NIERO@net e.K. – Corporate Blog

Ihr Weg zu strategischer SMB IT beginnt mit Managed Services

Der in der OCSP Antwort angegebene Zeitpunkt weicht von Ihrer lokalen Systemzeit ab. Der angegebene Zeitpunkt liegt in der Zukunft.

Bedeutet im Klartext, meine Uhrzeit ist nicht akkurat genug, um ein qualifiziertes Zertifikat auf seine Echtheit hin zu überprüfen.

Unter Windows 7 wird, solange die Maschine kein Domänenmitglied ist, die Uhrzeit einmal die Woche korrigiert. Wir müssen also den Zeitraum verkürzen, um eine akkuratere Zeit zu bekommen.

An dieser Stelle lernen wir mal wieder etwas über Windows 7 hinzu.

Um Systemressourcen zu schonen, hatte Microsoft die Anzahl automatisch zu startender Dienste verringert und in der Aufgabenplanung entsprechende Tasks angelegt. Gleichzeitig können Dienste mit sog. Service Trigger versehen werden, die angeben, wann ein Dienst zu starten ist.

time1

Diese Informationen kann man auf der Befehlszeile mit dem Befehl sc triggerinfo [Dienstname] aufrufen.

time2

Für w32time bekommt man “start/domainjoin” und “stop/domainleave”. Der Dienst wird beim Domänenbeitritt gestartet und beim Verlassen der Domäne beendet. Ansonsten steht der Dienst auf “manuell” und wird über den Task gesteuert.

Um also die Uhrzeit synchron genug zu halten sind also die folgenden Schritte von Nöten:

1. Sicherstellen, dass ein geeigneter Zeitserver zur Verfügung stellt und der richtige Flag (“0x1” = SpecialInterval) gesetzt ist. Dies geschieht in der Registry unter “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters”:

time 3

2. Ebenso in der Registry unter “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\TimeProviders\NtpClient” stellt man den Wert “SpecialPollIntervall” auf einen Wert seiner Wahl in Sekunden. Microsoft selber empfiehlt in einem Artikel 900 Sekunden:

time4

3. Löschen der Service Trigger über die Kommandozeile mit dem Befehl “sc triggerinfo [Dienstname] delete”:

time5

4. Setzen neuer Service Trigger und setzen des Dienstes auf “verzögerter Neustart” über die Kommandozeile “sc triggerinfo [Dienstname] start/networkon stop/networkoff” und “sc config [Dienstname] start= delayed-auto”:

time6

Das sollte es gewesen sein.

Nähere Informationen zum Windows Zeitgeber finden Sie in der Microsoft TechNet unter http://technet.microsoft.com/en-us/library/cc773263%28WS.10%29.aspx, Informationen über die vier möglichen Flags für NTP-Server finden Sie in zwei älteren Blogbeiträgen unter http://blogs.msdn.com/b/w32time/archive/2008/02/26/configuring-the-time-service-ntpserver-and-specialpollinterval.aspx und http://blogs.technet.com/b/askds/archive/2007/11/01/configuring-your-pdce-with-alternate-time-sources.aspx.

Dieser Beitrag beruht auf einem japanischen KB-Artikel, den Sie mit Microsoft-Translator übersetzt, hier finden: http://www.microsofttranslator.com/BV.aspx?ref=IE8Activity&a=http%3A%2F%2Fsupport.microsoft.com%2Fkb%2F2385818%2Fja.

9. Juni 2012 - Posted by | Lessons learned: Notes from the field | , , , , , , , , , , ,

Sorry, the comment form is closed at this time.