Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik-Blog

Windows, Timeserver und Work&Cash


Aus den Referrer-Logs meines Blogs kann ich ersehen das viele Personen dieses Blog besuchen weil sie offenbar ein Problem mit einem Timeserver unter Windows haben.

Der Timeserver um den es hier aber geht ist kein NTP Timeserver, sondern der Zeitserver den wir bei unseren Statikprogrammen im Work&Cash Verfahren zur Abrechnung verwenden.

Trotzdem ist das Thema NTP Zeitserver eigentlich ganz interessant: Hier darum ein kurzer Exkurs zum Thema NTP und synchronisierte Uhrzeiten bei Windows (XP und 2003).

Wenn man einen Rechner betreibt, dann ist es schön wenn dieser Rechner immer die richtige Uhrzeit kennt. Das wird dann besonders wichtig wenn man mehrere Rechner in einem LAN unterhält.

Genau dafür gibt es das Network Time Protocol (NTP). Dabei gibt es einen Zeitserver der (hoffentlich) die richtige Uhrzeit kennt und Clients die ihre Uhrzeit mit diesem Server synchronisieren.

Wenn die eigenen Rechner in einer Domäne untergebracht sind, dann synchronisieren diese Rechner ihre Zeit vermutlich mit dem Domänen-Server. Dazu hat der Windows 2003 Server beispielsweise eine Timeserver-Software. Der Domänen-Server seinerseits synchronisiert seine Zeit dann mit einem Rechner von dem bekannt ist, das er die richtige Uhrzeit kennt.

Hat man nur einen einzelnen Rechner oder keinen Domänen-Server kann man seine Uhrzeit aber natürlich auch synchronisieren. Damit die Sache bei einem Client aber überhaupt geht, muss man den Zeitgeber Dienst starten. Das kann man zum Beispiel über das Applet 'Dienste' aus der Systemsteuerung tun, oder man verwendet den folgenden Befehl auf der Kommandozeile: net start w32time

Dann kann man überprüfen mit welchem Rechner die eigene Uhrzeit synchronisiert wird. Das geht mit dem Kommando: net time /querysntp

Dabei wird dann bei Ihnen in den meisten Fällen rauskommen, das die eigenen Zeit mit einem Timeserver von Microsoft synchronisiert wird: time.microsoft.com

Man kann aber natürlich auch andere Zeitserver einstellen. Das mit dem Befehl net /setsntp:Server1,Server2

Stellt sich die Frage woher man nun die Zeitserver nimmt. Das ist aber eigentlich ganz einfach: Man verwendet die von der Physikalisch-Technischen Bundesanstalt zur Verfügung gestellt Atomzeit. Die sollte eigentlich genau genug sein. Die PTB stellt zwei Server zur Verfügung: ptbtime1.ptb.de und ptbtime2.ptb.de.

Die PTB hat dankbarerweise auch einige technischen Hinweise veröffentlicht. Die finden Sie hier.

Der Windows Zeitgeberdienst gibt übrigens auch ein paar Informationen aus - zum Beispiel wenn er die Uhrzeit synchronisiert hat. Diese Informationen finden Sie in Form von Einträgen im Bereich 'System' der Ereignisanzeige.


Windows 95 stirbt - Longhorn kommt - .NET bleibt


Der D.I.E. Webserver ist immer wieder eine Quelle hilfreicher Daten. Aufgrund der der protokollierten Seitenzugriffe kann man nicht nur die verwendeten Browser, sondern auch die vom Benutzer verwendeten Betriebssystem ablesen. Und da gibt es ein paar interessante Daten: Im zuletzt gemessenen Zeitraum sind neben Robots und diversen Unixen die folgenden Mengen an Abrufen von Windows-Clients erfolgt (gerundet):

90.000 Windows XP
27.000 Windows 2000
15.000 Windows 98
 6.500 Windows NT
 3.500 Windows ME
 1.300 Windows 95
    18 Windows 3.1
     6 Windows CE

9 Jahre nach der Veröffentlichung des bahnbrechenden Windows 95 ist das System also praktisch nicht mehr in Benutzung; das etwa zwei Jahre alte Windows XP wird mehr verwendet als alle anderen Windows zusammen. Leider habe ich keine Daten um herauszufinden wie viele Prozent davon die Professional-Edition sind - ich hoffe mal so gut wie alle.

Der Sprung von Windows 3.x zu Windows 95 war ja ein dramatischer: Windows wurde ein richtiges Betriebssystem und hatte plötzlich einen Adressraum von 4 GB. Seitdem sind die Aenderungen an Windows eher inkrementeller Natur gewesen: Zar hat sich von Version zu Version immer mehr getan - und Windows XP ist weitaus leistungsfähiger als Windows 95 das war: Große Sprünge fanden aber nicht statt.

Es steht aber einer an: 2006 (ich weiss, das ist noch lang hin - aber nicht das hinterher wieder einer sagt ich hätte nicht früh genug bescheid gegeben) kommt das nächst große Release raus, das momentan unter dem Namen Longhorn gehandelt wird. Es gibt bereits jetzt eine ganze Menge an Informationen zu Longhorn - natürlich hautpsächlich für Entwickler: Irgendwer muss die ganze Software ja schließlich schreiben... Das tun auch wir hier - und zwar schon heute. Denn Longhorn ist in erster Linie ein Managed-Code Betriebssystem - und basiert auf .NET. Und das ist genau die Platform für die wir momentan entwickeln. Allerdings nicht Longhorn spezifisch, sondern für die .NET Bibliothek die es auch für ältere Windows-Versionen gibt.

Wenn Sie schon heute einen Blich auf Longhorn werfen wollen, dann empfehle ich das Longhorn Developer Center.


Mythen in Tüten: Sichere Software


Gestern hat Bill Gates ein Memo von sich gegeben laut dem die 'Trustworthy Computing' Initiative bei Microsoft erste Erfolge zählt. Dabei geht es darum die Sicherheitsmängel in Windows Clients und Server - und ganz allgemein in Microsofts Software zu verringern. Und diese Mängel sind tatsächlich ganz erheblich zurückgegangen, dem kann ich nur zustimmen. Allerdings: Normale Anwender haben davon bisher nichts mitbekommen - doch das wird sich bald ändern.

Was Microsoft so tut um die Sicherheit der eigenen Software zu verbessern liest man zum Beispiel bei Michael Howard nach.

Dem habe ich aber noch ein paar Dinge hinzuzufügen: Es gibt immer wieder ganz pauschale Behauptungen nach denen die Sicherheit von Open Source Programmen einfach besser wäre als das bei 'normalen' Anwendungen der Fall ist. Das ist natürlich Unsinn. Sicherer sind die sichereren Anwendungen - und die sichereren Anwendungen entstehen dort, wo Hersteller und Entwickler entsprechenden Wert auf Sicherheit legen. Genau darum gehts beim Trustworthy Computing, und Microsofts Investitionen seit dem erscheinen von XP machen sich tatsächlich bemerkbar.

Angefangen haben diese Bemühungen aber erst nachdem XP erschienen ist-  und das ist auch der Grund warum man als Anwender bisher nichts davon gemerkt hat: Das einzige größere Paket bei dem man die bisheringen Arbeiten bemerken kann ist der Windows 2003 Server (und ein paar andere Server) - und sowas hat man halt normalerweise nicht zu Hause oder im Ingenieurbüro.

Wir haben hier aber sehr wohl sowas stehen: Der Text den Sie gerade lesen wird von einem Internet Information Server (IIS) unter Windows 2003 ausgeliefert. Der Open-Source Konkurrent zum IIS ist der Apache - der mit weitem Abstand am weitesten verbreitete Webserver. (Nicht das hier irgendwelche Irrtümer aufkommen: Ich mag den Apache - ich betreibe auch ein paar Server damit.)

Wenn man sich nun ansieht welche Schwachstellen Security Focus zu den beiden Webservern gesammelt hat, dann erhält man ein deutliches Ergebnis: Beim IIS 6 gibts ein einziges Problem seit dessen erscheinen, beim Apache im gleichen Zeitraum 30. (Zugegeben, das ist nicht ganz ehrlich gezählt, denn vom Apache werden 2 Versionen parallel mitgeführt - trotzdem ist das ein recht deutlicher Hinweis.)

Und beim Windows 2003 Server sind extrem viele der Sicherheitsfeatures vom XP SP2 noch gar nicht drin - die sollen erst später in diesem Jahr per Service Pack ausgeliefert werden. Diese Aenderungen aus dem Service Pack 2 für XP werden die ersten sein, die auch die allermeisten Anwender betreffen: Windows ist tatsächlich und wahrhaftig auf dem Weg deutlich sicherer zu werden - die letzten beiden Jahre bringen nun die ersten Früchte.

Wenn Microsoft weiter an der Sicherheit arbeitet wie in den letzten beiden Jahren - und daran habe ich eigentlich keinen Zweifel, werden wir in den nächsten beiden Jahren mitbekommen wie die Anzahl der Sicherheitsprobleme bei Windows dramatisch sinken wird.


Besser lesen mit TFTs


Unter XP gibt es spezielle für Farb-LCDs (die zum Beispiel in Laptops eingebauten Displays) gedachte Option zum verbessern des Schriftbildes: ClearType

ClearType ist von Haus aus ausgeschaltet, kann aber einfach eingeschaltet werden. Das geht über die Eigenschaften der Anzeige unter 'Darstellung' -> Effekte:

Darüber hinaus kann man ClearType auch noch tunen. Dazu gibts eine Online-Tuning Seite. Ich benutze das auf meinen normalen Arbeitsrechner (Acer Travelmate 800) seit einigen Wochen und weiss beim besten Willen nicht mehr wie ich _ohne_ ClearType leben konnte. :-)


Windows XP SP2 RC1 - Keine weiteren Probleme


Nachdem sich das SP2 RC1 auf der ersten Testmaschine leider nicht installieren bzw. betreiben liess, wurde der Test kurzerhand auf einer weiteren Maschine durchgeführt. Dort liess sich der Release Candidate auch problemlos installieren - es gab keinerlei unerwarteten probleme. nachdem die fehlgeschlagene installation auf dem testsystem völlig problemlos deinstalliert werden konnte, gilt noch immer der rat: probieren sie die Sache jetzt schon aus - die neuen Sicherheitseinstellungen können durchaus unerwartete Ergebnisse haben.

Auch die D.I.E. Programme laufen einwandfrei unter dem RC1; es ist nach einem solch kurzen Test natürlich nicht auszuschliessen, das es die ein oder andere kleine Problemzone gibt: Der erste Eindruck ist aber der, das alles wie erwartet funktioniert.

Wer einen Work&Cash vertrag benutzt - und das sind ja praktisch alle Anwender von D.I.E. Programmen - muss allerdings noch ein bisschen Hand anlegen. Wie sie vielleicht wissen fungiert der Timeserver (das ist das Programm das sich mit dem kleinen roten 'D' neben der Uhr bemerkbar macht) als Server. Die anderen Programme verbinden sich mit dem Timeserver um verbrauchte Zeit auszutragen oder neue Zeit anzufordern.

Das erfolgt sowohl auf einem Einzelplatzrechner als auch im LAN per Netzwerkprotokoll: Es handelt sich also um ein 'echtes' Serverprogramm.

Aus diesem Grund erhalten Sie eine Warnung von der neuen Windows Firewall, sobald das Programm gestartet wird. Diese Warnung sie folgendermaßen aus:

Nachdem sie den Timeserver ja tatsächlich nutzen wollen, wählen sie hier die Option 'Sperrung des Programm aufheben'. Danach bietet der Timeserver seine Dienste wieder an.

Sie können bei der neuen Firewall aber noch ein bisschen mehr sicherstellen. Ist die Sperrung für ein Programm aufgehoben, dann bedeutet das, das dieses Programm prinzipiell von jedermann erreichbar ist. Hat der Rechner auf dem der timeserver läuft eine Internetverbindung, dann ist der Timeserver auch aus dem Internet erreichbar. Das ist aber gar nicht notwendig, denn sie brauchen bloss eine Kommunikationsmöglichkeit im LAN.

Das stellen sie über die Firewall-Konfiguration ein. Die finden sie beim sp2 in der Systemsteuerung. Sofern sie den Timeserver bei der vorherigen Meldung bereits zugelassen haben, dann taucht er in der Liste der zulässigen Programme der Firewall auf:

Hier markieren Sie den Timeserver und klicken dann auf 'Port'. Sie können dann festlegen über welchen IP-Port der Timeserver erreichbar sein soll, und von wo aus das möglich sein soll.

Der Timeserver verwendet zur Kommunikation mit den D.I.E. Programmen den Port 6000. Wenn sie in der Timeserver-Konfiguration nichts anderes eingestellt haben, dann geben Sie hier diese Port-Nummer an, wählen 'TCP' und geben einen Namen an. Der Name dient nur der Identifizierung für Sie selbst - hier können sie also beispielsweise einfach 'd.i.e. timeserver' eintippen.

Dann klicken Sie auf 'Bereich ändern'.

Jetzt kommt der interessante Teil: Mit diesem Dialog können Sie festlegen, von wo aus eine Verbindung mit dem Timeserver hergestellt werden darf: Nachdem Sie sicherlich nicht möchten, das eine Verbindung aus dem Internet zum Timeserver hergestellt wird, klicken sie hier auf 'nur für eigenes netzwerk'. Danach sollte der Timeserver nur noch aus ihrem LAN heraus erreichbar sein.


XP Service Pack 2 RC1 - Erster Test misslungen


leider ist momentan noch nicht viel zu sagen zum service pack 2. nach download und einem doch etwas länglichem setup auf dem testrechner ging zunächst gar nichts: der rechner bootete zwar noch, aber wesentlich mehr tat er nicht.

nun, der release-candidate ist beta-code: man muss darüber nicht böse sein das es eben manchmal nicht geht - genau um das herauszufinden, findet der betatest ja statt... :-)

ärgerlich ist die sache aber schon: nach insgesamt 5 stunden ist der testrechner wieder im ursprungsstadium, aber ich weiss immer noch nicht mehr über die funktionstüchtigkeit einer 'd.i.e.' installation unter sp2.

werde also einen anderen rechner als testgerät missbrauchen und nochmal von vorne anfangen: mehr, wenn das getan ist.


Windows XP Service Pack 2 - Technical Preview


mit dem release candidate 1 gibt es ab sofort eine öffentlich verfügbare version vom windows xp service pack 2. nachdem das sp2 eine ganze menge an dingen in windows xp ändert, ist das ein guter zeitpunkt, um die sache zumindest auf einem testsystem unter die lupe zu nehmen.

bei den änderungen im service pack 2 geht es hauptsächlich um sicherheitsrelevante änderungen: netzwerkverbindungen, outlook express und die windows firewall funktionieren anders und sind umfangreicher als zuvor.

vor allem große büros mit vielen workstations sollten das sp2 jetzt bereits testen, um auf die generelle einführung im juni vorbereitet zu sein. mehr infos zum sp2 rc1 hier.

ich werde hier bei D.I.E. natürlich auch eine testinstallation machen und übers weblog berichten auf was man achten sollte. gehe aber davon aus, das sich das sp2 wenn überhaupt, dann nur auf netzwerkinstallationen von work&cash auswirken werden.




Baustatik Demoversion ausprobieren »