Wie konfiguriere ich eine Firewall, um die Windows-Zeitsynchronisierung nicht zu blockieren?
- Funktionsweise der Windows-Zeitsynchronisierung
- Firewall-Port freigeben
- Windows-Firewall konfigurieren
- Firewall auf Netzwerkgeräten
- Zusätzliche Tipps und Kontrolle
Die Windows-Zeitsynchronisierung basiert auf dem Windows Time Service (W32Time), der standardmäßig das Netzwerkprotokoll UDP auf Port 123 verwendet. Dieser Port ist für das Network Time Protocol (NTP) reserviert und wird zur Zeitsynchronisation zwischen Clients und Zeitservern benötigt. Wenn eine Firewall den UDP-Port 123 blockiert, kann die Zeitsynchronisierung nicht korrekt funktionieren.
Funktionsweise der Windows-Zeitsynchronisierung
Windows-Systeme synchronisieren ihre Systemzeit in der Regel mit einem definierten Zeitserver, entweder innerhalb des Netzwerks oder im Internet, indem sie NTP-Anfragen senden beziehungsweise empfangen. Diese Kommunikation erfolgt meistens über UDP-Port 123. Der Dienst, der diese Aufgabe übernimmt, heißt "Windows-Zeitdienst" und läuft als Systemdienst auf Windows-Systemen.
Firewall-Port freigeben
Um sicherzustellen, dass die Zeitsynchronisierung funktioniert, muss die Firewall so konfiguriert werden, dass UDP-Port 123 sowohl für eingehenden als auch ausgehenden Datenverkehr erlaubt ist, je nachdem, wie die Firewall am Host oder im Netzwerk aufgebaut ist. Wenn der Windows-Rechner Zeitdaten von einem externen Server abrufen soll, muss ausgehender UDP-Port 123 geöffnet sein. Wenn der Rechner als Zeitserver fungiert oder Zeitdaten empfängt, muss eingehender UDP-Port 123 freigeschaltet sein.
Windows-Firewall konfigurieren
Unter Windows lässt sich die Firewall über die Windows Defender Firewall mit erweiterter Sicherheit konfigurieren. Dort können Sie eine neue eingehende und ausgehende Regel anlegen. Für die neue Regel wählen Sie den Regeltyp Port und geben UDP als Protokoll ein. Der spezifische Port ist 123. Anschließend erlauben Sie die Verbindung und wählen die betroffenen Profile (Domäne, privat, öffentlich). Diese Regel sorgt dafür, dass der Zeitdienst kommunizieren kann.
Firewall auf Netzwerkgeräten
Falls eine zusätzliche Hardware-Firewall oder Router die Netzwerkverbindung überwacht, müssen dort ebenfalls entsprechende Regeln für den UDP-Port 123 erstellt werden. Oft findet man diese Einstellung im Bereich der Firewall-Regeln oder Zugriffssteuerungen. Wichtig ist, dass sowohl ausgehende als auch eingehende Pakete berücksichtigt werden, je nachdem, wie der Zeitverkehr durch die Geräte geroutet wird.
Zusätzliche Tipps und Kontrolle
Nach der Konfiguration empfiehlt es sich, die Funktionalität der Zeitsynchronisierung zu überprüfen. Dies kann auf der Windows-Kommandozeile mit dem Befehl w32tm /query /status geschehen. Ergänzend kann mit w32tm /resync eine manuelle Synchronisation angestoßen werden. Sollte weiterhin keine Synchronisierung erfolgen, prüfen Sie die Firewall-Logs, um sicherzustellen, dass keine Pakete auf UDP-Port 123 blockiert werden.
Zusammenfassend ist es entscheidend, dass UDP-Port 123 in beiden Verkehrsrichtungen offen ist, damit der Windows Time Service ungehindert mit Zeitservern kommunizieren kann. Eine korrekte Firewall-Konfiguration gewährleistet eine präzise und zuverlässige Zeitsynchronisation.