der Zeit in der Systemsteuerung unter Datum und Uhrzeit zu finden. Hier kann die lokale Uhr des Systems oder unter Internetzeiteinstellungen ein Zeitserver konfiguriert werden. Als Standard verwendet das System den Zeitserver time.microsoft.com.

Unbenannt.PNG

Zeitserver in einer Active Directory Domäne konfigurieren

Der Betriebsmaster “PDC Emulator” einer Active Directory Domäne gibt für alle Clients die Zeit vor. Um diesen zu finden (falls keine Doku vorliegt, wovon in den meisten IT-Abteilungen auszugehen ist :-)) kann netdom query fsmo ausgeführt werden. Mehr zu Betriebsmaster in meinem Artikel Active Directory FSMO Rollen (Betriebsmaster).

Ist dieser gefunden, dann sollte am PDC Master der Domäne mit

w32tm /query /configuration | findstr "NtpServer"

überprüft werden, welcher Zeitserver konfiguriert ist.

Unbenannt.PNG

Sollte hier nur der lokale Server konfiguriert sein (lokal) und kein zusätzlicher NtpServer, so wäre es sinnvoll diesen zu konfigurieren, um sich nicht auf die “interne” BIOS Uhr des Geräts verlassen zu müssen. Zeitserver im Internet für Europa findet man hier: http://www.pool.ntp.org/zone/europe. Die hätte auch der Best Practices Analyzer gemeldet: Windows Server 2016 mit dem Best Practices Analyzer (BPA) optimal konfigurieren.

Die Konfiguration des neuen Time-Servers erfolgt dann wieder mit dem Befehl w32tm.

w32tm /config /manualpeerlist:time.microsoft.com /syncfromflags:manual /reliable:yes /update

Unbenannt.PNG

Categories: Cyber Security, Windows 10, Windows Server

Tagged as: , , ,

Published by Patrick Gruenauer

Microsoft MVP on PowerShell [2018-2024], IT-Trainer, IT-Consultant, MCSE: Cloud Platform and Infrastructure, Cisco Certified Academy Instructor.

4 replies »

  1. Den DC auslesen an welchem man sich angemeldet hat kann man unter Windows mit dem Befehl:
    echo %logonserver% [ENTER]
    Das funktioniert aber nur in der alten DOS Konsole !
    PS wirft da nur %logonserver% als Resultat aus

    Liked by 1 person

    Reply

  2. Hi Patrick,

    gibt es eine Möglichkeit den DC auszulesen und als NTP Server zu setzen?
    Würde dies gerne über PowerShell erledigen und beiße mir daran die Zähne aus.
    Das auslesen hat den Zweck, dass ich das Skript über mehrere Domänen hinweg ausführen kann und jeder seinen DC als NTP Server kriegt.

    Vielen Dank für jegliche Hilfe
    Grüße
    Dennis

    Like

    Reply
  3. Pingback: Windows Server 2016 mit dem Best Practices Analyzer (BPA) optimal konfigurieren « SID-500

Leave a comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.