Automatische Erkennung des NTP-Dienstes

12

Gibt es Methoden, mit denen ich die automatische Erkennung für NTP bereitstellen kann? Ich bin kürzlich zu einem neuen Job gewechselt, der eine Muttergesellschaft hat, die seit kurzem Active Directory anbietet. Ich habe SSSD und andere Dinge implementiert, die sich gegen AD authentifizieren und NTP einrichten. Sie haben jedoch eine große Anzahl von Active Directory-Servern (ich muss direkt auf die Server zeigen) und sie können sich manchmal ändern.

Gibt es eine Methode wie LDAP-Erkennung oder Multicast wie ActiveMQ und andere Anwendungen, die ich einrichten kann? Wenn nicht irgendwelche Vorschläge außer dem Versuch, die Muttergesellschaft dazu zu bringen, eine bessere Liste der Server und der Domänen zu führen, für die sie funktionieren?

Vielen Dank!

active-directory ntp sssd ntpd autodiscovery Keith Shannon
quelle
2
Ich verstehe diese Frage nicht. Fragen Sie sich, wie Sie alle Domänenmitgliedsserver dazu bringen, denselben NTP-Server wie AD zu erkennen und zu verwenden? Das ist eingebaut. Wenn Ihre AD-Umgebung in dieser Hinsicht nicht angepasst wurde, synchronisieren alle Mitgliedsserver standardmäßig die Zeit von einem der Domänencontroller, die wiederum von Domänen-PDC -> Gesamtstruktur-PDC -> externes NTP - synchronisiert werden. Sie müssen manuelles NTP nur einmal auf dem Stammdomänen-PDC einrichten, und alle anderen werden in der Hierarchie angezeigt. Keine DHCP-Optionen erforderlich.
Strongline
Die von Premier Field Engineering empfohlene Lösung ist die Verwendung von Gruppenrichtlinien. Lesen Sie hier, wie es geht. Ich würde bemerken, dass Sie es validieren müssen, bevor Sie einfach darauf vertrauen, dass es funktioniert. Stellen Sie die Kommunikation von NTP von Ihrem Root-PC usw. wie oben empfohlen sicher. blogs.technet.microsoft.com/nepapfe/2013/03/01/…
Kyp
1
sssd und ntpd implizieren Linux- oder andere Nicht-Windows-NTP-Clients. Das Betriebssystem der Clients sollte der Frage hinzugefügt werden.
John Mahowald
Nur der AD FQDN als NTP-Server. Jeder DC ist normalerweise ein (S) NTP.
Bjoster

Antworten:

23

Sie können einen NTP-Server über DHCP, Gruppenrichtlinien oder DNS-SRV-Einträge angeben.

DHCP:

DHCP

Gruppenrichtlinienobjekt:

gpo

SRV-Aufzeichnung:

srv record

Wenn Ihr Client keinen dieser Mechanismen nutzen kann, können Sie auch ziemlich sicher davon ausgehen, dass alle Active Directory-Domänencontroller auch NTP-Server sind. Dies bedeutet, dass Sie eine Domain finden sollten, indem Sie einfach den Namen der Domain selbst auflösen, z. B. company.com oder ad.company.com, und wahrscheinlich auf einen NTP-Server stoßen, ohne dass Sie einzelne Hostnamen angeben müssen.

Ryan Ries
quelle
1
Es ist mir peinlich, dass ich mir den Domainnamen nie als NTP-Server-Hostnamen-Trick vorgestellt habe. Sehr schön. +1.
Todd Wilcox
Serviceaufzeichnungen WOAH!
Jacob Evans
Wie es scheint, gibt es nur sehr wenige Clients, die entweder den SRV-Eintrag oder die DHCP-Option respektieren.
Hobbs
Kann / sollte der SRV-Eintrag den Domainnamen ankündigen, um alle DCs zu verwenden, nicht nur einen?
John Mahowald
Ich befürchte, dass sssd Linux-Welt bedeutet, so dass nur das letzte Kapitel tatsächlich gültig ist.
Jaroslav Kucera