Zeitdrift in Windows-Domänen vermeiden
Zeitprobleme in Windows-Domänen fallen oft erst dann auf, wenn Authentifizierung, Replikation oder Logging Störungen verursachen. Bereits wenige Minuten Unterschied zwischen Systemen können Kerberos-Anmeldungen scheitern lassen oder Ereignisprotokolle unbrauchbar machen. Administratoren sollten deshalb die Zeitsynchronisation ihrer Systeme regelmäßig prüfen und externe Zeitquellen sauber absichern.
In Active-Directory-Umgebungen spielt eine konsistente Systemzeit eine zentrale Rolle. Windows setzt bei Kerberos standardmäßig nur geringe Zeitabweichungen zwischen Clients und Domänencontrollern voraus. Kommt es hier zu größeren Differenzen, schlagen Anmeldungen fehl oder Dienste verweigern die Kommunikation. Gleichzeitig erschweren unterschiedliche Zeitstempel die Analyse von Logfiles, SIEM-Daten oder Security-Events erheblich.
Die Zeitsynchronisation erfolgt in Windows-Domänen hierarchisch. Clients übernehmen ihre Zeit normalerweise von Domänencontrollern, während sich die DCs am PDC-Emulator der Gesamtstruktur orientieren. Dieser sollte wiederum mit mehreren zuverlässigen externen NTP-Quellen synchronisiert werden. Für eine erste Prüfung eignen sich Befehle wie w32tm /query /status oder w32tm /query /source, mit denen sich aktive Zeitquellen und Synchronisationsstatus kontrollieren lassen.
Externe Zeitserver können Sie beispielsweise mit folgendem Befehl konfigurieren:
w32tm /config /manualpeerlist:"0.de.pool.ntp.org,0x8 1.de.pool.ntp.org,0x8" /syncfromflags:manual /reliable:YES /update
Der Parameter "/reliable:YES" sorgt dafür, dass sich der Domänencontroller innerhalb der Active-Directory-Umgebung als vertrauenswürdige Zeitquelle ausweist. Empfehlenswert ist dabei die Nutzung mehrerer redundanter NTP-Server sowie eine Kontrolle der Firewallregeln für den UDP-Port 123. Das Suffix ",0x8" entspricht der Microsoft-Best-Practice. Es zwingt den Windows-Zeitdienst in den reinen Clientmodus. Ohne diesen Zusatz nutzen Windows-Systeme oft den symmetrischen Modus, der von vielen modernen Public-NTP-Servern aus Sicherheitsgründen blockiert wird.
Besondere Aufmerksamkeit erfordern virtualisierte Umgebungen. Hypervisor wie VMware oder Hyper-V bringen oft eigene Mechanismen zur Zeitsynchronisation mit, die mit dem Windows-Zeitdienst kollidieren können. In vielen Umgebungen wird die Host-Zeitsynchronisation virtueller Domänencontroller deaktiviert, um Konflikte mit dem Windows-Zeitdienst zu vermeiden. So lässt sich verhindern, dass widersprüchliche Zeitquellen schwer nachvollziehbare Zeitabweichungen sowie Kerberos-, Cluster- oder Replikationsprobleme verursachen.