NTP: Zeitserver und Zeitsynchronisation

NTP – Network Time Protocol synchronisiert die Systemuhren aller Geräte im Netz auf eine genaue gemeinsame Zeit. Das klingt unspektakulär – ist aber kritische Infrastruktur. Ohne genaue Zeit bricht erstaunlich viel zusammen: Kerberos-Authentifizierung, TLS-Zertifikatsprüfungen, Log-Analysen und Datenbankreplikation. NTP läuft auf UDP Port 123, OSI-Schicht 7.

In Active-Directory-Umgebungen ist NTP besonders wichtig: Kerberos-Tickets werden bei mehr als 5 Minuten Zeitabweichung verweigert. Die Genauigkeit von NTP im LAN liegt bei wenigen Millisekunden – für alle IT-Zwecke völlig ausreichend.

1) Warum genaue Zeit kritisch ist

Zeitabweichungen zeigen sich erst im Problemfall – dann aber mit schwer diagnostizierbaren Fehlern. Vier Bereiche, in denen falsche Systemzeit direkt zu Ausfällen führt:

Auswirkungen falscher Systemzeit

🔐 Active Directory

Kerberos verweigert bei >5 Min. Abweichung mit KRB_AP_ERR_SKEW. Benutzer können sich nicht anmelden.

🔒 TLS-Zertifikate

Browser prüfen Gültigkeitszeitraum. Uhr um Monate falsch = alle HTTPS-Seiten zeigen Zertifikatsfehler.

📋 Log-Analyse

Sicherheitsvorfälle werden durch Log-Korrelation aufgeklärt. Falsche Zeitstempel = Reihenfolge nicht rekonstruierbar.

🌐 Cluster/Replikation

Verteilte Systeme verlassen sich auf Zeitstempel. Abweichungen können Split-Brain-Szenarien verursachen.

2) NTP-Stratum-Hierarchie

NTP ist hierarchisch aufgebaut. Das Stratum gibt die Qualität einer Zeitquelle an – je kleiner, desto näher an der Atomuhr und desto genauer. Stratum 0 sind Referenzuhren (Atomuhr, GPS, DCF77), keine NTP-Server – sie sind direkt mit Stratum-1-Servern verbunden.

NTP-Stratum-Hierarchie

Stratum 0Referenzuhren: Atomuhr, GPS, DCF77. Kein NTP – direkt mit Stratum-1-Server verbunden.

↓ direkte Verbindung

Stratum 1Primäre Zeitserver: Direkt an Stratum-0. Öffentlich: ptbtime1.ptb.de (PTB Braunschweig), time.cloudflare.com.

↓ NTP über Netz

Stratum 2Sekundäre Server: Sync von Stratum 1. pool.ntp.org. Im Unternehmen: interner NTP-Server (DC/Router).

↓ NTP über Netz

Stratum 3+Clients: PCs, Server, Netzwerkgeräte. AD-Clients sync automatisch vom DC. Stratum 16 = nicht synchronisiert.

Best Practice: PDC-Emulator des AD von mehreren externen Stratum-1/2-Quellen sync lassen. Alle anderen DCs und Clients sync automatisch per Group Policy über den PDC-Emulator.

3) NTP-Status prüfen

Mit w32tm (Windows) oder timedatectl (Linux) lässt sich der NTP-Status prüfen. Der Offset-Wert zeigt die aktuelle Abweichung – unter 100ms ist normal.

NTP-Diagnose – Windows und Linux

# Windows: NTP-Status C:\> w32tm /query /status Stratum: 3 Source: dc01.firma.local Last Sync: 2024-01-15 10:30:02 # Linux: systemd-timesyncd $ timedatectl status NTP service: active NTP synchronized: yes # Windows AD: PDC-Emulator auf externen NTP konfigurieren C:\> w32tm /config /manualpeerlist:ptbtime1.ptb.de /syncfromflags:manual /update

Windows AD-Hierarchie: PDC-Emulator → externe Quelle · Andere DCs → PDC-Emulator · Clients → Domain-Controller. Diese Kette stellt Group Policy automatisch ein.

NTP: Zeitserver und Zeitsynchronisation

1) Warum genaue Zeit kritisch ist

2) NTP-Stratum-Hierarchie

3) NTP-Status prüfen

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title