Probleme mit der Uhrzeit auf einem DC nach Stromunterbrechung

[SMR_Support 1]

Hallo liebe Forenkollegen,

 

In der Nacht von Samstag auf Sonntag gab es in unserem Gebäude eine geplante Stromunterbrechung von ca 2 Stunden. Nach der Unterbrechung habe ich festgestellt, dass ein virtueller DC nicht mehr die aktuelle Zeit sondern exakt 2 Stunden in der Zukunft ist.

 

Was habe ich bereits überprüft:

 

a.) Da der Server auf einem ESXi Host läuft habe ich im UEFI Bios des Hosts nachgesehen und dort ist die korrekte Uhrzeit eingetragen.

b.) Ich kann zwar als angemeldeter und berechtigter User auf dem betreffenden DC die Uhrzeit zwar ändern, aber nach einem Neustart ist diese wieder 2 Stunden in der Zukunft.

c.) Überprüfung der Zeitzone am Problem DC -> Ist ebenfalls korrekt eingestellt.

d.) Ping zu der IP eines anderen DCs erfolgreich

 

e.) Ping zum Namen des DCs nicht erfolgreich!

 

 

Im Augenblick stellt der Problem DC bisher keine DNS/DHCP Dienste bereitstellt sondern nur die AD Domain Dienste.

 

Da es sich aber um einen sekundären DC handelt mache ich mir jetzt natürlich Sorgen was die Synchronisierung der DCs untereinander betrifft (Stichwort Replizierung). Sind diese Sorgen berechtigt?

 

Im Ereignisprotokoll tauchen zumindest entsprechende Replizierungsfehler auf und ich erhalte auf dem Problem DC in sporadischen Abständen ein Meldungsfenster:

 

------------------------------------------------------------------------------

Gruppenrichtlinien-Verwaltungskonsole

Domäne (meine Domäne)

 

Die angegebene Domäne ist nicht vorhanden, oder aber es kann keine Verbindung hergestellt werden

 

Wählen Sie eine der folgenden Optionen aus

-> Anderen Domänencontroller auswählen

-> Wiederholen

-> Entfernt diese Domäne von der Konsole

------------------------------------------------------------------------------

 

Wo könnte ich noch nach einer falschen Uhrzeit schauen? Auch wenn es im Bios / Uefi korrekt eingetragen ist drängt sich mir dennoch der Verdacht auf, dass es mit dem Host zusammenhängen könnte.

 

Die Überprüfung an welchem DC ich angemeldet  bin (echo %logonserver%) hilft mir bei der Fehlerfindung leider auch nicht viel weiter da mein client sich an dem Problem DC angemeldet hat und die korrekte Zeit bekommt/hat

 

Wenn alle Ansätze ins leere Laufen überlege ich den Problem DC herunterzustufen und anderweitig neu aufzusetzen.

 

Danke für eure Kommentare und Anregungen...

 

Beste Grüsse

 

SMR_Support

[Doso 77]

Ein DC ist ein DC ist ein DC. Kein DHCP Server oder sowas. Sollte auch so bleiben. Weiterhin gibt es sowas wie "sekundäre" DCs schon lange nicht mehr. Manche DCs halten zwar gewisse Rollen inne, deswegen macht sie das aber nicht zu einem primären DC. Das Konzept solltest du aus deinem Kopf streichen.

 

Bei Kerberos kann es ab 5 Minuten Zeitunterschied zu Problemen kommen, also sind 2 Stunden wohl schon ein Problem.

 

Nachdem dein DC auch nichts weiter macht würde ich ihn herunterstufen und den Server neu installieren. Sollte durch visualisierte Umgebung recht fix gehen.

bearbeitet 29. August 2016 von Doso

[Sunny61 810]

Hast du die Zeitsynchronisierung mit dem Host abgeschaltet?

[SMR_Support 1]

Hast du die Zeitsynchronisierung mit dem Host abgeschaltet?

Hallo das mit der Zeitnsynchronisierung mit dem Host war das was ich suchte...

 

aufgrund der Info konnte ich die gesuchten Einstellungen finden und korrigieren. Sie waren in der Tat um 2 Stunden in die Zukunft versetzt.

 

https://it-services.netlogix.de/blog/zeitsynchronisierung-in-einer-esx-landschaft

 

Ich werde den betreffenden Server heute nochmal beobachten und falls erforderlich wie von Doso empfohlen aus der Ad entfernen...

 

Danke Sehr für eure Antworten!

[NilsK 2.969]

Moin,

 

gut, dass du es gefunden hast. Danke für die Rückmeldung.

 

Bei VMware gibt es eine Falle: Beim Neustart einer VM übergibt der Host immer seine Zeit an die VM, auch wenn die Zeitsynchronisation abgeschaltet ist. Das Abschalten bewirkt nur, dass der Host im laufenden VM-Betrieb die Zeit nicht synchronisiert. In deinem Fall war die Abweichung zwei Stunden, und einen so großen Unterschied gleicht Windows (meist) nicht selbst aus.

 

Das ist ein Grund, warum man den DC mit der PDC-Emulator-Rolle immer als physischen DC halten sollte: Er ist die maßgebliche Zeitquelle in Active Directory. Hat man das so aufgebaut, dann kann man in vSphere die Domäne als NTP-Server eingeben (den DNS-Namen der Domäne, nicht eines einzelnen DCs), was solche Probleme effektiv verhindern hilft.

 

Gruß, Nils

[Sunny61 810]

Freut mich für Dich und Danke für die Rückmeldung. ;)

[SMR_Support 1]

Hallo NilsK

 

herzlichen Dank für deine Ergänzungenn zu dem Thema, gerne nehme ich diese auf und werde sobald es geht einen entsprechenden Server auf diese Art bereitstellen.

Alles auf VM Basis zu halten ist für mich sowieso keine langfristige Option!

 

Gruss

 

SMR_Support

[blub 115]

Ich werfe noch ein, dass man securityrelevante Systeme wie DCs oder CA-Server der reinen Lehre nach eigentlich immer physikalisch laufen lassen sollte.

- Jeder VM Admin kann sich Zugriff zum virtuellen DC verschaffen

- Wird der VM-Host gehackt, fallen auch die VMs

- Attacker suchen daher gerne gezielt nach VM-Hosts im Netzwerk, da hier bei Erfolg die größte Beute liegt.

- Es ist Malware bekannt, die die Grenzen zwischen VMs überspringen kann.

 

Blub

[NorbertFe 2.097]

Zwischen Theorie und Praxis besteht in der Theorie ja auch kein Unterschied. ;) Ich denke, dass für viele die hier schreiben (inklusive mir) dieser Vorschlag nicht realistisch ist.

[NilsK 2.969]

Moin,

 

- Es ist Malware bekannt, die die Grenzen zwischen VMs überspringen kann.

 

das würde ich anders ausdrücken: Es sind Lücken in den Hypervisoren denkbar und es wurden auch bereits welche gefunden, die einen solchen Übergriff ermöglichen. Die bisher gefundenen Lücken dieser Art wurden stets sehr schnell geschlossen, aber das heißt natürlich nicht, dass es keine weiteren gibt (und dass neu entdeckte jedes Mal so schnell geschlossen werden können).

 

In sofern ist der Hinweis schon richtig, aber aus diesem konkreten Umstand leite ich eher die Forderung ab, Systeme aus getrennten Sicherheitszonen (LAN/DMZ, Admin/Produktion, Bereich1/Bereich2 ... das ist eine Designfrage) nicht auf dem selben Hypervisor-System (Einzelhost, Cluster) zu betreiben. Immerhin sind Übergriffe von System zu System in vielen Situationen viel einfacher möglich, ohne dass man den Hypervisor überhaupt angreifen muss.

 

Gruß, Nils

[blub 115]

Die "reine Lehre" bzw. Die"perfekte Welt" zumindest zu kennen, schadet aber auch nicht

[NorbertFe 2.097]

Dagegen hab ich auch nichts. ;)

[NilsK 2.969]

Moin,

 

den Gedanken verfechte ich auch. Nicht umsonst räume ich solchen Überlegungen in meinen "Best-Practice"-Veranstaltungen zu Virtualisierung breiten Raum ein - und diskutiere hinterher jedes Mal mit ca. der Hälfte der Teilnehmer darüber. :D

 

Gruß, Nils