Konfigurieren eines autorisierenden Zeitservers in Windows Server

Windows enthält W32Time, das Zeitdiensttool, das vom Kerberos-Authentifizierungsprotokoll benötigt wird. Der Zeitdienst stellt sicher, dass alle Computer in einer Organisation, die mit Microsoft Windows 2000 oder höher arbeiten, eine gemeinsame Zeit verwenden.

Der Windows-Zeitdienst verwendet hierarchische Beziehungen zum Kontrollieren der Autorität und lässt keine Schleifen innerhalb der Hierarchie zu, um so die korrekte Verwendung der gemeinsamen Zeit sicherzustellen. Windows-Computer verwenden standardmäßig die folgende Hierarchie:

• Alle Clientdesktopcomputer nominieren den authentifizierenden Domänencontroller als ihren eingehenden Zeitpartner.
• Alle Mitgliedsserver folgen demselben Prozess wie die Clientdesktopcomputer.
• Alle Domänencontroller in einer Domäne nominieren den PDC-Betriebsmaster (Primärer Domänencontroller) als ihren eingehenden Zeitpartner.
• Alle PDC-Betriebsmaster folgen bei der Auswahl ihrer eingehenden Zeitpartner der Domänenhierarchie.

In dieser Hierarchie nimmt der PDC-Betriebsmaster am Gesamtstrukturstamm die autorisierende Rolle für die Organisation ein. Der autorisierende Zeitserver sollte möglichst darauf konfiguriert werden, die Uhrzeit von einer Hardwarequelle zu beziehen. Wenn Sie den autorisierenden Zeitserver für die Synchronisierung mit einer Internetzeitquelle konfigurieren, findet keine Authentifizierung statt. Sie sollten außerdem niedrigere Zeitkorrektureinstellungen für Ihre Server und eigenständigen Clients wählen. Diese Empfehlungen ermöglichen eine höhere Genauigkeit und Sicherheit für Ihre Domäne.

Konfigurieren des Windows-Zeitdiensts für die Verwendung einer internen Hardwareuhr

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Wenn Sie den PDC-Master ohne Verwendung einer externen Zeitquelle konfigurieren möchten, ändern Sie das Announce-Flag auf dem PDC-Master. Der PDC-Master ist der Server, der die Rolle des Gesamtstrukturstamm-PDC-Masters für die Domäne innehat. Diese Konfiguration veranlasst den PDC-Master, sich als zuverlässige Zeitquelle anzukündigen, und arbeitet mit der integrierten CMOS-Uhr (Complementary Metal Oxide Semiconductor). Wenn Sie den PDC-Master mit einer internen Hardwareuhr konfigurieren möchten, gehen Sie folgendermaßen vor:

1. Klicken Sie auf Start, dann auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie darauf:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf AnnounceFlags, und klicken Sie dann auf Ändern.
4. Geben Sie unter DWORD-Wert bearbeiten in das Feld Wert den Wert A ein, und klicken Sie auf OK.
5. Beenden Sie den Registrierungs-Editor.
6. Geben Sie folgenden Befehl an der Eingabeaufforderung ein, um den Windows-Zeitdienst neu zu starten, und drücken Sie anschließend die EINGABETASTE:
   net stop w32time && net start w32time

Hinweis Der PDC-Master darf nicht für die Synchronisierung mit sich selbst konfiguriert werden. Um mehr darüber zu erfahren, warum der PDC-Master nicht für die Synchronisierung mit sich selbst konfiguriert werden darf, rufen Sie die folgende Website auf, und zeigen Sie Request For Comment (RFC) 1305 an:Wenn der PDC-Master für die Synchronisierung mit sich selbst konfiguriert ist, werden folgende Ereignisse im Systemprotokoll verzeichnet:

Ereignistyp: Information
Ereignisquelle: W32Time
Ereigniskategorie: Keine
Ereigniskennung: 38
Computer: Computername
Beschreibung: Der Zeitanbieter "NtpClient" empfängt momentan ungültige Zeitdaten von NTP_Server_IP_Adresse bzw. kann das Ziel nicht erreichen. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter "http://support.microsoft.com".

Ereignistyp: Warnung
Ereignisquelle: W32Time
Ereigniskategorie: Keine
Ereigniskennung: 47
Computer: Computername
Beschreibung: Zeitanbieter "NtpClient": Von dem manuell konfigurierten Peer NTP_Server_IP_Adresse wurde nach 8 Kontaktversuchen keine gültige Antwort empfangen. Dieser Peer wird als Zeitquelle verworfen. "NtpClient" versucht, einen neuen Peer mit diesem DNS-Namen zu ermitteln. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter "http://support.microsoft.com".

Ereignistyp: Fehler
Ereignisquelle: W32Time
Ereigniskategorie: Keine
Ereigniskennung: 29
Computer: Computername
Beschreibung: Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch keine der Quellen verfügbar. Innerhalb der nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter "http://support.microsoft.com".

Wenn der PDC-Master keine externe Zeitquelle verwendet, wird folgendes Ereignis im Anwendungsprotokoll verzeichnet:

Zeitanbieter "NtpClient": Dieser Computer ist für die Verwendung der Domänenhierarchie zum Ermitteln der Zeitquelle konfiguriert. Er ist aber der PDC-Emulator der Domäne, der erste Computer in der Gesamtstruktur. Daher gibt es keinen Computer oberhalb der Domänenhierarchie, der als Zeitquelle verwendet werden kann. Es wird empfohlen, dass Sie entweder einen zuverlässigen Zeitdienst in der Stammdomäne konfigurieren oder den PDC manuell zur Synchronisierung der externen Zeitquelle konfigurieren. Anderenfalls arbeitet dieser Computer als verbindliche Zeitquelle in der Domänenhierarchie. Wenn keine externe Zeitquelle konfiguriert ist, bzw. von dem Computer nicht verwendet wird, kann der NtpClient deaktiviert werden.

Dieser Text soll daran erinnern, dass eine externe Zeitquelle verwendet werden soll, und kann ignoriert werden.

Konfigurieren des Windows-Zeitdiensts für die Verwendung einer externen Zeitquelle

Gehen Sie folgendermaßen vor, um einen internen Zeitserver für die Synchronisierung mit einer externen Zeitquelle zu konfigurieren:

1. Ändern Sie den Servertyp in NTP. Gehen Sie hierzu folgendermaßen vor:
   1. Klicken Sie auf Start, dann auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
   2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
   3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Type, und klicken Sie dann auf Ändern.
   4. Geben Sie unter Wert bearbeiten in das Feld Wert den Wert NTP ein, und klicken Sie auf OK.
2. Setzen Sie AnnounceFlags auf 5. Gehen Sie dazu folgendermaßen vor:
   1. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie darauf:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
   2. Klicken Sie im rechten Bereich mit der rechten Maustaste auf AnnounceFlags, und klicken Sie dann auf Ändern.
   3. Geben Sie unter DWORD-Wert bearbeiten in das Feld Wert den Wert 5 ein, und klicken Sie auf OK.
3. Aktivieren Sie NTPServer. Gehen Sie hierzu folgendermaßen vor:
   1. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
   2. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Enabled, und klicken Sie dann auf Ändern.
   3. Geben Sie unter DWORD-Wert bearbeiten in das Feld Wert den Wert 1 ein, und klicken Sie auf OK.
4. Geben Sie die Zeitquellen an. Gehen Sie hierzu folgendermaßen vor:
   1. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
   2. Klicken Sie im rechten Bereich mit der rechten Maustaste auf NtpServer, und klicken Sie dann auf Ändern.
   3. Geben Sie unter Wert bearbeiten in das Feld Wert den Wert Peers ein, und klicken Sie auf OK.
      
      HinweisPeers ist ein Platzhalter für eine durch Leerzeichen getrennte Liste von Peers, von denen Ihr Computer Zeitstempel erhält. Die aufgeführten DNS-Namen müssen jeweils eindeutig sein. Sie müssen ,0x1 an das Ende der einzelnen DNS-Namen anhängen. Wenn Sie nicht ,0x1 an das Ende der einzelnen DNS-Namen anhängen, werden die in Schritt 5 vorgenommenen Änderungen nicht wirksam.
5. Wählen Sie das Pollintervall aus. Gehen Sie hierzu folgendermaßen vor:
   1. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
   2. Klicken Sie im rechten Bereich mit der rechten Maustaste auf SpecialPollInterval, und klicken Sie dann auf Ändern.
   3. Geben Sie unter DWORD-Wert bearbeiten in das Feld Wert den Wert TimeInSeconds ein, und klicken Sie auf OK.
      
      HinweisTimeInSeconds ist ein Platzhalter für die Anzahl der Sekunden zwischen den einzelnen Polls. Der empfohlene Dezimalwert ist 900. Dieser Wert konfiguriert den Zeitserver für ein Pollintervall von 15 Minuten.
6. Konfigurieren Sie die Einstellungen für die Zeitkorrektur. Gehen Sie hierzu folgendermaßen vor:
   1. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
   2. Klicken Sie im rechten Bereich mit der rechten Maustaste auf MaxPosPhaseCorrection, und klicken Sie dann auf Ändern.
   3. Klicken Sie unter DWORD-Wert bearbeiten im Feld Basis auf Dezimal.
   4. Geben Sie unter DWORD-Wert bearbeiten in das Feld Wert den Wert TimeInSeconds ein, und klicken Sie auf OK.
      
      HinweisTimeInSeconds ist ein Platzhalter für einen sinnvollen Wert, z. B. 1 Stunde (3600) oder 30 Minuten (1800). Der Wert, den Sie wählen, hängt vom Pollintervall, den Netzwerkbedingungen und der externen Zeitquelle ab.
   5. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
   6. Klicken Sie im rechten Bereich mit der rechten Maustaste auf MaxNegPhaseCorrection, und klicken Sie dann auf Ändern.
   7. Klicken Sie unter DWORD-Wert bearbeiten im Feld Basis auf Dezimal.
   8. Geben Sie unter DWORD-Wert bearbeiten in das Feld Wert den Wert TimeInSeconds ein, und klicken Sie auf OK.
      
      HinweisTimeInSeconds ist ein Platzhalter für einen sinnvollen Wert, z. B. 1 Stunde (3600) oder 30 Minuten (1800). Der Wert, den Sie wählen, hängt vom Pollintervall, den Netzwerkbedingungen und der externen Zeitquelle ab.
7. Beenden Sie den Registrierungs-Editor.
8. Geben Sie folgenden Befehl an der Eingabeaufforderung ein, um den Windows-Zeitdienst neu zu starten, und drücken Sie anschließend die EINGABETASTE:
   net stop w32time && net start w32time

Problembehandlung

Damit der Windows-Zeitdienst ordnungsgemäß funktioniert, muss die Netzwerkinfrastruktur richtig funktionieren. Zu den häufigsten Problemen, die sich auf den Windows-Zeitdienst auswirken, gehören die folgenden:

• Es gibt ein Problem mit den TCP/IP-Verbindungen, z. B. ein deaktiviertes Gateway.
• Der Namensauflösungsdienst funktioniert nicht richtig.
• Im Netzwerk treten Verzögerungen bei hohem Volumen auf, insbesondere dann, wenn die Synchronisierung über WAN-Verbindungen (Wide Area Network) mit hoher Latenz stattfindet.
• Der Windows-Zeitdienst versucht, eine Synchronisierung mit ungenauen Zeitquellen durchzuführen.

Microsoft empfiehlt die Verwendung des Programms "Netdiag.exe" zur Behebung netzwerkbezogener Probleme. "Netdiag.exe" ist Bestandteil der Windows Server 2003-Supporttools. In der Hilfe zu den Supporttools finden Sie eine vollständige Liste von Befehlszeilenparametern, die Sie mit "Netdiag.exe" verwenden können. Wenn Ihr Problem weiterhin besteht, können Sie das Debugprotokoll des Windows-Zeitdiensts aktivieren. Da das Debugprotokoll sehr detaillierte Informationen enthalten kann, sollten Sie sich mit dem Microsoft-Produktsupport in Verbindung setzen, wenn Sie das Debugprotokoll des Windows-Zeitdiensts aktivieren.

Eine vollständige Liste der Telefonnummern des Microsoft-Produktsupports sowie Informationen zu den Supportkosten finden Sie auf der folgenden Microsoft-Website:Hinweis PLEASE DO NOT TRANSLATE. DOES NOT APPLY TO GERMAN. PLEASE DELETE THIS. PLEASE DO NOT TRANSLATE. DOES NOT APPLY TO GERMAN.

NTP unterstützt unterschiedliche Pakettypen. In der Regel senden NTP-Clients und SNTP-Clients (Simple Network Time Protocol) Paketanforderungen im Clientmodus an den NTP-Server. Der NTP-Server gibt ein Paket im Servermodus zurück. Um den W32-Zeitdienst so zu konfigurieren, dass Pakete im "Symmetric Active Mode" statt im Clientmodus an den NTP-Server gesendet werden, geben Sie den folgenden Befehl an einer Eingabeaufforderung ein:Hinweis Verwenden Sie das Flag "0x8", um zu erzwingen, dass W32Time statt der Pakete im "Symmetric Active Mode" normale Clientanfragen sendet. Der NTP-Server reagiert auf diese normalen Clientanfragen auf gewöhnliche Weise.

Konfigurieren einer zuverlässigen Zeitquelle

Ein Computer, der als zuverlässige Zeitquelle konfiguriert ist, wird als Stamm des Windows-Zeitdiensts identifiziert. Der Stamm des Windows-Zeitdiensts ist der autorisierende Server für die Domäne und in der Regel dafür konfiguriert, die Zeit von einem externen NTP-Server oder Hardwaregerät zu beziehen. Ein Zeitserver kann als zuverlässige Zeitquelle konfiguriert werden, um die Übermittlung der Zeit durch die gesamte Domänenhierarchie hindurch zu optimieren. Wenn ein Domänencontroller als zuverlässige Zeitquelle konfiguriert ist, kündigt der Anmeldedienst diesen Domänencontroller bei der Anmeldung am Netzwerk als zuverlässige Zeitquelle an. Wenn andere Domänencontroller nach einer Zeitquelle für die Synchronisierung suchen, wählen sie zuerst eine zuverlässige Quelle, sofern verfügbar.

Manuell konfigurierte Synchronisierung

Bei manuell konfigurierter Synchronisierung können Sie einen einzelnen Peer oder eine Liste von Peers festlegen, von denen ein Computer die Zeit bezieht. Wenn der Computer nicht Mitglied einer Domäne ist, muss er manuell für die Synchronisierung mit einer bestimmten Zeitquelle konfiguriert werden. Standardmäßig wird ein Computer, der Mitglied einer Domäne ist, für die Synchronisierung über die Domänenhierarchie konfiguriert. Die manuell konfigurierte Synchronisierung ist in erster Linie sinnvoll für den Gesamtstrukturstamm der Domäne oder für Computer, die nicht Mitglied einer Domäne sind. Wenn Sie für einen externen NTP-Server manuell festlegen, dass dieser mit dem autorisierenden Computer für Ihre Domäne synchronisiert wird, ermöglichen Sie zuverlässige Zeitdaten. Um eine hohe Genauigkeit und Sicherheit für Ihre Domäne zu gewährleisten, empfiehlt es sich jedoch, den autorisierenden Computer für Ihre Domäne für die Synchronisierung mit einer Hardwareuhr zu konfigurieren.

Ohne Hardwarezeitquelle wird W32Time jedoch als ein NTP-Typ konfiguriert. Sie müssen die Registrierungseinträge "MaxPosPhaseCorrection" und "MaxNegPhaseCorrection" neu konfigurieren. Der empfohlene Wert beträgt 15 Minuten oder noch weniger, abhängig von der Zeitquelle, den Netzwerkbedingungen und den Sicherheitsanforderungen. Diese Anforderung gilt auch für jegliche zuverlässige Zeitquelle, die im Subnetz für die Zeitsynchronisierung als Gesamtstrukturstamm-Zeitquelle konfiguriert ist. Weitere Informationen zu diesen Registrierungseinträgen finden Sie im Abschnitt "Registrierungseinträge für den Windows-Zeitdienst" in diesem Artikel.

HinweisManuell angegebene Zeitquellen werden nicht authentifiziert (es sei denn, ein spezieller Zeitanbieter wird für sie geschrieben) und sind deshalb anfällig für Angriffe. Außerdem kann es vorkommen, dass zwei Computer nicht mehr synchron sind, wenn ein Computer sich nicht mit dem Domänencontroller synchronisiert, der die Authentifizierung durchführt, sondern mit einer manuell angegebenen Zeitquelle. Dieses Szenario hat zur Folge, dass die Kerberos-Authentifizierung fehlschlägt, und könnte das Scheitern weiterer Vorgänge zur Folge haben, die die Netzwerkauthentifizierung benötigen, z. B. Drucken oder Dateifreigabe. Wenn nur der Gesamtstrukturstamm für die Synchronisierung mit einer externen Zeitquelle konfiguriert ist, bleiben alle anderen Computer innerhalb der Gesamtstruktur synchron. Diese Konfiguration erschwert Replay-Angriffe.

Alle verfügbaren Synchronisierungsmechanismen

Die Option "alle verfügbaren Synchronisierungsmechanismen" ist das nützlichste Synchronisierungsverfahren für Benutzer in einem Netzwerk. Dieses Verfahren ermöglicht die Synchronisierung mit der Domänenhierarchie und kann je nach Konfiguration eine alternative Zeitquelle bereitstellen, wenn die Domänenhierarchie nicht verfügbar ist. Wenn der Client die Zeit nicht mit der Domänenhierarchie synchronisieren kann, wird automatisch auf die Zeitquelle zurückgegriffen, die durch die Einstellung NtpServer vorgegeben ist. Dieses Synchronisierungsverfahren liefert den Clients mit hoher Wahrscheinlichkeit eine genaue Zeit.

Registrierungseinträge des Windows-Zeitdiensts

Die folgenden Registrierungseinträge sind unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ zu finden::

Weitere Informationen zum Windows-Zeitdienst finden Sie in folgenden Artikeln der Microsoft Knowledge Base: Weitere Informationen zum Windows-Zeitdienst auf einer Windows Server 2003-Gesamtstruktur finden Sie auf folgender Microsoft-Website: