Inhaltsverzeichnis

Konfiguration des Debian NTP Server

Version Datum Autor
1.0 Erstfassung 20.08.2024 Emily Schmid
1.1 Freigabe 21.08.2024 Emily Schmid

1. Vorbereitung des Debian Servers

1.1 Installation von Debian

Bei der Installation von Debian muss zwingend die Standard Installation, heisst Debian ohne GUI installiert werden um Ressourcen zu sparen.

1.2 Installieren von benötigten Komponenten

Bevor die NTP Tools auf Debian installiert und konfiguriert werden, müssen Net-Tools wie auch sudo installiert werden. Zusätzlich fügen wir den Debian Benutzeraccount in die sudo Gruppe.

Dies geht wie folgend:

  1. Melde dich auf den Root Benutzer an mithilfe von /su
  2. Installiere die neusten Updates: apt-get update
  3. Installiere sudo: apt-get install sudo
  4. Füge den Debian Benutzeraccount zu der Superusergruppe hinzu: sudo usermod -aG sudo Benutzername
  5. Starte den Server neu: reboot
  6. Melde dich mit dem Debian Benutzerkonto an welcher in der Installation erstellt wurde.
  7. Installieren von Net-tools: sudo apt-get install net-tools

1.3 Hostname ändern

  1. Ändere den Hostname mit sudo hostnamectl set-hostname ServerName
  2. Ebenfalls muss der Hostname unter sudo nano /etc/hosts wie im folgenden Bild eingetragen werden.

  1. Speichere die Änderungen mit CTRL+O und verlasse die Datei mit CTRL+X.
  2. Überprüfe nun mit sudo hostnamectl ob der neue Hostname funktioniert. Bei Problemen Starte den Server wie bekannt neu.

1.4 Setzen einer Statischen IP Adresse

Da es nicht sinnvoll ist eine stetig ändernde IP Adresse vom DHCP zu erhalten muss der Server mit einer Statischen IP-Adresse konfiguriert werden.

  1. Überprüfe die aktuelle IP Adresse und den verwendeten Netzwerk Adapter. sudo ifconfig

  1. Öffne die Interface Konfiguration mit sudo nano /etc/network/interfaces
  2. In der Textdatei müssen nun folgende Daten erfasst werden.
  3. Überprüfe am Ende ob du andere Systeme und Webseiten Pingen kannst z.B. den Gateway und die IP-Adresse erfolgreich übernommen wurde.

2. NTP auf Debian 12

2.1 Installation und Konfiguraton aller NTP Komponenten

  1. Installiere die NTP Tools: sudo apt-get install ntp
  2. Zur Konfiguration des NTP öffne mit einem Editor die ntp.conf: sudo nano /etc/ntpsec/ntp.conf
  3. Kommentiere die vorhandenen NTP Server mit einem # aus und füge einen Schweizer Serverpool hinzu. Hier werden vom Bund anerkannte Server verwendet, um eine gewisse Qualität garantieren zu können.
  4. Das iburst Argument wird verwendet um beim Start des NTP Dienstes eine schnellere Synchronisation zu ermöglichen.
  5. Speichere die Änderungen mit CTRL+O und verlasse anschliessend die Textdatei mit CTRL+X.
  6. Anschliessend muss der NTP Dienst neu gestartet werden: sudo systemctl restart ntp
  7. Aktiviere nun den Dienst mit sudo systemctl enable ntpsec.service (älteres Debian: ntp)

Source: https://www.metas.ch/metas/de/home/fabe/zeit-und-frequenz/time-dissemination.html

2.2 Testen der Funktionalität

  1. Um die Funktionalität zu testen verwende den sudo sytemctl ntp Befehl. Wenn alles richtig konfiguriert wurde, sollte der Output wie folgt aussehen:
  2. Mit dem ntpq -p Befehl sieht man den NTP-Server, mit jenem man aktuell verbunden ist. Alle Server in der Konfiguration werden hier angezeigt und der Server mit einem * ist aktuell in Charge der Zeit.

Wichtig: Bei einem anderen Output als in den beiden Bildern, muss der Server neu gestartet werden und die Konfiguration auf Fehler überprüft werden.

3. Einrichten der GPO

3.1 Erstellen der GPO

  1. Erstelle wie bekannt eine neue GPO.
  2. Öffne die GPO und navigiere zu Computereinstellungen → Administrative Vorlagen → System → Windows-Zeitdienst → Zeitanbieter
  3. Doppelklick auf die Schaltfläche Windows-NTP-Client konfigurieren.
  4. Setze den Status auf Aktiviert
  5. Konfigurieren den Typ auf NTP
  6. Konfiguriere den NTP-Server so, dass er auf die IP-Adresse des Debian Zeitservers zeigt, gefolgt von ,0x8. (172.27.16.123,0x8 ist die aktuelle Konfiguration)
  7. Stelle sicher, das die GPO so verknüpft wurde, das auch der Domaincontroller von der GPO beeinflusst wird.

Source: https://learn.microsoft.com/de-ch/services-hub/unified/health/remediation-steps-ad/configure-the-root-pdc-with-an-authoritative-time-source-and-avoid-widespread-time-skew

4. Testen der GPO

4.1 Testen der GPO

Der folgende Ablauf kann auf dem Domaincontroller wie auch auf allen Client Geräten innerhalb der Rafisa Domäne verwendet werden. Aus

  2. Als erstes muss die GPO upgedatet werdet mit gpupdate /force
  3. Nun muss noch der w32tm Dienst von Microsoft mit w32tm /resync Synchronisiert werden. Falls dies nicht geht füge ein /force am Ende des Befehls ein.
  4. Überprüfe die w32tm Peers. Der Output sollte wie folgt aussehen:
  6. Überprüfe anschlissend den w32tm Status.
  8. Damit wir sehen, wie viel Zeitunterschied zwischen dem NTP Server und unserem Gerät herrscht kann der folgende Befehl verwendet werden: w32tm /stripchart /computer:ServerIpAdresse /dataonly /samples:5