Zamiana chorego źródła serwera NTP i ponowna synchronizacja (z czasem wewnętrznym opóźnionym o 2 minuty)

11

Jeden z zewnętrznych serwerów NTP (podstawowy - obecnie), którego używamy jako źródło, wydaje się nie odpowiadać na połączenia NTP. Niestety na naszym głównym routerze (Cisco 6509) funkcja NTP nie przełączyła się na dodatkowy serwer zewnętrzny NTP, tak jak oczekiwano. W rezultacie nasz główny router, który jest właściwie naszym głównym wewnętrznym źródłem NTP, spóźnia się o 2 minuty.

Planuję naprawić problem z zewnętrznym routerem, sprawiając, że zewnętrzne źródło NTP będzie tym, które obecnie działa. Zastanawiam się, jak bardzo 2-minutowa zmiana wpłynie na moich użytkowników i usługi? Zwłaszcza od tych dni polegamy głównie na uwierzytelnianiu opartym na certyfikatach.

Jesteśmy sklepem Windows / Cisco.

Wewnętrzna konfiguracja NTP:

[Core Router 1 / Cisco 6509]:
spoglądanie na dwa zewnętrzne serwery NTP (na których główny nie odpowiada na połączenia NTP)

[Core Router 2]:
Synchronizacja z routerem Core 1 (podstawowym), działający router zewnętrzny (dodatkowy)

[Inne urządzenia sieciowe Cisco]:
Synchronizacja z routerem Core 1 (podstawowym), routerem Core 2 (dodatkowym)

[Kontrolery domeny]:
Synchronizacja z routerem Core 1

[Wszystkie klienty / serwery Windows]:
Synchronizacja z kontrolerami domeny

l0c0b0x
źródło

Odpowiedzi:

13

O ile niezwykle dokładne odmierzanie czasu nie ma dla Ciebie decydującego znaczenia, nie powinno być zauważalnego efektu dla twoich użytkowników, poza ich zegarem zmieniającym się o 2 minuty.

Możliwym wyjątkiem jest sytuacja, gdy zadeklarują, że serwer NTP jest „szalony” w wyniku dużej zmiany (co wymagałoby ponownego uruchomienia usługi NTP w systemach podlegających usterce, aby zmusić ich do synchronizacji zegara - chociaż można to zrobić bez awaria).


Podczas naprawy tego oto kilka innych wskazówek:

  • Powinieneś skonfigurować swoje systemy, które patrzą na zewnętrzne źródła NTP, aby patrzeć na kilka (4-5) serwerów z publicznego projektu puli NTP - najlepiej te odpowiednie geograficznie.
    Posiadanie większej liczby serwerów NTP pozwala algorytmowi wyboru ignorować te, które psują / oszalały i utrzymują dokładność zegara.

  • W konfiguracji takiej jak Twoja wskazałbym Core Router 1i Core Router 2na zewnętrzne źródła zegara (nie na siebie).
    Daje to dwa niezależnie zsynchronizowane zegary, które powinny znajdować się w odległości kilku ms od siebie, ale jeśli jeden z twoich routerów oszaleje, nie może zranić drugiego.

  • W konfiguracji takiej jak Twoja wskazałbym kontrolery domeny na OBA routery podstawowe (ponownie, aby zabezpieczyć się przed upadkiem).
    Jeśli chcesz uchronić się przed szalonym czasem, powinieneś dodać trzeci autorytatywny serwer NTP (lub dwa razy wymienić jeden ze swoich routerów i mieć nadzieję, że to nie ten, który straci rozum ...)

voretaq7
źródło
1
Jeśli chodzi o ostatni punkt, posiadanie dwóch źródeł czasu nie chroni cię przed jednym, który oszalał, ponieważ klient nie ma możliwości stwierdzenia, które z nich jest prawidłowe. Potrzebujesz trzech lub więcej źródeł, aby NTP działał poprawnie; ogólne zalecenie ekspertów ds. protokołu NTP to cztery źródła czasu. Zobacz support.ntp.org/bin/view/Support/… .
rmalayter
@rmalayter To prawda - chciałem powiedzieć „w dół”, a nie „szalony” (naprawiono :-) Większość implementacji NTP, które widziałem, używają lokalnego zegara jako rozstrzygającego w przypadku dwóch rówieśników o różnych wartościach (ktokolwiek jest najbliższy czas systemowy jest „właściwy”), chociaż specyfikacja NTP nie mówi, aby to robić, ale nadal jest to konfiguracja nieoptymalna. Dwukrotne wyświetlenie jednego z routerów (lub innych wiarygodnych źródeł czasu) jest prawdopodobnie lepszym sposobem na zerwanie powiązania.
voretaq7
8

Domyślne ustawienia domeny dla systemu Windows pozwalają na wyłączenie +/- 300 sekund, zanim uwierzytelnianie przestanie działać, więc wszystko będzie dobrze. Oto dość wyczerpujący artykuł na ten temat , który wspomina nawet o tym, jak zmienić swoją tolerancję na przesunięcie czasowe za pomocą obiektu zasad grupy na poziomie domeny. Jest w Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Kerberos Policy-> Maximum tolerance for computer clock synchronization.

Czas Kerberos

To powiedziawszy, powinieneś mieć swoje autorytatywne źródło czasu (którym zwykle jest kontroler domeny pełniący rolę emulatora PDC w domenie Windows) zsynchronizowane ze ntpźródłem zewnętrznym , takim jak pool.ntp.org. Więcej informacji z Technet tutaj .

W odpowiedzi na drugą odpowiedź nie wymaga to przestojów. Po prostu ponownie wskaż wiarygodne źródło czasu, a reszta komputerów przyłączonych do domeny również się zsynchronizuje.

EDYCJA: skoro o tym wspomniał @ voretaq7, powinienem zaznaczyć, że mamy tylko jeden system, który widzi zewnętrzne źródło czasu, nasz emulator PDC. Wszystkie urządzenia, w tym sprzęt sieciowy, są zsynchronizowane z tym urządzeniem. Uważamy, że jest to lepsze rozwiązanie, ponieważ sprzęt sieciowy nie odrzuci uwierzytelnienia z powodu przesunięcia czasu, ale komputery przyłączone do domeny korzystające z protokołu Kerberos (co dla nas wszystkich) zrobi to. W związku z tym nie jest szczególnie ważne, aby mieć dokładny czas na naszym sprzęcie sieciowym, ale jest to w naszych systemach Windows, podwójnie, ponieważ uruchamiamy nasze oprogramowanie do pomiaru czasu dla godzinowych pracowników również na serwerze Windows.

Beznadziejny
źródło
Nie do końca się zgadzam: zawsze powinieneś mieć jeden ( i tylko jeden ) zestaw serwerów czasu spoglądających na zewnętrzne źródło czasu lub zegary referencyjne (GPS itp.), A wszystkie systemy wewnętrzne spoglądają na nie z czasem - w w tym przypadku wybrali routery podstawowe, więc kontroler domeny powinien zwrócić się do nich z czasem. Równie słuszne byłoby stwierdzenie, że kontrolery domeny patrzą na zewnętrzne serwery czasu, a routery powinny się z nimi synchronizować, ale nie chcesz, aby dwa zestawy systemów (kontrolery domeny i routery) patrzyły na czas zewnętrzny (dla bezpieczeństwa i aby uniknąć problem „człowieka z dwoma zegarami”)
voretaq7
Zaskakujące jest to, że klienci systemu Windows mogą pracować godzinami bez wpływu. Zobacz moją odpowiedź.
Shane Madden,
3

Klienci Windows nie będą mieli żadnych problemów z logowaniem. Obecnie opis Maximum tolerance for computer clock synchronizationzasad jest dość niedokładny.

Klient z poważnie błędnym zegarem otrzyma odpowiedź od serwera ustalającą pochylenie między ich zegarami - uwierzytelnianie następnie przebiega normalnie (przy dostosowaniu klienta do pozornego przesunięcia zegara).

Opis dotyczy jednej rzeczy; polityka wciąż skutecznie ustawia czas dla ataków powtórkowych - ale, jeśli chodzi o legalny ruch, komunikacja jest odporna na duże przekrzywienia zegara.

Więcej informacji można znaleźć w tym artykule MS KB .

Shane Madden
źródło
1

Możesz rozważyć spojrzenie na inne serwery NTP niż na główny sprzęt Cisco: poważny ruch NTP powoduje duże obciążenie procesora na sprzęcie Cisco, co może powodować problemy z siecią.

Koos van den Hout
źródło
0

Oczywiście nie możesz zaplanować krótkiego przestoju, prawda? Naciskałem na przestój, aby ponownie uruchomić usługę NTTP na wszystkich serwerach, których dotyczy problem. Jeśli nie jest to możliwe, musisz poczekać chwilę.

Piotr
źródło
3
Co? Zmiana źródła czasu nie wymaga przestojów.
HopelessN00b
1
... podobnie zrestartowanie usługi NTP w celu wymuszenia ponownej synchronizacji zegarów, jeśli będzie to konieczne - chyba że 100% dokładny pomiar czasu ma kluczowe znaczenie dla misji (lub twój zegar cofa się i wiesz / podejrzewasz, że jakieś oprogramowanie wybuchnie z tego powodu) nie trzeba za to robić okna przestoju.
voretaq7
Pytanie wydaje się dość poważne, co oznacza, że ​​jest wrażliwe na czas. Dlatego mówiłem o przestojach. W każdym razie tak, nie potrzebujesz przestojów, aby naprawić problemy z synchronizacją ...
Peter,
0

(Zamierzałem zrobić z tego komentarz do odpowiedzi vortaq7, ale myślę, że zasługuje na to, by powtórzyć sam w sobie, ponieważ wiele osób popełnia ten błąd).

Potrzebujesz algorytmu NTP co najmniej 3 (najlepiej 4-6) źródeł czasu, aby dokładnie zbiegać się we właściwym czasie. Jeśli NTP ma tylko dwa główne źródła i oba są znacznie niedostępne, NTP nie ma sposobu, aby dowiedzieć się, któremu zaufać.

Jedną z największych pomocy w zrozumieniu tego był schemat na stronie 9 planu firmy Sun „Używanie NTP do kontrolowania i synchronizowania zegarów systemowych, część III: Monitorowanie i rozwiązywanie problemów NTP”. Ten dokument zniknął z widoku, gdy Oracle kupił Sun, ale nadal można go znaleźć na Wayback Machine . Istnieje również wiele trafień w Internecie, jeśli szukasz tytułu.

Paul Gear
źródło