SID-500

Home » Security » NTP – Zeitserver unter Windows konfigurieren (w32tm)

NTP – Zeitserver unter Windows konfigurieren (w32tm)

Ist auf dem Smartphone, auf den Servern oder auf den Routern und Switches nicht die korrekte Zeit konfiguriert, dann passieren ungewöhnliche Dinge.

  • Die Domänen-Benutzer werden sich nicht anmelden können
  • Es können keine Apps über den App Store installiert werden
  • Es können keine Updates installiert werden

Denn Zeit ist Vertrauen. Insbesondere bei der Protokollierung von Ereignissen. Wenn beide Systeme unterschiedliche Zeiten in der Protokollierung aufweisen, so wir die Beweislage nicht einfach. Außerdem kann das Vortäuschen einer anderen Zeit zu weiteren security-relevanten Problemen führen.

Zeitserver in Windows lokal konfigurieren

In Windows sind die Einstellungen der Zeit in der Systemsteuerung unter Datum und Uhrzeit zu finden. Hier kann die lokale Uhr des Systems oder unter Internetzeiteinstellungen ein Zeitserver konfiguriert werden. Als Standard verwendet das System den Zeitserver time.microsoft.com.

Unbenannt.PNG

Zeitserver in einer Active Directory Domäne konfigurieren

Der Betriebsmaster “PDC Emulator” einer Active Directory Domäne gibt für alle Clients die Zeit vor. Um diesen zu finden (falls keine Doku vorliegt, wovon in den meisten IT-Abteilungen auszugehen ist :-)) kann netdom query fsmo ausgeführt werden. Mehr zu Betriebsmaster in meinem Artikel Active Directory FSMO Rollen (Betriebsmaster).

Ist dieser gefunden, dann sollte am PDC Master der Domäne mit

w32tm /query /configuration | findstr "NtpServer"

überprüft werden, welcher Zeitserver konfiguriert ist.

Unbenannt.PNG

Sollte hier nur der lokale Server konfiguriert sein (lokal) und kein zusätzlicher NtpServer, so wäre es sinnvoll diesen zu konfigurieren, um sich nicht auf die “interne” BIOS Uhr des Geräts verlassen zu müssen. Zeitserver im Internet für Europa findet man hier: http://www.pool.ntp.org/zone/europe. Die hätte auch der Best Practices Analyzer gemeldet: Windows Server 2016 mit dem Best Practices Analyzer (BPA) optimal konfigurieren.

Die Konfiguration des neuen Time-Servers erfolgt dann wieder mit dem Befehl w32tm.

w32tm /config /manualpeerlist:time.microsoft.com /syncfromflags:manual /reliable:yes /update

Unbenannt.PNG


1 Comment

  1. […] Die Sache mit dem PDC Master zeigt, dass BPA Ergebnisse ernst genommen werden sollten. Wie man die Zeit unter Windows und am PDC Master konfiguriert habe ich bin meinem Beitrag NTP – Zeitserver unter Windows konfiguriern beschrieben. […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

Who is the blogger?

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com