Windows Server und AD - Deaktivieren Sie die Zeitsynchronisierung bei der Anmeldung

410
Remi Serriere

Ich habe eine MS AD-Domäne mit einigen Anwendungsservern, auf denen Windows Server 2012 R2 ausgeführt wird. Die Anwendung hat besondere Anforderungen: Die Zeitverschiebung zwischen der Datenbank und den App-Servern muss weniger als 5 Sekunden betragen. Bei einem Zeitunterschied von 2 Sekunden oder mehr stellt die Anwendung die Maschinenzeit manuell ein. Wenn es mehr als 5 oder 10 Sekunden dauert (kann mich nicht erinnern), wird die App einfach nicht geladen.

Ich habe versucht, mich auf Active Directory-Zeitsynchronisationsmechanismen zu verlassen, aber das funktioniert hier nicht. Es muss "genauer" sein.

Meine Frage ist also ... die Risiken einer zeitlichen Desynchronisierung zwischen Domänencontrollern und App-Servern zu kennen. Ist es möglich, die Windows-Zeitsynchronisierung beim Anmelden in einer Active Directory-Domäne zu deaktivieren?

0
Ein Zeitunterschied von weniger als 5 Sekunden ist eigentlich eine weit verbreitete Anforderung, soweit verteilte Systeme funktionieren ... Aber ich bin überrascht, dass AD-Zeitsynchronisierung dies nicht bietet - verwendet es nicht NTPv4, was in der Lage sein sollte Sekundengenauigkeit? Werden beide Server mit demselben Domänencontroller synchronisiert? Sind alle Ihre DCs synchron? grawity vor 5 Jahren 0
Normalerweise sollten alle Systeme <1sec synchronisiert werden, vorausgesetzt, die Zeitserver sind richtig eingestellt. Überprüfen Sie dies unter https://support.microsoft.com/de-de/help/816042/how-to-configure-an-authoritative-time-server-in-windows-server. Auch https://docs.microsoft.com / de-de / windows-server / netzwerk / windows-time-service / how-the-windows-time-service funktioniert Jeff F. vor 5 Jahren 0
Die Zeitsynchronisierung in einer Domäne ist genau. Was Sie haben, ist anderswo ein Problem. Ich vermute, dass Sie virtuelle Maschinen ausführen und Ihre Uhreinstellungen in den VM-Einstellungen falsch sind, was dazu führt, dass das Hostsystem die Uhrzeit des Gastsystems beeinträchtigt. Stellen Sie sicher, dass das Hostsystem auch mit einer gemeinsamen Zeitquelle synchronisiert ist und / oder spielen Sie mit den Host- / Gastuhreinstellungen. Appleoddity vor 5 Jahren 0
Die Sache ist ... Die Anwendung selbst verwendet die SQL NOW () - Funktion, um Datum und Uhrzeit des Datenbankservers abzurufen. Wenn zwischen der Anwendungsserverzeit und der Datenbankzeit ein Unterschied von mindestens zwei Sekunden besteht, erzwingt die Anwendung eine Zeitänderung. Ja, wir verwenden virtuelle Maschinen, die auf Azure ausgeführt werden. AD bietet zwar Zeitsynchronisierung, die vom SQL-Server zurückgegebene Zeit stimmt jedoch möglicherweise nicht genau mit der AD-Serverzeit überein, auch wenn das SQL in der Domäne ausgeführt wird. Deshalb möchte ich die Zeitsynchronisation beim Login deaktivieren ... Wir haben eine Zeitverschiebung, die aber ohnehin weniger als 5 Minuten betragen sollte. Remi Serriere vor 5 Jahren 0

1 Antwort auf die Frage

0
Daisy Zhou

Windows AD benötigt Zeitstempel für AD-Replikationskonflikte und für die Kerberos-Authentifizierung. Kerberos verwendet sie zum Schutz vor Wiederholungsangriffen, bei denen ein Authentifizierungspaket im Netzwerk abgefangen wird und später erneut gesendet wird, um sich für den ursprünglichen Absender zu authentifizieren.

Wenn der Unterschied zwischen der lokalen Zeit und dem Zeitstempel zu groß ist, wird die Authentifizierungsanforderung zurückgewiesen und die Kerberos-Authentifizierung schlägt fehl. Wenn Sie den Zeitversatz zu hoch einstellen, besteht ein höheres Risiko für Wiederholungsangriffe. Die Standardeinstellung ist fünf Minuten.

Ohne die zeitliche Abstimmung zwischen Domänencontrollern und Servern ist die Authentifizierung nicht möglich. Die Deaktivierung der Windows-Zeitsynchronisierung bei der Anmeldung in einer Active Directory-Domäne kann daher erhebliche Probleme bei der Authentifizierung verursachen.

Sie sind nicht falsch, aber AD verlangt, dass sich die Uhr innerhalb dieser Zeit innerhalb von 5 Minuten befindet (https://superuser.com/questions/395966/how-inaccurate-must-the-clocks-time-be-for-ntlm- zu verweigernde Anfragen aufgrund von th). Der Anforderer beabsichtigt, dass die Uhr innerhalb von 5 Sekunden liegt. Ihre Besorgnis ist kein Risiko, mit dem sie konfrontiert werden. Slartibartfast vor 5 Jahren 0

Verwandte Probleme