Wenn die Authentifizierung fehlschlägt: Fehlerbehebung bei Windows-Zeitdiensten

In Active Directory basiert das Kerberos-Authentifizierungsprotokoll auf einer genauen Zeitsynchronisierung zwischen Computern …

in einem Wald. Aus diesem Grund ist die Aufrechterhaltung genauer und zuverlässiger Zeitdienste in einer Windows Server 2003-Gesamtstruktur von größter Bedeutung.
Wenn ein Client auf eine Ressource auf einem Server im Netzwerk zugreift oder zwei Domänencontroller sich für die Replikation authentifizieren, müssen die Referenzuhren der beiden Computer innerhalb eines vordefinierten Zeitversatzes liegen. Andernfalls schlägt die Aktion fehl. In Active Directory wird dieser Zeitversatz in der Gruppenrichtlinie definiert und beträgt standardmäßig fünf Minuten.
Wie in meinem Artikel über Windows-Zeitdienste erwähnt, verfügt jeder Computer über eine Referenzuhr, die unabhängig von der Zeitzonenanpassung arbeitet. Das Network Time Protocol (NTP) ist für die Synchronisierung aller Referenzuhren in der Domäne verantwortlich. Dadurch können die Uhren genau synchronisiert werden, um sie innerhalb des Zeitversatzes von fünf Minuten zu halten. Es ist auch wichtig zu beachten, dass es eine Hierarchie gibt, um Zeitdienste in der Domäne zu definieren. Der PDC ist der autorisierende Zeitserver in der Domäne, sodass alle Domänencontroller die Zeit mit dem PDC synchronisieren und Server und Workstations ihren authentifizierenden Domänencontroller verwenden, um ihre Zeit zu synchronisieren.

Hinweis:
Denken Sie daran, dass all dies sofort funktioniert. Sie müssen keine Zeitdienste konfigurieren. Sie müssen keine Zeitserver definieren, Richtlinien festlegen oder etwas ein- oder ausschalten. Lass es in Ruhe und es wird funktionieren.

Mögliche Fehler, Ausfälle und Tipps zur Fehlerbehebung
Zeitsynchronisierungsereignisse erzeugen einen Ereignisprotokolleintrag mit W23time als Quelle. Diese Ereignisse sind ziemlich selten und werden meistens als Warnungen ausgegeben, wenn der autorisierende Zeitserver nicht kontaktiert werden kann. Das ist in der Regel Dies ist kein Problem, da der Server aufgrund von Netzwerkproblemen möglicherweise nicht verfügbar oder nicht verfügbar ist und ein anderer Zeitserver gefunden wird.
Die folgenden drei Ereignisse zeigen ein allmähliches Fortschreiten des Zeitsynchronisierungsproblems von einem Informationsereignis, bei dem der Zeitserver nicht erreicht werden kann, zu einer Warnung, dass dies seit einiger Zeit geschieht, zu einem Fehler.

25.04.2007 12:28:09 W32Time-Fehler Keine
29 N / A WTEC-DC2 Der Zeitanbieter NtpClient ist so konfiguriert, dass er Zeit von einer oder mehreren Zeitquellen erfasst. Derzeit ist jedoch auf keine der Quellen zugegriffen. 15 Minuten lang wird nicht versucht, eine Quelle zu kontaktieren. NtpClient hat keine Quelle für genaue Zeit.

25.04.2007 12:28:09 W32Time Warnung Keine
24 N / A WTEC-DC2-Zeitanbieter NtpClient: Nach 8 Versuchen, Kontakt mit dem Domänencontroller WTEC-DC1.Wtec.adapps.hp.com aufzunehmen, wurde keine gültige Antwort empfangen. Dieser Domänencontroller wird als Zeitquelle verworfen, und NtpClient versucht, einen neuen Domänencontroller zu ermitteln, von dem aus synchronisiert werden soll.

24.04.2007 00:22:48 W32Time Warnung Keine
36 N / A WTEC-DC2 Der Zeitdienst hat die Systemzeit 86400 Sekunden lang nicht synchronisiert, da keiner der Zeitdienstanbieter einen verwendbaren Zeitstempel bereitgestellt hat. Der Zeitdienst ist nicht mehr synchronisiert und kann die Zeit nicht für andere Clients bereitstellen oder die Systemuhr aktualisieren. Überwachen Sie die in der Ereignisanzeige angezeigten Systemereignisse, um sicherzustellen, dass kein schwerwiegenderes Problem vorliegt.

22.04.2007 12:11:37 W32Zeitinformationen Keine
38 N / A WTEC-DC2 Der Zeitanbieter NtpClient kann ungültige Zeitdaten von WTEC-DC1.Wtec.adapps.hp.com nicht erreichen oder empfängt sie derzeit (ntp.d | 16.56.172.105: 123-> 16.113.26.95:123). .

Wenn Sie das Fehlerereignis erreichen, werden schwerwiegende Probleme bei der Authentifizierung auftreten. Beispielsweise wird ein Benutzer, der versucht, sich an einem Computer in der Domäne anzumelden, abgelehnt, es wird jedoch ein sehr beschreibender Fehler angezeigt, der besagt, dass die Zeit nicht synchron ist.
Wenn DCs nicht synchron sind, werden im Directory Services-Ereignisprotokoll Ereignisse mit der Beschreibung “Zugriff verweigert” oder a angezeigt Repadmin / showrepl zeigt “Zugriff verweigert” auf den nicht synchronisierten DCs an.
Das Tool W32tm.exe
Das Durchsuchen von Ereignissen nach Zeitsynchronisationsfehlern und der Versuch, die Zeitunterschiede zu vergleichen, kann natürlich sehr mühsam sein. Möglicherweise fragen Sie sich auch, ob es eine einfachere Möglichkeit gibt, die Synchronisierung zu erzwingen, als die Systemzeit in der Benutzeroberfläche auf jedem Computer oder mit dem Befehl Net Time zu ändern. Glücklicherweise erledigt das Befehlszeilentool W32tm.exe dies alles ganz einfach.
Die Option / Monitor
Der W32tm / Monitor / Domäne:

liefert eine Liste aller DCs in der Domäne und den Offset in Sekunden vom PDC. Beachten Sie die beiden Beispiele hier. Das erste zeigt ein gesundes Szenario, während das zweite einen mehrstündigen Versatz auf einem DC zeigt.

WTEC-DC1.Wtec.adapps.hp.com *** PDC ***
[16.113.26.95]: ICMP: 169 ms Verzögerung.
NTP: + 0,0000000s Versatz von WTEC-
DC1.Wtec.adapps.hp.com
RefID: 'LOCL' [76.79.67.76]
WTEC-DC2.Wtec.adapps.hp.com [16.56.172.105]::
ICMP: 0 ms Verzögerung.
NTP: -0.0001403s Offset von WTEC-
DC1.Wtec.adapps.hp.com
RefID: WTEC-DC1.Wtec.adapps.hp.com
[16.113.26.95]
WTEC-DC3.Wtec.adapps.hp.com [15.31.56.61]::
ICMP: 216 ms Verzögerung.
NTP: + 0,0028781s Versatz von WTEC-
DC1.Wtec.adapps.hp.com
RefID: WTEC-DC1.Wtec.adapps.hp.com
[16.113.26.95]
wtec-dc4.Wtec.adapps.hp.com [16.144.206.141]::
ICMP: 373 ms Verzögerung.
NTP: + 0,0015754s Versatz von WTEC-
DC1.Wtec.adapps.hp.com
RefID: WTEC-DC1.Wtec.adapps.hp.com
[16.113.26.95]

Beachten Sie, dass das Etikett NTP: den Versatz in Sekunden anzeigt. Hier ist WTEC-DC2 nur ein Bruchteil einer Sekunde von der PDC WTEC-DC1 entfernt. In der Ausgabe unten von der /Monitor Befehl können Sie sehen, dass WTEC-DC2 einen Versatz von 81.207 Sekunden hat, mehr als 22 Stunden. Zugegeben, ich habe es erzwungen, aber Sie können sehen, wie dies eine großartige Möglichkeit ist, die Zeitsynchronisation zwischen DCs zu sehen.

WTEC-DC1.Wtec.adapps.hp.com *** PDC ***
[16.113.26.95]::
ICMP: 181 ms Verzögerung.
NTP: + 0,0000000s Versatz von WTEC-
DC1.Wtec.adapps.hp.com
RefID: 'LOCL' [76.79.67.76]
WTEC-DC2.Wtec.adapps.hp.com [16.56.172.105]::
ICMP: 0 ms Verzögerung.
NTP: -81207.5536511s Versatz von WTEC-
DC1.Wtec.adapps.hp.com
RefID: WTEC-DC1.Wtec.adapps.hp.com
[16.113.26.95]
WTEC-DC3.Wtec.adapps.hp.com [15.31.56.61]::
ICMP: 218 ms Verzögerung.
NTP: -0.0133719s Offset von WTEC-
DC1.Wtec.adapps.hp.com
RefID: WTEC-DC1.Wtec.adapps.hp.com
[16.113.26.95]
wtec-dc4.Wtec.adapps.hp.com [16.144.206.141]::
ICMP: 410 ms Verzögerung.
NTP: -0.0117120s Offset von WTEC-
DC1.Wtec.adapps.hp.com
RefID: WTEC-DC1.Wtec.adapps.hp.com
[16.113.26.95]

Die nächste Herausforderung besteht darin, einen Computer zu zwingen, seine Zeit zu synchronisieren, sobald Sie die Ereignis-ID 38, 36, 24 und den Fehler Ereignis-ID 29 sehen. Auch bei Verwendung von W32tm.exe gibt es zwei wichtige Optionen, die Ihnen helfen können:
W32tm / resync
Dieser Befehl zwingt einen lokalen Computer, seine Uhr sofort neu zu synchronisieren, wobei frühere Fehler ignoriert werden. Die Beschreibung ist nicht sehr gründlich – denken Sie daran, dass dies der erste Schritt ist und normalerweise das Problem für einen Kunden behebt. Sie können diesen Befehl remote ausführen.
W32tm / config / syncfromFlags: domHier
Wenn die / resync Befehl funktioniert nicht, versuchen Sie diesen. Es zwingt den Computer, seinen autorisierenden Zeitserver mithilfe der Domänenhierarchie zu finden (wie am Anfang dieses Artikels beschrieben). Selbst wenn der normale autorisierende Zeitserver des Clients nicht verfügbar ist, wird er gezwungen, einen neuen Domänencontroller zu finden.
Beachten Sie den Zeitversatz
Natürlich gibt es viele andere Optionen für den W32tm-Befehl, aber diese sind meiner Meinung nach gut geeignet, um Probleme mit der Zeitsynchronisierung zu beheben.
Zeitversatzeinstellungen und Gruppenrichtlinien
Zum Schluss möchte ich noch eine letzte Sache erwähnen. Obwohl dies nicht besonders mit der Zeitsynchronisation zusammenhängt, wie ich es hier beschrieben habe, definiert es den Zeitversatz, der die Grenzen für die Zeitsynchronisation festlegt. Dies ist eine Gruppenrichtlinieneinstellung unter Computerkonfiguration → Windows-Einstellungen → Kontorichtlinien → Kerberos-Richtlinie → Maximale Toleranz für die Synchronisierung der Computeruhrund es sind standardmäßig fünf Minuten. Einmal fanden wir eine Reihe von Authentifizierungsfehlern in der Domäne – einige Domänencontroller protokollierten Fehler, denen der Zugriff verweigert wurde, und einige Benutzer konnten sich nicht anmelden, sodass bei der Anmeldung ein offensichtlicher Zeitsynchronisierungsfehler auftrat.
Nachdem ich dies untersucht hatte, stellte ich fest, dass diese Zeitversatzeinstellung in der Gruppenrichtlinie als “0” definiert wurde. Natürlich muss man bei einem Zeitversatz von null Sekunden ziemlich nah dran sein!
In der ersten Ausgabe für den in diesem Artikel gezeigten Monitorbefehl können Sie sehen, dass die meisten DCs unter einer Sekunde lagen. Daher gibt es möglicherweise eine Abrundung, mit der ein kleiner Offset als Null gelesen werden kann. Andernfalls konnte ich nicht sehen, wie sich etwas in der Domäne authentifizieren würde. Grundsätzlich musste dies jemand eingestellt haben. Es ist zwar ziemlich ungewöhnlich, aber möglich. Vergessen Sie also nicht, diesen Wert zu überprüfen.
Zeitsynchronisation ist kein häufiges Problem, aber wenn Computer nicht mehr synchron sind, schlägt die Authentifizierung fehl und viele Dinge werden unterbrochen. Beachten Sie diese Tipps, und es fällt Ihnen viel leichter, diese Probleme zu beheben, wenn sie auftreten.
Sie können SearchWindowsServer.com auf Twitter folgen @ WindowsTT.
ÜBER DEN AUTOR
Gary Olsen ist Systemsoftware-Ingenieur bei Hewlett-Packard im Bereich Global Solutions Engineering. Er hat geschrieben Windows 2000: Active Directory-Entwurf und -Bereitstellung und Co-Autor von Windows Server 2003 auf HP ProLiant Servern. Gary ist ein Microsoft MVP für Directory Services und früher für Windows File Systems.

Similar Posts

Leave a Reply