Einer der externen NTP-Server (der primäre - derzeit), den wir als Quelle verwenden, scheint nicht auf NTP-Anrufe zu reagieren. Leider hat die NTP-Funktionalität auf unserem Core-Router (Cisco 6509) nicht wie erwartet auf den sekundären externen NTP-Server umgestellt. Infolgedessen ist unser Core-Router, der so ziemlich unsere wichtigste interne NTP-Quelle ist, 2 Minuten zu spät.
Ich plane, das Problem mit dem externen Router zu beheben, indem die externe NTP-Quelle die derzeit funktionierende ist. Ich frage mich, wie stark sich eine Änderung von 2 Minuten auf meine Benutzer und Dienste auswirkt. Insbesondere seit diesen Tagen verlassen wir uns stark auf die zertifikatbasierte Authentifizierung.
Wir sind ein Windows / Cisco-Shop.
Internes NTP-Setup:
[Core Router 1 / Cisco 6509]:
Blick auf zwei externe NTP-Server (von denen der primäre nicht auf NTP-Anrufe reagiert)
[Core Router 2]:
Synchronisierung mit Core Router 1 (primär), funktionierender externer Router (sekundär)
[Andere Cisco-Netzwerkgeräte]:
Synchronisierung mit Core-Router 1 (primär), Core-Router 2 (sekundär)
[Domänencontroller]:
Synchronisierung mit Core Router 1
[Alle Windows-Clients / -Server]:
Synchronisierung mit Domänencontrollern
quelle
Bei den Standardeinstellungen für Windows kann die Zeit +/- 300 Sekunden ausgeschaltet sein, bevor die Authentifizierung nicht mehr funktioniert. Hier ist ein ziemlich ausführlicher Artikel zu diesem Thema , in dem sogar erwähnt wird, wie Sie Ihre Toleranz für Zeitversatz mit einem Gruppenrichtlinienobjekt auf Domänenebene ändern können. Es ist bei
Computer Configuration
->Policies
->Windows Settings
->Security Settings
->Account Policies
->Kerberos Policy
->Maximum tolerance for computer clock synchronization
.Das heißt, Sie sollten Ihre autorisierende Zeitquelle (normalerweise der Domänencontroller, der die PDC-Emulatorrolle in einer Windows-Domäne innehat) mit einer externen
ntp
Quelle synchronisieren lassen , zpool.ntp.org
. Weitere Infos von Technet hier .Als Antwort auf die andere Antwort sind keine Ausfallzeiten erforderlich. Zeigen Sie einfach erneut auf Ihre maßgebliche Zeitquelle, und der Rest der Computer mit Domänenbeitritt wird ebenfalls synchronisiert.
EDIT: Da @ voretaq7 es erwähnt hat, sollte ich darauf hinweisen, dass wir nur ein System haben, das eine externe Zeitquelle sieht, unseren PDC-Emulator. Alle Geräte, einschließlich der Netzwerkgeräte, werden mit diesen synchronisiert. Wir finden, dass dies eine bessere Anordnung ist, da das Netzwerkgerät die Authentifizierung aufgrund von Zeitverzerrungen nicht ablehnt, Computer mit Domänenbeitritt, die Kerberos verwenden (was für uns alles ist). In dieser Hinsicht ist es nicht besonders wichtig, eine genaue Zeit auf unserem Netzwerkgerät zu haben, aber auf unseren Windows-Systemen, doppelt so, weil wir unsere Zeiterfassungssoftware für die stündlichen Mitarbeiter auch auf einem Windows-Server ausführen.
quelle
Die Windows-Clients können sich problemlos anmelden. Die Beschreibung der
Maximum tolerance for computer clock synchronization
Richtlinie ist heutzutage ziemlich ungenau.Ein Client mit einer stark falschen Uhr erhält eine Antwort vom Server, der den Versatz zwischen seinen Uhren festlegt. Die Authentifizierung erfolgt dann normal (wobei sich der Client selbst anpasst, um den scheinbaren Versatz der Uhr zu berücksichtigen).
Die Beschreibung ist in einer Sache richtig; Die Richtlinie legt den Timer für Wiederholungsangriffe immer noch effektiv fest. In Bezug auf legitimen Datenverkehr ist die Kommunikation jedoch robust gegen große Zeitverschiebungen.
Weitere Informationen finden Sie in diesem MS KB-Artikel .
quelle
Möglicherweise möchten Sie andere NTP-Server als Ihre Cisco-Kerngeräte in Betracht ziehen: Schwerer NTP-Verkehr führt zu einer hohen CPU-Belastung der Cisco-Geräte, was zu Netzwerkproblemen führen kann.
quelle
Offensichtlich können Sie keine kleinen Ausfallzeiten einplanen, oder? Ich würde auf eine Ausfallzeit drängen, um den NTP-Dienst auf allen betroffenen Servern neu zu starten. Wenn dies nicht möglich ist, müssen Sie einige Zeit warten.
quelle
(Ich wollte dies zu einem Kommentar zur Antwort von vortaq7 machen, aber ich denke, es verdient, es selbst zu wiederholen, da viele Leute diesen Fehler machen.)
Sie benötigen mindestens 3 (vorzugsweise 4-6) Zeitquellen, damit der NTP-Algorithmus genau zur richtigen Zeit konvergiert. Wenn NTP nur zwei primäre Quellen hat und beide um einen erheblichen Betrag ausfallen, kann NTP nicht wissen, welcher Quelle vertraut werden soll.
Die größte Hilfe für mich war das Diagramm auf Seite 9 des Sun-Entwurfs "Verwenden von NTP zur Steuerung und Synchronisierung von Systemuhren, Teil III: NTP-Überwachung und Fehlerbehebung". Dieses Dokument verschwand aus der Ansicht, als Oracle Sun kaufte, aber Sie können es immer noch auf der Wayback-Maschine finden . Es gibt auch viele Treffer im Web, wenn Sie nach dem Titel suchen.
quelle