UCS 3.2 - Zulässige Zeitdifferenz zwischen Client und DC

adm-dd · February 7, 2014, 9:34am

Hallo Forum,

bei der Verwendung einer UCS 3.2 verwalteten Domäne (PDC als Active Directory mit Samba 4.1) wird auf dem Windows7-Client bei einer Benutzeranmeldung die folgende Fehlermeldung angezeigt [quote]Der Benutzername bzw. das Kennwort ist falsch.[/quote] wenn die Zeit auf dem Client nicht mit der Zeit auf dem Domänencontroller übereinstimmt.

Wie im UCS3.2-Handbuch für Benutzer und Administratoren in Kapitel 3.2.2. beschrieben, muss die Zeit auf dem Client-System mit der Zeit auf dem Domänencontroller synchronisiert sein.

Kennt jemand den Standardwert für die maximal zulässige Zeitdifferenz zwischen einem Windows-Client und einem Samba4-DC, damit ein Domänenbeitritt oder eine Benutzeranmeldung noch möglich ist?
Lässt sich diese maximal zulässige Zeitdifferenz in UCS 3.2 (Samba 4) einstellen/verändern?
Vielen Dank für die Infos.

Grandjean · February 9, 2014, 9:27pm

Hallo adm-dd,

Wenn mich nicht alles täuscht, sind das maximal 5 Minuten, die Client und DC voneinander abweichen dürfen. Hintergrund ist der Kerberos-Dienst, der im Active Directory (und somit auch von Samba 4) zur Authentifizierung verwendet wird. Dabei werden u.a. Zeitstempel von Client und DC verglichen, um sog. Replay-Angriffe zu unterbinden. Damit Kerberos die Benutzeranmeldung akzeptiert, müssen die beiden Systeme eine möglichst synchrone Uhrzeit haben. Ist das nicht der Fall, scheitert die Authentifizierung und Windows gibt diese etwas missverständliche Fehlermeldung aus.

In der Regel wird beim Domänenbeitritt eines Windows-Clients der DC auch als Zeitserver konfiguriert. An einem Windows 7 Client lässt sich das bspw. auf der Kommandozeile mit “w32tm /query /status” prüfen. Der Client sollte seine Zeit dann auch regelmäßig mit der Zeit vom DC synchronisieren. Für den Domänenbeitritt muss die Uhrzeit aber bereits innerhalb der 5 Minuten Toleranz liegen.

Soweit ich weiß, lässt sich diese Toleranz per Gruppenrichtlinie konfigurieren. Getestet habe ich das allerdings bislang nicht, da man ja in der Regel aus diversen Gründen möglichst synchrone Uhrzeiten haben möchte (Authentifizierung, Zeitstempel von Dateien, Nachvollziehbarkeit von Logdateien etc.)