Zeitsynchronisation mit DC ignorieren

[Sinac 10]

Hi @all!

 

Ich habe ein etwas verzwicktes Problem:

Aufgrund einer eingesetzten Applikation in unserem LAN haben alle Systeme die Option "Uhr automatisch auf Sommer-/Winterzeit umstellen" deaktiviert. Das ist Herstellervorgabe und ist bis zum Umstieg auf ein anderes DBMS nicht anders möglich!

Wir haben dementsprechend natürlich jede Menge Probleme mit der Zeit am LAN. Ich muss immer zur Sommerzeit die UTC Zeit des DC manuell um eine Stunde vorstellen da ja die Umrechnung auf GMT+1 bleibt und nicht auf GMT+2 umstellt. Die anderen Systeme in der Domain bekommen die Zeit und bis auf ein paar Unix Maschinen geben sich damit auch alle Zufrieden. Nur die Software auf einem Server kann damit nicht umgehen. Diese scheint sich nicht die aktuelle lokale Zeit von Windows zu holen, sondern die UTC Zeit zu nehmen und eigenständig die lokale Zeit auszurechnen, also mit GMT+2. Der Hersteller ist ratlos und mir bleibt nichts anderes übrig, als die Zeitsynchronisation mit dem DC zu deaktivieren und lokal die UTC wieder eine Stunde vorzustellen.

 

Jetzt kommt ein paar Tage später das Problem, das andere Systeme nicht mehr auf Freigaben auf diesem Server zugreifen können mit der Begründung, die Uhr des Servers sei mit der Uhr der DC nicht synchronisiert. AFAIK liegt das an der Kerberos Authentifizierung. Wenn das Ticket abläuft bekommt der Server kein Neues vom DC da der Clock Screw ja nun über eine Stunde beträgt - oder liege ich da komplett falsch?

Wenn nicht ist jetzt meine Frage wo ich das Ganze so konfigurieren kann, dass es trotz des Zeitunterschiedes funktioniert. Jemand eine Idee?

 

Greetz...

Sinac

[nobex 10]

Hallo,

 

in Deinem Fall würde mir nur einfallen, die Problem-Anwendung auf einen eigenen unsynchronisierten Server zu verschieben bzw. die Freigaben auf einen Server mit Zeitsynchronisation umzulagern.

Evtl. tut es für die Anwendung ja auch eine Wks?

 

Gruß Robert

[Sinac 10]

Das geht leider nicht, da es sich um einen Terminal Server handelt dessen Clients über eine Freigabe einen speziellen CardReader Treiber laden müssen. Clients und Server müssen also in der gleichen Domain mit funktionierenden Freigaben sein. Außerdem läuft auch das Backup über Freigaben.

Es muss doch möglich sein das Kerberos zu konfigurieren, oder?

[blub 115]

ich habe zwar etwas Bauchschmerzen bei dem Tipp:

Du kannst in der Domainpolicy unter Securitypolicies unter Kerberos die maximal erlaubte Zeitdifferenz der Systeme veraendern. Diese steht default auf 5 Minuten. Die kannst du natuerlich auf xy-Minuten aendern, wie du es brauchst.

 

cu

blub

[Sinac 10]

Genau das hab ich gesucht - hatte es schon über die Registry probiert, aber ohne Erfolg. Ich schau mir das mal an, danke!

[Sinac 10]

Das war leider genau so erfolglos wie über die Registry:

Ich habe auf dem DC unter Verwaltung -> Sicherheitsrichtlinie für Domäne -> Sicherheitseinstellungen -> Kontorichtlinie -> Kerberos-Richtlinie -> Max. Toleranz für die Synchronisation des Computertakts: 90 Minuten eingestellt.

Das hat leider nichts gebracht. Habs dann nochmal bei Sicherheitsrichtlinie für Domänencontroller versucht, aber auch vergebens.

 

Hast du eine Idee warum das nicht greift?

[blub 115]

hol dir die GPMC von Microsoft Download Center auf einen DC.

Damit kannst du fuer jede Maschine einen "Resultant Set of Policies" machen und nachsehen ob die Policies ueberhaupt angezogen werden.

 

cu

blub