Ein NTP Server (Network Time Protocol-Server) ist entscheidend für die Zeitsynchronisation von Windows Clients und Servern. Für ein funktionierendes Netzwerk sind korrekte Zeiteinstellungen ein „Muss“, damit alle Netzwerkkomponenten über die gleiche Uhrzeit verfügen. In dieser Windows Anleitung zum Thema „NTP Server“ befassen wir uns eingehend mit dem Konzept der NTP-Server, deren Funktionsweise, Bedeutung, Konfiguration, dem Debuggen und der Fehlersuche und mit wichtigen Sicherheitsaspekten.

Was ist ein NTP-Server?

NTP, kurz für Network Time Protocol, ist ein Internetprotokoll, das verwendet wird, um Uhren von Computern und Netzwerkgeräten über Datennetzwerke zu synchronisieren. Ein NTP-Server kommuniziert Zeitinformationen an diese Geräte, sodass ihre internen Uhren mit einer sehr hohen Genauigkeit eingestellt werden können.

Warum ist Zeit-Synchronisation wichtig?

Die Synchronisation der Systemzeit über Netzwerke hinweg ist aus mehreren Gründen von entscheidender Bedeutung:

  • Datensicherheit: Viele Aspekte der Netzwerksicherheit, wie Zertifikataustausch und Verschlüsselung, hängen von der genauen Zeit ab.
  • Fehlerbehebung und Log-Management: Genau synchronisierte Zeitstempel sind entscheidend, um Ereignisse in Log-Dateien korrekt zu korrelieren.
  • Transaktionsmanagement: In Finanzsystemen, wo Millisekunden über den Erfolg einer Transaktion entscheiden können, ist eine exakte Zeitmessung unerlässlich.

Wie funktioniert ein NTP-Server?

NTP verwendet ein hierarchisches, mehrstufiges Verteilungssystem, das in Schichten (auch als „Strata“ bezeichnet) organisiert ist.

  • Stratum 0: Diese Schicht besteht aus hochpräzisen Zeitquellen wie Atomuhren, GPS-Uhren oder anderen Radiouhren.
  • Stratum 1: Geräte in dieser Schicht sind direkt mit Stratum 0-Quellen verbunden und dienen als primäre Zeitserver.
  • Stratum 2: Diese Server synchronisieren sich mit Stratum 1-Serven und dienen als Backup oder zur Lastverteilung.
  • Stratum 3 und höher: Server in diesen Schichten synchronisieren sich mit einem Server der nächstniedrigeren Schicht.

Jede Ebene sorgt für eine fortschreitende Verteilung der genauen Zeit, wobei jede Stufe eine leicht größere Varianz aufweisen kann.


Windows-FAQ Newsletter

Hier könnt Ihr Euch bei unserem Windows-FAQ Newsletter anmelden.

Windows Zeitserver konfigurieren

Konfigurieren eines Windows-Clients zur Verwendung eines externen NTP-Servers

Unter Windows spielt ein NTP-Server eine entscheidende Rolle bei der Gewährleistung, dass alle Computer in einem Netzwerk synchronisiert sind, indem er genaue Zeitinformationen bereitstellt. Diese Synchronisation ist für verschiedene Netzwerkoperationen und -dienste wichtig, einschließlich der Sicherheitsprotokolle, der Authentifizierung und der Systemlog-Aufzeichnungen. Windows-Systeme nutzen das Network Time Protocol (NTP), um ihre interne Uhr mit der eines externen oder internen NTP-Servers abzugleichen, was zu einer genauen und konsistenten Zeitmessung über das gesamte Netzwerk führt.

Um einen Windows-Client so zu konfigurieren, dass er die Zeit von einem externen NTP-Server bezieht, können Sie die Windows-Eingabeaufforderung oder PowerShell verwenden. Microsoft hat mehrere Möglichkeiten in Windows integriert, um die Windows Zeiteinstellungen zu konfigurieren. Hier sind die Schritte für beide Methoden:

Konfiguration der Windows Zeiteinstellungen über die Eingabeaufforderung CMD

Klicken Sie auf das Startmenü, geben Sie „cmd“ ein, klicken Sie mit der rechten Maustaste auf „Eingabeaufforderung“ und wählen Sie „Als Administrator ausführen„.

Konfigurieren des NTP-Servers

Geben Sie den folgenden Befehl ein, um den NTP-Server zu konfigurieren. Ersetzen Sie „time.example.com“ durch die Adresse Ihres bevorzugten NTP-Servers.

w32tm /config /syncfromflags:manual /manualpeerlist:"time.example.com"

Neustart des Windows Zeitdienstes

Um die neuen Einstellungen zu übernehmen, müssen Sie den Windows-Zeitdienst neu starten. Verwenden Sie dazu den folgenden Befehl:

net stop w32time && net start w32time

Überprüfen der Zeit Konfiguration

Überprüfen Sie, ob die Konfiguration erfolgreich war und der Client die Zeit vom externen Server bezieht, mit:

w32tm /query /configuration
w32tm query configuration

Und für den Status:

w32tm /query /status

Konfiguration der Windows Zeiteinstellungen über die PowerShell

Klicken Sie auf das Startmenü, geben Sie „powershell" ein, klicken Sie mit der rechten Maustaste auf „Windows PowerShell“ und wählen Sie „Als Administrator ausführen„. Oder Sie starten Windows Terminal als Administrator.

Konfigurieren des NTP-Servers

Verwenden Sie das „Set-ItemProperty Cmdlet„, um den NTP-Server zu konfigurieren. Ersetzen Sie „time.example.com“ durch die Adresse Ihres bevorzugten NTP-Servers.

powershell Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters -Name NtpServer -Value "time.example.com,0x8"

Aktivieren der NTP-Client-Registrierung und Starten des Dienstes

Aktivieren Sie die NTP-Client-Registrierung und starten Sie den Zeitdienst erneut mit den folgenden Befehlen:

powershell Restart-Service w32time

Überprüfen der Konfiguration

Verwenden Sie folgenden Befehl, um die Konfiguration und den Status zu überprüfen:

powershell w32tm /query /status

Durch diese Konfiguration wird sichergestellt, dass Ihr Windows-Client die korrekte Zeit von einem externen NTP-Server bezieht, was besonders nützlich ist, um die Genauigkeit der Systemzeit über verschiedene Geräte hinweg zu gewährleisten.

NTP Zeitserver in Deutschland

Bekannteste NTP-Server in Deutschland

Hier ist eine Tabelle der am meisten verwendeten NTP-Server in Deutschland, inklusive ihrer Beschreibung und Stratum-Ebene:

ServerBeschreibungStratum
ptbtime1.ptb.dePhysikalisch-Technische Bundesanstalt (PTB), Braunschweig1
ptbtime2.ptb.dePhysikalisch-Technische Bundesanstalt (PTB), Braunschweig1
ptbtime3.ptb.dePhysikalisch-Technische Bundesanstalt (PTB), Braunschweig1
ntp1.fau.deFriedrich-Alexander-Universität Erlangen-Nürnberg2
ntp2.fau.deFriedrich-Alexander-Universität Erlangen-Nürnberg2
time.fu-berlin.deFreie Universität Berlin2
ntp1.rrze.uni-erlangen.deRegionales Rechenzentrum Erlangen (RRZE), Erlangen2
ntp0.fau.deFriedrich-Alexander-Universität Erlangen-Nürnberg2

Die Stratum-Ebene gibt an, wie weit der Server von einer Referenzuhr entfernt ist. Stratum 1 bedeutet, dass der Server direkt mit einer genauen Zeitquelle (z.B. einer Atomuhr) verbunden ist. Stratum 2 bedeutet, dass der Server sich mit einem Stratum 1 Server synchronisiert.

Windows Zeitdifferenzen debuggen

Debug Möglichkeiten bei Zeitabweichungen oder Zeitdifferenzen

Wenn die Zeit eines Windows-Clients von der eines NTP-Servers abweicht, kann dies verschiedene Ursachen haben, von Konfigurationsproblemen bis hin zu Netzwerkverzögerungen. Glücklicherweise bietet Windows mehrere Möglichkeiten zur Fehlerbehebung und Korrektur von Zeitabweichungen sowie zum Debugging, um die Ursache des Problems zu ermitteln.

Korrektur der Zeitabweichung

Manuelle Synchronisation

Sie können den Zeitdienst manuell anweisen, eine sofortige Synchronisation durchzuführen. Öffnen Sie dazu eine Eingabeaufforderung oder PowerShell als Administrator und führen Sie den folgenden Befehl aus:

w32tm /resync

Falls ein Fehler auftritt, der darauf hinweist, dass der Dienst nicht ausgeführt wird, starten Sie den Dienst mit „net start w32time“ und versuchen Sie es erneut.

Überprüfen und Setzen der Zeitzone

Stellen Sie sicher, dass die Zeitzone korrekt eingestellt ist. Eine falsche Zeitzone kann zu scheinbaren Zeitabweichungen führen. Sie können die Zeitzone über die Einstellungen anpassen oder mit PowerShell setzen:

powershell Set-TimeZone -Id "Zeitzone"

Ersetzen Sie „Zeitzone“ durch die korrekte Zeitzone für Ihren Standort.

Debugging-Möglichkeiten

Überprüfen des Dienststatus

Überprüfen Sie den Status des Zeitdienstes mit:

w32tm /query /status

Dies zeigt Ihnen den Status der Synchronisation und mit welchem Server synchronisiert wird.

Überprüfen der Konfiguration

Sie können die aktuelle Konfiguration des Zeitdienstes überprüfen mit:

w32tm /query /configuration

Dies hilft Ihnen zu verstehen, wie der Zeitdienst konfiguriert ist und ob er korrekt auf einen NTP-Server zeigt.

Event-Logs prüfen

Windows protokolliert Ereignisse des Zeitdienstes in den Ereignislogs. Überprüfen Sie die Windows-Ereignisanzeige (Event Viewer) unter „Windows-Protokolle“ > „System“ auf Warnungen oder Fehler, die vom Zeitdienst (W32Time) generiert wurden. Diese Logs können Hinweise auf Konfigurationsprobleme oder Netzwerkprobleme geben.

NTP-Server-Kommunikation testen

Um zu testen, ob Ihr Client mit dem NTP-Server kommunizieren kann, verwenden Sie:

w32tm /stripchart /computer:time.example.com /samples:5 /dataonly

Ersetzen Sie „time.example.com“ mit der Adresse Ihres NTP-Servers. Dieser Befehl sendet fünf Anfragen an den Server und zeigt die Antwortzeiten an, was bei der Diagnose von Netzwerklatenzproblemen hilfreich sein kann.

Dienst neu konfigurieren

Wenn alle anderen Schritte fehlschlagen, könnten Sie versuchen, den Zeitdienst neu zu konfigurieren oder zurückzusetzen. Sie können den Dienst zurücksetzen und neu starten, um zu sehen, ob dies das Problem behebt:

net stop w32time w32tm /unregister
w32tm /register net start w32time w32tm /resync

Diese Schritte sollten Ihnen helfen, die meisten Probleme mit der Zeitabweichung auf einem Windows-Client zu diagnostizieren und zu beheben. In einigen Fällen könnte das Problem jedoch tiefer liegen, etwa in Netzwerkfirewalls, die den Zugriff auf den NTP-Server blockieren, oder in Hardwareproblemen, die die Zeitmessung beeinträchtigen.

Zeitserver im Active Directory

Welcher Server dient in einem Active Directory Netzwerk als Zeitserver?

In einem Windows-Netzwerk ist es üblich, dass ein Domain Controller (DC) als Zeitserver für alle anderen Maschinen in der Domäne dient. Dabei wird oft der primäre Domain Controller Emulator (PDC-Emulator) der Root-Domain in einer Active Directory (AD)-Umgebung für diese Rolle ausgewählt. Der PDC-Emulator ist ein kritischer Server in der AD-Umgebung, der für die Zeitdienste innerhalb der gesamten Domäne zuständig ist. Er sollte so konfiguriert werden, dass er Zeit von einer zuverlässigen externen Zeitquelle bezieht.

Warum der PDC-Emulator?

  • Hierarchie und Konsistenz: Die Verwendung des PDC-Emulators stellt sicher, dass es eine klare Hierarchie und Konsistenz bei der Zeitsynchronisation im Netzwerk gibt. Alle anderen DCs in der Domäne synchronisieren ihre Zeit mit dem PDC-Emulator, und alle Mitgliedsserver und Arbeitsstationen synchronisieren ihre Zeit mit einem der DCs.
  • Active Directory und Kerberos: Active Directory verwendet das Kerberos-Protokoll für die Authentifizierung, welches sehr empfindlich auf Zeitabweichungen zwischen den beteiligten Systemen reagiert. Um Authentifizierungsprobleme zu vermeiden, ist es wichtig, dass die Systemzeit aller Geräte in der Domäne synchronisiert wird.

Konfiguration des PDC-Emulators zur Zeitsynchronisation

  1. Wählen Sie eine zuverlässige Zeitquelle: Es ist empfehlenswert, dass der PDC-Emulator die Zeit von einem externen NTP-Server bezieht. Dies könnte ein öffentlich verfügbarer NTP-Server sein oder ein dedizierter Zeitserver in Ihrem Netzwerk, der seinerseits mit einer zuverlässigen Zeitquelle synchronisiert ist.
  2. Konfigurieren des PDC-Emulators: Verwenden Sie die Windows-Eingabeaufforderung oder PowerShell, um den PDC-Emulator so zu konfigurieren, dass er Zeit von der gewählten externen Quelle bezieht. Sie können die beschriebenen Befehle verwenden (w32tm /config, w32tm /resync, etc.), um die NTP-Einstellungen anzupassen.
  3. Überwachung und Wartung: Überwachen Sie regelmäßig den Zustand der Zeitsynchronisation in Ihrem Netzwerk. Überprüfen Sie die Ereignisprotokolle und nutzen Sie Befehle wie w32tm /query /status, um sicherzustellen, dass die Zeit korrekt synchronisiert wird.

Indem Sie den PDC-Emulator als Zeitserver in Ihrem Windows-Netzwerk einrichten, können Sie sicherstellen, dass alle Geräte in der Domäne konsistent synchronisiert werden, was für die Netzwerksicherheit, die Systemprotokollierung und viele andere kritische Funktionen von entscheidender Bedeutung ist.

Wie beziehen die Windows Clients die Zeiteinstellungen vom Zeitserver im Netzwerk?

In einer Active Directory (AD) Domäne synchronisieren die Client-Computer und die anderen Domain Controller (DCs) ihre Uhren standardmäßig mit dem PDC-Emulator der Domäne, ohne dass eine spezielle Gruppenrichtlinie (Group Policy Object, GPO) konfiguriert werden muss. Diese automatische Zeitensynchronisation ist Teil des Kerberos-Authentifizierungsprotokolls, das von AD verwendet wird. Kerberos erfordert, dass die Uhren der beteiligten Systeme eng synchronisiert sind, um Zeitstempel-basierte Authentifizierungsprobleme zu vermeiden.

Wie funktioniert die Zeitsynchronisation in AD?

  • Domain Controller: Alle DCs in der Domäne synchronisieren ihre Zeit mit dem PDC-Emulator der Domäne. Der PDC-Emulator sollte so konfiguriert sein, dass er sich mit einer zuverlässigen externen Zeitquelle synchronisiert.
  • Client-Computer und Mitgliedsserver: Diese synchronisieren ihre Zeit standardmäßig mit dem Domain Controller, der die Anmeldeanforderung authentifiziert hat. Dies bedeutet, dass alle Mitglieder der Domäne letztendlich ihre Zeit indirekt vom PDC-Emulator beziehen.

Wann ist eine GPO-Konfiguration erforderlich?

Obwohl die Standardkonfiguration für die meisten Umgebungen ausreicht, gibt es Szenarien, in denen eine spezielle GPO-Konfiguration für die Zeitsynchronisation sinnvoll sein kann:

  1. Nicht-AD-Umgebungen oder Workgroups: In Umgebungen ohne Active Directory oder in Workgroups müssen Clients manuell oder über Gruppenrichtlinien konfiguriert werden, um ihre Zeit mit einem spezifischen NTP-Server zu synchronisieren.
  2. Spezielle Anforderungen: In einigen Fällen, wie in hochsicheren Umgebungen oder wenn genaue Zeitmessung für bestimmte Anwendungen kritisch ist, möchten Sie vielleicht eine strengere Kontrolle über die Zeitsynchronisation ausüben. In solchen Fällen können Sie GPOs verwenden, um spezifische NTP-Server für alle Geräte in der Domäne zu definieren oder die Konfiguration des Zeitdienstes anzupassen.
  3. Probleme mit der Zeitensynchronisation beheben: Wenn Probleme mit der Zeitensynchronisation auftreten, können GPOs eingesetzt werden, um die Konfiguration des Zeitdienstes auf den betroffenen Maschinen zu korrigieren oder zu standardisieren.
Windows NTP Client GPOs

Konfiguration einer GPO für die Zeitsynchronisation

Um eine GPO für die Zeitsynchronisation zu konfigurieren, führen Sie die folgenden Schritte in der Gruppenrichtlinienverwaltungskonsole (gpedit.msc) durch:

  1. Erstellen Sie ein neues GPO oder bearbeiten Sie ein bestehendes und verknüpfen Sie es mit der entsprechenden Organisationseinheit (OU), Domäne oder Site, je nachdem, wo Sie die Einstellung anwenden möchten.
  2. Navigieren Sie zu Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Windows-Zeitdienst > Zeitanbieter.
  3. Konfigurieren Sie die Richtlinien für den NTP-Client, einschließlich der Einstellungen für den NTP-Server, die Art der Synchronisation und andere relevante Optionen.

Es ist wichtig, GPOs mit Bedacht und nur dann einzusetzen, wenn sie wirklich benötigt werden, um die Standardmechanismen der Zeitsynchronisation zu überschreiben oder zu ergänzen, da eine falsche Konfiguration Probleme in der Domäne verursachen kann.

Sicherheitsaspekte beim Betrieb eines NTP-Servers

Folgende Sicherheitsaspekte spielen beim Betrieb eines eigenen NTP-Servers eine Rolle, da die Sicherheit eines NTP-Servers von entscheidender Bedeutung ist. Zeitmanipulation können zu Sicherheitslücken führen. Hier einige Best Practices dazu.

  • Beschränkung des Zugriffs: Konfigurieren Sie Zugriffsregeln, um den Zugriff auf den NTP-Server zu beschränken.
  • Verwendung von NTP-Authentifizierung: Dies stellt sicher, dass Zeitinformationen nur von autorisierten Quellen stammen.
  • Aktualisieren der Software: Halten Sie die NTP-Software stets auf dem neuesten Stand, um bekannte Sicherheitslücken zu schließen.

Fazit

NTP-Server spielen eine kritische Rolle in der modernen Netzwerkinfrastruktur, indem sie eine genaue Zeitmessung über das Internet und Intranet hinweg ermöglichen. Die korrekte Konfiguration und Wartung dieser Server ist entscheidend für die Sicherheit und Effizienz von Netzwerken. Durch die Einhaltung von Best Practices und Sicherheitsrichtlinien können Organisationen die Integrität ihrer Zeit-basierten Operationen sicherstellen.