NTP Server in Deutschland
 In Ihrem Netzwerk ist die Zeitsynchronisation für gleichzeitige
Ereignisdaten, zur Wirtschaftsprüfung und für die Buchhaltung absolut
unerlässlich. Zur Festlegung der korrekten Zeit in allen Computern und
Sicherheitssystemen in Ihrem Netzwerk verwenden Sie das Network Time Protocol (NTP).
NTP ist eine Client- Server-Protokoll, welches über den UDP-Port 123 arbeitet.
Eine NTP -Client-Anfragen fragt Universal Time Koordinaten von einer
vertrauenswürdigen Zeit-Quelle, oder einem lokalen Servern mit Zugang zu einer
angeschlossenen Zeitquelle ab. Die Zeitserver sind in 16 Strata (Stratum=Schicht) organisiert.
Jeder Server wählt einen oder mehr Server eines höheren Stratums zur Synchronisation.
Stratum1 ist mit hochpräzisien Uhren synchronisiert und sollte nur für wichtige,
zeitsensible Anfragen benutzt werden.
In Deutschland benutzt man für einzelne PCs die
Zeitserver von de.pool.ntp.org. Der NTP-Server pool.ntp.org fungiert dabei als
Verteiler, der bei jeder Abfrage auf eine andere IP-Adresse eines NTP-Servers
auflöst. Bei öffentlichen NTP-Pools wie z.B. pool.ntp.org ist jedoch für sehr
zeitsensible Anwendungen Vorsicht geboten, denn im Pool können sich auch nicht
vertrauenswürdige Zeitserver aufhalten.
Zur Synchronisation eines Firmen-Zeitservers sind die Stratum1 NTP-Server der Physikalisch-Technische Bundesanstalt (PTB), Braunschweig
sehr zuverlässig. Nach der Installation eines NTP-Programms müssen
diesem die Adressen der NTP-Server hinzugefügt werden, die zur Synchronisation
herangezogen werden sollen. Bitte verwenden Sie Stratum1 Zeitserver nicht für
einzelne PCs. Um die Zeitserver der PTB zur Synchronisation für
Firmen-Zeitserver zu
nutzen, müssen eine oder mehrere der folgenden Adressen angegeben werden:
ptbtime1.ptb.de, ptbtime2.ptb.de und ptbtime3.ptb.de. Bei Nutzung dieses
Dienstes wird um eine Benachrichtigung an ntp-admin@ptb.de gebeten. In
Bayern stehen die Stratum1 NTP Server des Leibniz Rechenzentrum München ntp1.lrz.de,
ntp3.lrz.de und Stratum2 ntp2.lrz.de zur Verfügung. In Berlin die TU Berlin:
ntps1-0.cs.tu-berlin.de, ntps1-1.cs.tu-berlin.de.
Für weniger anspruchsvolle Zeitanforderungen
wie Client PCs verwendet man normalerweise Stratum 2 oder Stratum 3 NTP Server.
z.B. stratum2-3.NTP.TechFak.Uni-Bielefeld.DE oder die NTP Zeitserver der
Provider, UNIs und Hersteller: ntp0.ewetel.de, ntp0.freenet.de,
ntp1.sul.t-online.de, ntp.web.de; time.versatel.de, time3.google.com,
ntp.fujitsu.com, ntp0.fau.de, ntp.uni-ulm.de, ntp.ur.de
GepaNet und die Zeitserver-Anbieter übernehmen keine Garantie zur
Verfügbarkeit und Ausstattung der Server. Insbesondere können Zugriffe jederzeit
und ohne Vorwarnung gesperrt werden, wenn Sicherheits- oder Lastgründe dies
erfordern. Bitte überprüfen Sie deshalb die Funktion der bei Ihnen eingetragenen
NTP-Server regelmäßig.
WatchGuard NTP Zeitzone und Uhrzeit
 Viele Fehler und Probleme in den WatchGuard Firewalls sind darauf zurückzuführen, dass die
Uhrzeit der Firewall nicht stimmt, da diese in der Grundeinstellung keine NTP
Anfrage vornimmt und eine falsche Zeitzone vorgibt. Probleme mit dem Active
Directory, der SSO Authentifizierung, Logeinträge und daraus resultierender
Berichte sind typische Beispiele hierfür.
Stellen Sie unbedingt im Policy Manager unter "Setup -> System" die
richtige Zeitzone
ein (GMT+01:00 Brussels, Berlin, Bern, Rome,...). Achten sie auch darauf, dass die WatchGuard Firebox ihre
Uhrzeit direkt von einem NTP Server bezieht. Gehen sie dazu im Policy Manager in
"Setup" -> "NTP..." und aktivieren sie dort die NTP Server mit der Checkbox. Mit
"Remove" entfernen Sie NTP-Server mit "Add" können Sie bis zu drei individuelle
NTP-Server angeben.
Mit dem Ankreuz-Feld "Enable device as an NTP server (Fireware XTM OS
v11.10 and higher)" können Sie die Firewall als NTP Server für Ihr internes
Netz benutzen. Sie müssen dann aus dem internen Netz keine Regel mehr zu
öffentlichen Zeitservern generieren, sondern können sich Ihre Zeit von der
WatchGuard Firebox holen.
Einstellen der Check Point Firewall NTP Server
So stellen Sie Zeit und Datum automatisch über NTP ein:
1. Klicken Sie in der WebUI-Struktur auf System Management > Time.
2.Klicken Sie auf Set Time and Date
3. Wählen Sie im Fenster der Uhrzeit- und Datumseinstellungen "Set Time and
Date automatically using Network Time Protocol (NTP)" aus.
4.Geben Sie die URL oder IP-Adresse des primären und (optional) sekundären
NTP-Servers ein.
5.Wählen Sie die NTP-Version für den entsprechenden Server. (Check Point
empfiehlt Version 3)
6.Klicken Sie auf OK.
Oder über die CLI:
set ntp active on
set ntp server primary ptbtime1.ptb.de version 3
set ntp server secondary ptbtime2.ptb.de version 3
Zur Fehlersuche und Statusanzeige:
show ntp active (Zeigt den aktiven NTP-Server an)
show ntp current (Zeigt den Hostnamen / IP-Adresse des aktuell verwendeten
NTP-Servers an)
show ntp servers (Zeigt die momentan verwendeten NTP Server an)
Ändern der Sonicwall NTP Server
Die SonicWALL Firewall benutzt die Zeit- und Datums-Einstellungen für
Logging-Zeitstempel, automatisch aktualisierende SonicWALL Security Services und
für andere interne Zwecke. Standardmäßig verwendet die SonicWALL eine interne
Liste von öffentlichen NTP-Server zur automatischen Aktualisierung der Zeit. Um
Ihre Zeitzone auszuwählen und automatisch zu aktualisieren, wählen Sie die
Zeitzone aus dem "Time Zone" Menü. "Use NTP to set time automatically" ist
standardmäßig aktiviert. Automatisch Anpassung der Uhr auf Sommer-/Winterzeit
ist standardmäßig aktiviert. Wählen Display UTC anmeldet (statt Ortszeit) die
Verwendung angeben Universal Time ( UTC) statt Ortszeit für Veranstaltungen
anmelden .
Sie können auch das Update-Intervall für die Synchronisation mit dem
NTP-Server verändern. Der Standardwert ist 60 Minuten.
Sie können NTP Server durch Eingabe der IP-Adresse eines NTP -Server im "Add
NTP Server" Feld hinzufügen. Wenn es keine NTP-Server in der Liste gibt, wird
standardmäßig die interne NTP-Liste verwendet.
Nach der Auswahl Ihrer Zeit-Einstellungen klicken auf "Update". Sobald die
SonicWALL aktualisiert wurde, wird eine Meldung zur Bestätigung des Update unten
im Browser-Fenster angezeigt.
Barracuda Spam Firewall
Gehen Sie zur "BASIC -> Administration" Seite und überprüfen Sie, ob die
lokale Zeitzone richtig eingestellt ist. Die Zeit auf der Barracuda Spam
Firwewall wird automatisch über NTP (Network Time aktualisiert Protocol)
aktualisiert und erfordert daher, dass Port 123 UDP auf Ihrer Firewall geöffnet
ist. Wichtig ist, dass die Zeitzone richtig eingestellt wird, weil diese
Informationen genutzt werden, um die Sende- und Empfangszeiten für Nachrichten
festzulegen, welche dann in den Mail-Programmen erscheint.
Um
NTP-Server-Einstellungen auf der Barracuda Spamfirewall zu ändern gehen Sie
unter "Advanced -> Networking". Unter NTP Servers Configuration können Sie neue
NTP-Server hinzufügen oder alte löschen.
Um NTP-Server-Einstellungen auf der Barracuda Spamfirewall mit älterer
Firmware zu ändern, müssen Sie mit der Experten-Variablen auf die versteckte
WEB-Seite der Spam Firewall zugreifen.
1. Loggen Sie dich in die Barracuda Antispam Firewall als admin ein.
2. Klicken Sie auf die Registerkarte "Erweitert"
3. Hängen Sie ein &expert=1 an das Ende der URL an.
Ihre URL sollte so aussehen:
http://IP-Addresse:8000//cgi-mod/index.cgi?&user=admin&password=123&et=1277137601&auth_type=Local&locale=de_DE&primary_tab=ADVANCED&expert=1
Klicken Sie auf nach der Einstellung der Zeit.Parameter immer auf "Änderungen
speichern".
 NTP
Einrichtung bei Lancom Router und Access-Points
Lancom Geräte reagieren ganz fatal auf nicht eingestellte oder falsch
eingestellte Zeit-Parameter. Die kann bis zum totalen Funktionsausfall gehen.
Konfigurieren Sie deshalb als erstes bei Lancom Geräten die Zeiteinstellungen.
Über das Programm LANconfig wählen Sie das entsprechende Gerät mit der
rechten Maustaste aus. Wählen Sie "Konfigurieren". Im Auswahlfeld
"Konfiguriere:" wählen Sie "Datum/Zeit".
Im Reiter "Allgemein:" Stellen Sie die Zeitzone Ihres Gerätestandorts ein.
Setzen Sie die "Zeitzone:" auf "+01: Berlin,Brüssel…". Die Zeitzone ist die
Differenz aus der lokalen Zeit und der koordinierten Weltzeit (UTC) in Stunden.
Diese Angabe ist insbesondere für das Netzwerk-Zeit-Protokoll (NTP) wichtig. Die
"Sommerzeit:" setzen Sie auf "Automatisch".
Im Reiter "Synchronisierung:" wählen Sie aus, ob und wie das Gerät seine
interne Echtzeit-Uhr synchronisiert. Es kann sich dazu mit einem erreichbaren
Zeit-Server (NTP) synchronisieren.
Wählen Sie „Regelmäßig mit einem Zeitserver (NTP) synchronisieren“ aus.
Klicken Sie auf „Zeit-Server…“ um die gewünschten Zeit-Server als Domänenname
oder IP-Adresse anzugeben. Geben Sie hier die Zeit-Server (NTP) in der
Reihenfolge an, in der Sie diese abfragen möchten. Die Server sollten über das
angegebene Interfaces erreichbar sein.
Windows Server als NTP Server und NTP Client
Beim Bereitstellen einer Domäne ist es wichtig, den Windows-Zeitdienst
(W32time) ordnungsgemäß zu installieren, damit er den Anforderungen Ihrer
Organisation entspricht. Der Windows-Zeitdienst bietet auch Clients die
Möglichkeit der Zeitsynchronisation und stellt somit die Konsistenz von
Zeitangaben im gesamten Unternehmen sicher. Auch bei Windows Servern setzen
viele Dienste eine Zeit-Synchronität zwischen Server und Clients voraus.
Normalerweise befindet sich die Betriebsmasterrolle für den PDC auf dem ersten
bereitgestellten Domänencontroller. Legen Sie den PDC-Emulator so fest, dass er
mit einer gültigen NTP-Quelle (Network Time Protocol) synchronisiert wird. Wenn
Sie keine Quelle konfiguriert haben, schreibt der Windows-Zeitdienst eine
Meldung in das Ereignisprotokoll und gibt den Clients dann die lokale Uhrzeit
an. Der Windows-Zeitgeber-Dienst muss beim Windows Server 2003 in den Diensten
auf "Automatisch starten" gestellt sein und laufen.
Bitte in den Diensten überprüfen: Start -> Ausführen -> Services.msc
Konfiguration des Windows-Zeitdienst auf dem ersten Windows 2008 / 2012 Controller
in der Domäne
Der Zeit-Befehl an der Eingabeaufforderung lautet: w32tm (mit /? ruft man die
Hilfe auf).
Öffnen Sie auf Ihrer Firewall den UDP-Port 123 für ausgehenden NTP-Datenverkehr
von Ihrem PDC zum Zeitserver.
Geben Sie den folgenden Befehl ein, um die
Zeitdifferenz zwischen dem lokalen Computer und einem Zielcomputer anzuzeigen:
w32tm /stripchart /computer:ptbtime1.ptb.de /samples:5 /dataonly
Geben Sie zum Konfigurieren des PDC-Emulators den folgenden Befehl ein:
w32tm /config /manualpeerlist:ptbtime1.ptb.de /syncfromflags
Um eine sofortige Synchronisierung zu erzwingen:
w32tm /resync
Mit w32tm /query /status können Sie auf jedem Windows-System den
aktuellen Status der Synchronisierung und der Zeitquelle abfragen.
Zeitsynchronisation auf einem Windows 2003 Server
Folgende Befehle müssen der Reihe nach ausgeführt werden um die
Zeitsynchronisation auf einem Windows 2003 Server zu konfigurieren:
w32tm /config /syncfromflags:manual /manualpeerlist:"ptbtime1.ptb.de,
ptbtime2.ptb.de"
w32tm /config /reliable:YES /update
w32tm /resync
Konfiguration der NTP Server mit der Registry
In der Registry stehen die Zeitserver im Pfad:
HKLM/System/Current Control Set/Services/w32time/Parameters/NTPServer
Ändern des Zeitservertyps auf NTP
HKLM/System/Current Control Set/Services/w32time/Parameters
Im Feld Type ändern Sie den Wert auf "NTP" und klicken auf OK.
Setzen des AnnounceFlags auf 5
HKLM/System/Current Control Set/Services/w32time/Config
Im Feld "AnnounceFlags" , geben Sie den Wert 5 ein und klicken auf OK.
Aktivieren des NTP-Servers
HKLM/System/Current Control Set/Services/w32time/TimeProviders/NtpServer
Ändern Sie den Wert des Feldes "Enabled" auf 1 und klicken auf OK.
Angabe der Zeitquellen
HKLM/System/Current Control Set/Services/w32time/Parameters
Geben Sie im Feld NtpServer die abzufragenden NTP-Zeitserver ein und klicken auf
OK. Einzelne NTP-Server werden durch Leerzeichen getrennt. Sie müssen ein ,0x1
an das Ende jedes DNS-Namen anhängen. )
Auswahl des Pollintervalls
HKLM/System/Current Control Set/Services/w32time/TimeProviders/NtpClient
Geben Sie unter SpecialPollInterval den Wert "TimeInSeconds" ein und klicken auf
OK.
Starten Sie den Zeitdienst neu.
net stop w32time
net start w32time
vmware vSpere: Hinzufügen, Bearbeiten oder Entfernen eines NTP-Servers
Mit dem Network Time Protocol (NTP) können Sie die von einem vmware
Hostsystem angezeigte Uhrzeit mit einem Referenz-NTP-Server synchronisieren.
Dazu müssen Sie den NTP-Client auf dem vmware Host so konfigurieren, dass er
einen oder mehrere NTP-Server verwendet. Sie Benötigen dazu die Berechtigungen
Host.Konfiguration.Sicherheitsprofil und Firewall.
1 Wählen Sie einen vmware Host in der Bestandsliste aus.
2 Klicken Sie auf die Registerkarte [Konfiguration].
3 Klicken Sie unter „Software“ auf [Sicherheitsprofil].
4 Klicken Sie auf [Eigenschaften].
5 Wählen Sie [NTP-Client] und klicken Sie auf [Optionen].
6 Wählen Sie [NTP-Einstellungen].
7 Wählen Sie aus, ob ein NTP-Server hinzugefügt, bearbeitet oder entfernt
werden soll.
Zum Hinzufügen eines NTP-Servers klicken Sie auf [Hinzufügen], geben die
IP-Adresse oder den vollständig qualifizierten Domänennamen eines NTP-Servers
ein und klicken anschließend auf [OK].
Zum Bearbeiten eines Eintrags wählen Sie einen Eintrag aus den NTP-Servern aus
und klicken auf [Bearbeiten]. Geben Sie eine IP-Adresse oder einen vollständig
qualifizierten Domänennamen ein, und klicken Sie auf [OK].
Zum Entfernen eines Eintrags wählen Sie diesen aus und klicken auf [Entfernen].
8 Aktivieren Sie [NTP-Dienst zum Übernehmen der Änderungen neu starten], um
den NTP-Dienst neu zu starten.
Wenn Sie dieses Kontrollkästchen nicht aktivieren, müssen Sie den Dienst manuell
neu starten, damit die Änderungen übernommen werden.
9 Klicken Sie auf [OK].
Debian Linux als NTP Client
NTP installieren
sudo apt-get install ntp ntp-simple ntpdate
Timeserver in die /etc/ntp.conf eintragen
vi /etc/ntp.conf
server ptbtime1.ptb.de
server ptbtime2.ptb.de
disable monitor
(das NTP-Monitoring wird deaktiviert, um auszuschließen, dass der Server für
DRDoS-Angriffe missbraucht wird)
NTP Deamon starten
/etc/init.d/ntp start
NTP als Autostart-Service konfigurieren
update-rc.d ntp defaults
Mit ntptrace wird die Client/Server Beziehung von NTP angezeigt.
Cisco ASA: Einstellen von Datum und Uhrzeit mit einem
NTP-Server
Um das Datum und die Uhrzeit von einem NTP -Server zu erhlaten,
führen Sie die folgenden Schritte aus :
Normales, (Nicht-Authentifiziertes) NTP:
asa5505(config)# ntp server [IP-Adresse NTP Server] source [Interface-Name]
asa5505(config)# ntp server 192.53.103.108 source outside
Aktivieren von NTP-Authentifizierung:
asa5505(config)# ntp authenticate
Authentifizierungs-Schlüssel-ID zu einem
vertrauenswürdigen Schlüssel hinzufügen. Die
key-id liegt zwischen 1 und 4294967295. Sie können mehrere
vertrauenswürdigen Schlüssel mit IDs versehen:
asa5505(config)# ntp trusted-key key-id
asa5505(config)# ntp trusted-key 32
Um sich mit dem Schlüssel am NTP -Server zu
authentifizieren. key-id ist die ID, die Sie
mit "ntp trusted-key" definiert haben. key ist eine
bis zu 32 Zeichen lange Zeichenkette:
asa5505(config)# ntp authentication-key key-id md5 key
asa5505(config)# ntp authentication-key 32 md5 GeheimSchluessel1234
Identifizierung am NTP-Server:
asa5505(config)# ntp server ip_address key key-id [source
interface_name] [prefer]
asa5505(config)# ntp server 10.1.2.3 key 32 source inside
[prefer] setzt den NTP -Server als bevorzugten
Server, wenn mehrere Server ähnliche Genauigkeit haben
--------------------------------
Nachtrag: Das Seminar über Zeitreisen findet letzten Mittwoch statt.
GepaNet GmbH >>
Services >>
Tipps und Tricks >> NTP Probleme
GepaNet GmbH - Ihr Netzwerkspezialist
|
