Jeden z zewnętrznych serwerów NTP (podstawowy - obecnie), którego używamy jako źródło, wydaje się nie odpowiadać na połączenia NTP. Niestety na naszym głównym routerze (Cisco 6509) funkcja NTP nie przełączyła się na dodatkowy serwer zewnętrzny NTP, tak jak oczekiwano. W rezultacie nasz główny router, który jest właściwie naszym głównym wewnętrznym źródłem NTP, spóźnia się o 2 minuty.
Planuję naprawić problem z zewnętrznym routerem, sprawiając, że zewnętrzne źródło NTP będzie tym, które obecnie działa. Zastanawiam się, jak bardzo 2-minutowa zmiana wpłynie na moich użytkowników i usługi? Zwłaszcza od tych dni polegamy głównie na uwierzytelnianiu opartym na certyfikatach.
Jesteśmy sklepem Windows / Cisco.
Wewnętrzna konfiguracja NTP:
[Core Router 1 / Cisco 6509]:
spoglądanie na dwa zewnętrzne serwery NTP (na których główny nie odpowiada na połączenia NTP)
[Core Router 2]:
Synchronizacja z routerem Core 1 (podstawowym), działający router zewnętrzny (dodatkowy)
[Inne urządzenia sieciowe Cisco]:
Synchronizacja z routerem Core 1 (podstawowym), routerem Core 2 (dodatkowym)
[Kontrolery domeny]:
Synchronizacja z routerem Core 1
[Wszystkie klienty / serwery Windows]:
Synchronizacja z kontrolerami domeny
źródło
Domyślne ustawienia domeny dla systemu Windows pozwalają na wyłączenie +/- 300 sekund, zanim uwierzytelnianie przestanie działać, więc wszystko będzie dobrze. Oto dość wyczerpujący artykuł na ten temat , który wspomina nawet o tym, jak zmienić swoją tolerancję na przesunięcie czasowe za pomocą obiektu zasad grupy na poziomie domeny. Jest w
Computer Configuration
->Policies
->Windows Settings
->Security Settings
->Account Policies
->Kerberos Policy
->Maximum tolerance for computer clock synchronization
.To powiedziawszy, powinieneś mieć swoje autorytatywne źródło czasu (którym zwykle jest kontroler domeny pełniący rolę emulatora PDC w domenie Windows) zsynchronizowane ze
ntp
źródłem zewnętrznym , takim jakpool.ntp.org
. Więcej informacji z Technet tutaj .W odpowiedzi na drugą odpowiedź nie wymaga to przestojów. Po prostu ponownie wskaż wiarygodne źródło czasu, a reszta komputerów przyłączonych do domeny również się zsynchronizuje.
EDYCJA: skoro o tym wspomniał @ voretaq7, powinienem zaznaczyć, że mamy tylko jeden system, który widzi zewnętrzne źródło czasu, nasz emulator PDC. Wszystkie urządzenia, w tym sprzęt sieciowy, są zsynchronizowane z tym urządzeniem. Uważamy, że jest to lepsze rozwiązanie, ponieważ sprzęt sieciowy nie odrzuci uwierzytelnienia z powodu przesunięcia czasu, ale komputery przyłączone do domeny korzystające z protokołu Kerberos (co dla nas wszystkich) zrobi to. W związku z tym nie jest szczególnie ważne, aby mieć dokładny czas na naszym sprzęcie sieciowym, ale jest to w naszych systemach Windows, podwójnie, ponieważ uruchamiamy nasze oprogramowanie do pomiaru czasu dla godzinowych pracowników również na serwerze Windows.
źródło
Klienci Windows nie będą mieli żadnych problemów z logowaniem. Obecnie opis
Maximum tolerance for computer clock synchronization
zasad jest dość niedokładny.Klient z poważnie błędnym zegarem otrzyma odpowiedź od serwera ustalającą pochylenie między ich zegarami - uwierzytelnianie następnie przebiega normalnie (przy dostosowaniu klienta do pozornego przesunięcia zegara).
Opis dotyczy jednej rzeczy; polityka wciąż skutecznie ustawia czas dla ataków powtórkowych - ale, jeśli chodzi o legalny ruch, komunikacja jest odporna na duże przekrzywienia zegara.
Więcej informacji można znaleźć w tym artykule MS KB .
źródło
Możesz rozważyć spojrzenie na inne serwery NTP niż na główny sprzęt Cisco: poważny ruch NTP powoduje duże obciążenie procesora na sprzęcie Cisco, co może powodować problemy z siecią.
źródło
Oczywiście nie możesz zaplanować krótkiego przestoju, prawda? Naciskałem na przestój, aby ponownie uruchomić usługę NTTP na wszystkich serwerach, których dotyczy problem. Jeśli nie jest to możliwe, musisz poczekać chwilę.
źródło
(Zamierzałem zrobić z tego komentarz do odpowiedzi vortaq7, ale myślę, że zasługuje na to, by powtórzyć sam w sobie, ponieważ wiele osób popełnia ten błąd).
Potrzebujesz algorytmu NTP co najmniej 3 (najlepiej 4-6) źródeł czasu, aby dokładnie zbiegać się we właściwym czasie. Jeśli NTP ma tylko dwa główne źródła i oba są znacznie niedostępne, NTP nie ma sposobu, aby dowiedzieć się, któremu zaufać.
Jedną z największych pomocy w zrozumieniu tego był schemat na stronie 9 planu firmy Sun „Używanie NTP do kontrolowania i synchronizowania zegarów systemowych, część III: Monitorowanie i rozwiązywanie problemów NTP”. Ten dokument zniknął z widoku, gdy Oracle kupił Sun, ale nadal można go znaleźć na Wayback Machine . Istnieje również wiele trafień w Internecie, jeśli szukasz tytułu.
źródło