Anleitung fürs Active Directory

Workshop - Zeitsynchronisierung in Windows-Netzwerken

Idealerweise sollten die Uhren von Servern und Clients im Active Directory nicht mehr als fünf Minuten voneinander abweichen, um Authentifizierungsprobleme zu vermeiden. Bei der Zeitsynchronisierung gilt es daher einige Punkte zu beachten, die folgender Praxisbeitrag erläutert.

Alleinstehende Rechner können sich direkt mit einer Zeitquelle im Internet oder einer Funkuhr synchronisieren. Wenn Windows-Rechner in einem Netzwerk zusammenarbeiten, und insbesondere in einem Active Directory, sollte man allerdings im Hinblick auf eine saubere Zeitsynchronisierung einige Punkte beachten, damit beispielsweise Probleme bei der Authentifizierung vermieden werden.

Die Konfiguration des Zeitdienstes in Windows ist nur über die Registry oder das Befehlszeilentool w32tm.exe möglich. Eingeschränkte Möglichkeiten bietet auch net time. Es steht allerdings keine grafische Oberfläche für die Konfiguration zur Verfügung. Wie Sie praktisch bei der Zeitsynchronisation vorgehen, erläutern folgende Abschnitte.

Grundlagen zur Zeitsynchronisierung im Active Directory

In einem Active Directory sollten die Uhren der Rechner und Server nicht mehr als fünf Minuten voneinander abweichen. Da das Active Directory bei der Authentifizierung mit Kerberos arbeitet, ein System das stark auf Tickets, Zeitstempel und damit gültige Uhrzeiten aufbaut, besteht die Gefahr dass Authentifizierungsaufgaben nicht funktionieren, wenn die Uhren einzelner Rechner stärker voneinander abweichen.

Nachhaltigkeit: In den Kerberos-Richtlinien finden Sie die Gruppenrichtlinien für die Gültigkeit von Kerberos-Tickets.
Nachhaltigkeit: In den Kerberos-Richtlinien finden Sie die Gruppenrichtlinien für die Gültigkeit von Kerberos-Tickets.

Standardmäßig toleriert Kerberos im Active Directory eine Zeitdifferenz von fünf Minuten. Diese Einstellungen sollten Sie nicht ändern, auch wenn prinzipiell die Möglichkeit besteht. Sie müssen für diese Änderung die Gruppenrichtlinie der entsprechenden Computer anpassen. Navigieren Sie dazu zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kerberos-Richtlinie. Hier finden Sie die verschiedenen Einstellungen für die Gültigkeit der Tickets.