Ersetzen der kranken NTP-Serverquelle und erneutes Synchronisieren (mit einer internen Verspätung von derzeit 2 Minuten)

11

Einer der externen NTP-Server (der primäre - derzeit), den wir als Quelle verwenden, scheint nicht auf NTP-Anrufe zu reagieren. Leider hat die NTP-Funktionalität auf unserem Core-Router (Cisco 6509) nicht wie erwartet auf den sekundären externen NTP-Server umgestellt. Infolgedessen ist unser Core-Router, der so ziemlich unsere wichtigste interne NTP-Quelle ist, 2 Minuten zu spät.

Ich plane, das Problem mit dem externen Router zu beheben, indem die externe NTP-Quelle die derzeit funktionierende ist. Ich frage mich, wie stark sich eine Änderung von 2 Minuten auf meine Benutzer und Dienste auswirkt. Insbesondere seit diesen Tagen verlassen wir uns stark auf die zertifikatbasierte Authentifizierung.

Wir sind ein Windows / Cisco-Shop.

Internes NTP-Setup:

[Core Router 1 / Cisco 6509]:
Blick auf zwei externe NTP-Server (von denen der primäre nicht auf NTP-Anrufe reagiert)

[Core Router 2]:
Synchronisierung mit Core Router 1 (primär), funktionierender externer Router (sekundär)

[Andere Cisco-Netzwerkgeräte]:
Synchronisierung mit Core-Router 1 (primär), Core-Router 2 (sekundär)

[Domänencontroller]:
Synchronisierung mit Core Router 1

[Alle Windows-Clients / -Server]:
Synchronisierung mit Domänencontrollern

l0c0b0x
quelle

Antworten:

13

Sofern für Sie keine äußerst genaue Zeitmessung von entscheidender Bedeutung ist, sollten für Ihre Benutzer keine Auswirkungen erkennbar sein, abgesehen davon, dass sich ihre Uhren um 2 Minuten ändern.

Die mögliche Ausnahme besteht darin, dass Ihr NTP-Server aufgrund der großen Änderung als "verrückt" deklariert wird (was erfordern würde, dass Sie den NTP-Dienst auf den betroffenen Systemen neu starten, um sie zur Synchronisierung der Uhr zu zwingen - obwohl Sie dies ohne tun können ein Ausfall).


Während Sie dies beheben, sind hier einige andere Hinweise:

  • Sie sollten Ihre Systeme, die externe NTP-Quellen untersuchen, so konfigurieren, dass mehrere (4-5) Server aus dem öffentlichen NTP-Pool-Projekt angezeigt werden - vorzugsweise geografisch geeignete.
    Mit mehr NTP-Servern kann der Auswahlalgorithmus diejenigen ignorieren, die kaputt gehen / verrückt werden, und Ihre Uhr genau halten.

  • In einer Konfiguration , wie das Ihre I - Punkt würde Core Router 1und Core Router 2bei externen Taktquellen (nicht sie).
    Dies gibt Ihnen zwei unabhängig synchronisierte Uhren, die innerhalb weniger ms voneinander entfernt sein sollten. Wenn jedoch einer Ihrer Router verrückt wird, kann der andere nicht verletzt werden.

  • In einer Konfiguration wie Ihrer würde ich die Domänencontroller auf BEIDE Core-Router richten (erneut zum Schutz vor einem Ausfall).
    Wenn Sie sich vor einer verrückten Uhr schützen möchten, sollten Sie einen dritten autorisierenden NTP-Server hinzufügen (oder einen Ihrer Router zweimal auflisten und hoffen, dass dieser nicht den Verstand verliert…).

voretaq7
quelle
1
Was den letzten Punkt betrifft, so schützen Sie zwei Zeitquellen nicht vor einer, die verrückt geworden ist, da der Kunde nicht erkennen kann, welche der beiden richtig ist. Sie benötigen drei oder mehr Quellen, damit NTP ordnungsgemäß funktioniert. Die allgemeine Empfehlung von NTP-Protokollexperten lautet vier Zeitquellen. Siehe support.ntp.org/bin/view/Support/… .
Rmalayter
@rmalayter Das ist wahr - ich wollte "down" sagen, nicht "wahnsinnig" (behoben :-) Die meisten NTP-Implementierungen, die ich gesehen habe, verwenden die lokale Uhr als Tiebreaker bei zwei Peers mit unterschiedlichen Werten (wer auch immer am nächsten ist) Systemzeit ist "richtig"), obwohl die NTP-Spezifikation dies nicht vorschreibt, aber das ist immer noch eine suboptimale Konfiguration. Das zweimalige Auflisten eines der Router (oder anderer maßgeblicher Zeitquellen) ist wahrscheinlich ein besserer Weg, um die Verbindung zu lösen.
voretaq7
8

Bei den Standardeinstellungen für Windows kann die Zeit +/- 300 Sekunden ausgeschaltet sein, bevor die Authentifizierung nicht mehr funktioniert. Hier ist ein ziemlich ausführlicher Artikel zu diesem Thema , in dem sogar erwähnt wird, wie Sie Ihre Toleranz für Zeitversatz mit einem Gruppenrichtlinienobjekt auf Domänenebene ändern können. Es ist bei Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Kerberos Policy-> Maximum tolerance for computer clock synchronization.

Kerberos-Zeit

Das heißt, Sie sollten Ihre autorisierende Zeitquelle (normalerweise der Domänencontroller, der die PDC-Emulatorrolle in einer Windows-Domäne innehat) mit einer externen ntpQuelle synchronisieren lassen , z pool.ntp.org. Weitere Infos von Technet hier .

Als Antwort auf die andere Antwort sind keine Ausfallzeiten erforderlich. Zeigen Sie einfach erneut auf Ihre maßgebliche Zeitquelle, und der Rest der Computer mit Domänenbeitritt wird ebenfalls synchronisiert.

EDIT: Da @ voretaq7 es erwähnt hat, sollte ich darauf hinweisen, dass wir nur ein System haben, das eine externe Zeitquelle sieht, unseren PDC-Emulator. Alle Geräte, einschließlich der Netzwerkgeräte, werden mit diesen synchronisiert. Wir finden, dass dies eine bessere Anordnung ist, da das Netzwerkgerät die Authentifizierung aufgrund von Zeitverzerrungen nicht ablehnt, Computer mit Domänenbeitritt, die Kerberos verwenden (was für uns alles ist). In dieser Hinsicht ist es nicht besonders wichtig, eine genaue Zeit auf unserem Netzwerkgerät zu haben, aber auf unseren Windows-Systemen, doppelt so, weil wir unsere Zeiterfassungssoftware für die stündlichen Mitarbeiter auch auf einem Windows-Server ausführen.

HopelessN00b
quelle
Ich stimme nicht ganz zu: Sie sollten immer einen ( und nur einen ) Satz Zeitserver haben, die auf eine externe Zeitquelle oder Referenzuhren (GPS usw.) schauen, und alle Ihre internen Systeme suchen nach Zeit - In In diesem Fall haben sie sich für die Core-Router entschieden, daher sollten die DCs nach diesen suchen. Es wäre ebenso gültig zu sagen, dass die DCs die externen Zeitserver betrachten und die Router mit diesen synchronisieren sollten, aber Sie möchten nicht, dass zwei Sätze von Systemen (DCs und Router) die Außenzeit betrachten (aus Sicherheitsgründen und zur Vermeidung das Problem "Mann mit zwei Uhren")
voretaq7
Überraschenderweise können die Windows-Clients stundenlang ohne Auswirkungen sein. Siehe meine Antwort.
Shane Madden
3

Die Windows-Clients können sich problemlos anmelden. Die Beschreibung der Maximum tolerance for computer clock synchronizationRichtlinie ist heutzutage ziemlich ungenau.

Ein Client mit einer stark falschen Uhr erhält eine Antwort vom Server, der den Versatz zwischen seinen Uhren festlegt. Die Authentifizierung erfolgt dann normal (wobei sich der Client selbst anpasst, um den scheinbaren Versatz der Uhr zu berücksichtigen).

Die Beschreibung ist in einer Sache richtig; Die Richtlinie legt den Timer für Wiederholungsangriffe immer noch effektiv fest. In Bezug auf legitimen Datenverkehr ist die Kommunikation jedoch robust gegen große Zeitverschiebungen.

Weitere Informationen finden Sie in diesem MS KB-Artikel .

Shane Madden
quelle
1

Möglicherweise möchten Sie andere NTP-Server als Ihre Cisco-Kerngeräte in Betracht ziehen: Schwerer NTP-Verkehr führt zu einer hohen CPU-Belastung der Cisco-Geräte, was zu Netzwerkproblemen führen kann.

Koos van den Hout
quelle
0

Offensichtlich können Sie keine kleinen Ausfallzeiten einplanen, oder? Ich würde auf eine Ausfallzeit drängen, um den NTP-Dienst auf allen betroffenen Servern neu zu starten. Wenn dies nicht möglich ist, müssen Sie einige Zeit warten.

Peter
quelle
3
Was? Das Ändern der Zeitquelle erfordert keine Ausfallzeit.
HopelessN00b
1
... und der NTP-Dienst wird auch nicht neu gestartet, um eine erneute Synchronisierung der Uhren zu erzwingen, falls dies erforderlich sein sollte - es sei denn, eine 100% genaue Zeitmessung ist geschäftskritisch (oder Ihre Uhr läuft rückwärts und Sie wissen / vermuten, dass Software explodiert Aus diesem Grund ist hierfür kein Ausfallzeitfenster erforderlich.
voretaq7
Die Frage scheint ernst genug zu sein und bedeutet zeitkritisch. Deshalb habe ich über Ausfallzeiten gesprochen. Wie auch immer, ja, Sie brauchen keine Ausfallzeit, um Synchronisierungsprobleme zu beheben ...
Peter
0

(Ich wollte dies zu einem Kommentar zur Antwort von vortaq7 machen, aber ich denke, es verdient, es selbst zu wiederholen, da viele Leute diesen Fehler machen.)

Sie benötigen mindestens 3 (vorzugsweise 4-6) Zeitquellen, damit der NTP-Algorithmus genau zur richtigen Zeit konvergiert. Wenn NTP nur zwei primäre Quellen hat und beide um einen erheblichen Betrag ausfallen, kann NTP nicht wissen, welcher Quelle vertraut werden soll.

Die größte Hilfe für mich war das Diagramm auf Seite 9 des Sun-Entwurfs "Verwenden von NTP zur Steuerung und Synchronisierung von Systemuhren, Teil III: NTP-Überwachung und Fehlerbehebung". Dieses Dokument verschwand aus der Ansicht, als Oracle Sun kaufte, aber Sie können es immer noch auf der Wayback-Maschine finden . Es gibt auch viele Treffer im Web, wenn Sie nach dem Titel suchen.

Paul Gear
quelle