5
Sync Problem aka, warum fliegen die PCs nach 15 min aus der Dömäne bei einem Time Offset...
Hallo,
ein Glück, dass ich diese Community gefunden habe. Ich hoffe ihr könnt mir helfen.
Wir haben hier ein kleines Problem mit Win7 Notebooks, deren Zeit weit asynchron von der des DC läuft, was hier aber nötig ist, wenn ein Dokument oder Fall bearbeitet wird und sich auf die Vergangenheit beziehen soll, warum das genau so ist, oder nur wegen der Bequemlichkeit der Nutzer so sein soll, weiß ich nicht. Diese Rechner fliegen nach etwa 15 min aus der Domäne, wie es scheint, zumindest ist jegliche Kommunikation mit den Netzwerkfreigaben dann unmöglich, selbes gilt für Apps vom eigenen Citrix Server, die dann pünktlich um diese Zeit den Geist aufgeben. Im Ereignisprotokoll steht dann einiges drin, wie z.B.
Ereignis 1126, GroupPolicy "Es konnte nicht festgestellt werden, ob die vom Netzwerkadministrator definierten neuen Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer erzwungen werden sollen, da die Systemuhr dieses Computers nicht mit der Uhr des Domänencontrollers für die Domäne synchronisiert ist...."
Ereignis 5, Security-Kerberos "Der Kerberos-Client hat einen KRB_AP_ERR_TKT_NYV-Fehler vom Server XXX empfangen. Dies deutet darauf hin, dass das Ticket, das für den Server verwendet wurde, noch nicht gültig ist (im Verhältnis zu der Serverzeit)..."
Ereignis 36, Time-Service "Der Zeitdienst hat die Systemzeit für XXX Sekunden nicht synchronisiert, weil keiner der Zeitdienstanbieter einen verwendbaren Zeitstempel bereitgestellt hat..."
Ereignis 52, Time-Service "Der Zeitdienst hat die Zeit mit einem Offset von XXXXXXXXXXX Sekunden festgelegt."
Nun stellt sich die Frage, wie man dieses Problem, oder in dem Fall wohl eher Feature, lösen kann. Wie gesagt, verlangen die User, die Zeit einstellen zu können, also ist das deaktivieren dieser Möglichkeit über Policies keine Option. Lustig ist, dass dies zu Win2k3 Zeiten noch lief, nun aber min Win2k8 R2 nicht mehr.
Wenn ich was wichtiges vegessen haben sollte, oder stuss erzähle, tut mir das Leid. Ich bin nur ein Azubi und lerne das ja alles erst noch.
Danke im voraus.
Ereignis 1126, GroupPolicy "Es konnte nicht festgestellt werden, ob die vom Netzwerkadministrator definierten neuen Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer erzwungen werden sollen, da die Systemuhr dieses Computers nicht mit der Uhr des Domänencontrollers für die Domäne synchronisiert ist...."
Ereignis 5, Security-Kerberos "Der Kerberos-Client hat einen KRB_AP_ERR_TKT_NYV-Fehler vom Server XXX empfangen. Dies deutet darauf hin, dass das Ticket, das für den Server verwendet wurde, noch nicht gültig ist (im Verhältnis zu der Serverzeit)..."
Ereignis 36, Time-Service "Der Zeitdienst hat die Systemzeit für XXX Sekunden nicht synchronisiert, weil keiner der Zeitdienstanbieter einen verwendbaren Zeitstempel bereitgestellt hat..."
Ereignis 52, Time-Service "Der Zeitdienst hat die Zeit mit einem Offset von XXXXXXXXXXX Sekunden festgelegt."
Nun stellt sich die Frage, wie man dieses Problem, oder in dem Fall wohl eher Feature, lösen kann. Wie gesagt, verlangen die User, die Zeit einstellen zu können, also ist das deaktivieren dieser Möglichkeit über Policies keine Option. Lustig ist, dass dies zu Win2k3 Zeiten noch lief, nun aber min Win2k8 R2 nicht mehr.
Wenn ich was wichtiges vegessen haben sollte, oder stuss erzähle, tut mir das Leid. Ich bin nur ein Azubi und lerne das ja alles erst noch.
Danke im voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 153401
Url: https://administrator.de/contentid/153401
Printed on: April 24, 2024 at 23:04 o'clock
5 Comments
Latest comment
Servus und willkommen,
lange rede kurzer Sinn - das hat seinen Grund und wenn die Damen und Herren User das Systemdatum verändern, damit es nach aussen den Anschein hat, das Sie Ihren Job schon früher erledigt haben - geht das in meinen Augen grenzwertig an einem Betrugsversuch vorbei.
Allerdings kann dir sowas nur ein Rechtanwalt erklären, denn Rechtsberatung machen wir hier nicht.
Diese Zeile sind und können auch keine Rechtsberatung sein.
Gruß
lange rede kurzer Sinn - das hat seinen Grund und wenn die Damen und Herren User das Systemdatum verändern, damit es nach aussen den Anschein hat, das Sie Ihren Job schon früher erledigt haben - geht das in meinen Augen grenzwertig an einem Betrugsversuch vorbei.
Allerdings kann dir sowas nur ein Rechtanwalt erklären, denn Rechtsberatung machen wir hier nicht.
Diese Zeile sind und können auch keine Rechtsberatung sein.
Nun stellt sich die Frage, wie man dieses Problem, oder in dem Fall wohl eher Feature, lösen kann.
das ist ganz einfach - geh zu deinem Chef und fasele irgendwas vonwegen - wenn die das können, dann können die auch die Stechuhr manipulieren.Gruß
Nein, das ist schon legitim. Nur unsre Software ist etwas seltsam und lässt nur Datumsänderungen über die Systemzeit zu, wenn ich mir das richtig habe erklären lassen.
Salü,
die Basis einer Windows Domain ist DNS und DNS hat...
oder andersherum
Wie meschugge wird jemand, der um 11:30 eine Antwort auf eine Frage bekommt, die er erst um 11:45 gestellt hat?
Also lass dir nix erzählen Walnusspoliermaschinen, Wasserwaageneinstellzangen und einen Eimer Ohwiedumm gibts nur während der Lehrjahre
Gruß
die Basis einer Windows Domain ist DNS und DNS hat...
oder andersherum
Wie meschugge wird jemand, der um 11:30 eine Antwort auf eine Frage bekommt, die er erst um 11:45 gestellt hat?
Also lass dir nix erzählen Walnusspoliermaschinen, Wasserwaageneinstellzangen und einen Eimer Ohwiedumm gibts nur während der Lehrjahre
Gruß
Moin Moin
Es ist mitnichten so das ein Computer/Anwender sich in der Domäne anmeldet und gut ist bis er sich wieder abmeldet.
Alle Authentifizierungen sind zeitlich begrenzte Tickets die eine Ablaufzeit haben.
Das läuft dann in etwa so ab:
Client: Mein User will eine Datei in der Freigabe XYZ ändern. Darf er? Bitte, bitte, bitte.
Server: Hat er ein gültiges Ticket?
Client: Klar hate er. Gilt von 13:00 bis 13:15.
Server: Es ist erst 12:45. Tschüs.
So und als Hausaugabe noch was zum Lesen: http://www.msxfaq.de/verschiedenes/timesync.htm
Gruß L.
Zitat von @dreimer:
Wenn ich was wichtiges vegessen haben sollte, oder stuss erzähle, tut mir das Leid. Ich bin nur ein Azubi und lerne das ja alles erst noch.
Dann wollen wir doch mal sehen ob wir Dir was beibringen können.Wenn ich was wichtiges vegessen haben sollte, oder stuss erzähle, tut mir das Leid. Ich bin nur ein Azubi und lerne das ja alles erst noch.
Nein, das ist schon legitim.
NEIN, ist es nicht.Nur unsre Software ist etwas seltsam und lässt nur Datumsänderungen über die
Systemzeit zu, wenn ich mir das richtig habe erklären lassen.
Ich vermute mal der der/die Entwickler sich was dabei gedacht haben.Systemzeit zu, wenn ich mir das richtig habe erklären lassen.
Es ist mitnichten so das ein Computer/Anwender sich in der Domäne anmeldet und gut ist bis er sich wieder abmeldet.
Alle Authentifizierungen sind zeitlich begrenzte Tickets die eine Ablaufzeit haben.
Das läuft dann in etwa so ab:
Client: Mein User will eine Datei in der Freigabe XYZ ändern. Darf er? Bitte, bitte, bitte.
Server: Hat er ein gültiges Ticket?
Client: Klar hate er. Gilt von 13:00 bis 13:15.
Server: Es ist erst 12:45. Tschüs.
So und als Hausaugabe noch was zum Lesen: http://www.msxfaq.de/verschiedenes/timesync.htm
Gruß L.
Hallo dreimer,
Wie unser Telecommander und Logan000 schon schrieben, ist es nicht vorgesehen, dass einzelne Leute in einem Netzwerk an ihren PCs nach Belieben das Datum/die Uhrzeit ändern.
Eine wage, eher aber theoretische Möglichkeit sehe ich schon:
Windows ist es eigentlich egal, wie spät es ist.
Im AD ist nur wichtig, dass alle die gleiche Uhrzeit haben.
Das bedeutet, wenn mal wieder jemand wegen eines vergessenen Dokumentes die Zeit zurückstellen will, machst du das zentral am PDC-Emulator und verteilst sehr flott die Zeit an alle Clients. Dazu darf natürlich keine Zeitsynchronisation mit einer externen Zeitquelle erfolgen (die vielleicht noch richtig geht). Nach getaner Arbeit nicht vergessen, alles wieder korrekt einzustellen.
Für sonstige Probleme bei dieser Herangehensweise übernehme ich natürlich keinerlei Haftung.
Wie unser Telecommander und Logan000 schon schrieben, ist es nicht vorgesehen, dass einzelne Leute in einem Netzwerk an ihren PCs nach Belieben das Datum/die Uhrzeit ändern.
Eine wage, eher aber theoretische Möglichkeit sehe ich schon:
Windows ist es eigentlich egal, wie spät es ist.
Im AD ist nur wichtig, dass alle die gleiche Uhrzeit haben.
Das bedeutet, wenn mal wieder jemand wegen eines vergessenen Dokumentes die Zeit zurückstellen will, machst du das zentral am PDC-Emulator und verteilst sehr flott die Zeit an alle Clients. Dazu darf natürlich keine Zeitsynchronisation mit einer externen Zeitquelle erfolgen (die vielleicht noch richtig geht). Nach getaner Arbeit nicht vergessen, alles wieder korrekt einzustellen.
Für sonstige Probleme bei dieser Herangehensweise übernehme ich natürlich keinerlei Haftung.
