Jeden z zewnętrznych serwerów NTP (podstawowy - obecnie), którego używamy jako źródło, wydaje się nie odpowiadać na połączenia NTP. Niestety na naszym głównym routerze (Cisco 6509) funkcja NTP nie przełączyła się na dodatkowy serwer zewnętrzny NTP, tak jak oczekiwano. W rezultacie nasz główny router, który jest właściwie naszym głównym wewnętrznym źródłem NTP, spóźnia się o 2 minuty.

Planuję naprawić problem z zewnętrznym routerem, sprawiając, że zewnętrzne źródło NTP będzie tym, które obecnie działa. Zastanawiam się, jak bardzo 2-minutowa zmiana wpłynie na moich użytkowników i usługi? Zwłaszcza od tych dni polegamy głównie na uwierzytelnianiu opartym na certyfikatach.

Jesteśmy sklepem Windows / Cisco.

Wewnętrzna konfiguracja NTP:

[Core Router 1 / Cisco 6509]:
spoglądanie na dwa zewnętrzne serwery NTP (na których główny nie odpowiada na połączenia NTP)

[Core Router 2]:
Synchronizacja z routerem Core 1 (podstawowym), działający router zewnętrzny (dodatkowy)

[Inne urządzenia sieciowe Cisco]:
Synchronizacja z routerem Core 1 (podstawowym), routerem Core 2 (dodatkowym)

[Kontrolery domeny]:
Synchronizacja z routerem Core 1

[Wszystkie klienty / serwery Windows]:
Synchronizacja z kontrolerami domeny

O ile niezwykle dokładne odmierzanie czasu nie ma dla Ciebie decydującego znaczenia, nie powinno być zauważalnego efektu dla twoich użytkowników, poza ich zegarem zmieniającym się o 2 minuty.

Możliwym wyjątkiem jest sytuacja, gdy zadeklarują, że serwer NTP jest „szalony” w wyniku dużej zmiany (co wymagałoby ponownego uruchomienia usługi NTP w systemach podlegających usterce, aby zmusić ich do synchronizacji zegara - chociaż można to zrobić bez awaria).

Podczas naprawy tego oto kilka innych wskazówek:

• Powinieneś skonfigurować swoje systemy, które patrzą na zewnętrzne źródła NTP, aby patrzeć na kilka (4-5) serwerów z publicznego projektu puli NTP - najlepiej te odpowiednie geograficznie.
  Posiadanie większej liczby serwerów NTP pozwala algorytmowi wyboru ignorować te, które psują / oszalały i utrzymują dokładność zegara.

• W konfiguracji takiej jak Twoja wskazałbym Core Router 1i Core Router 2na zewnętrzne źródła zegara (nie na siebie).
  Daje to dwa niezależnie zsynchronizowane zegary, które powinny znajdować się w odległości kilku ms od siebie, ale jeśli jeden z twoich routerów oszaleje, nie może zranić drugiego.

• W konfiguracji takiej jak Twoja wskazałbym kontrolery domeny na OBA routery podstawowe (ponownie, aby zabezpieczyć się przed upadkiem).
  Jeśli chcesz uchronić się przed szalonym czasem, powinieneś dodać trzeci autorytatywny serwer NTP (lub dwa razy wymienić jeden ze swoich routerów i mieć nadzieję, że to nie ten, który straci rozum ...)

Domyślne ustawienia domeny dla systemu Windows pozwalają na wyłączenie +/- 300 sekund, zanim uwierzytelnianie przestanie działać, więc wszystko będzie dobrze. Oto dość wyczerpujący artykuł na ten temat , który wspomina nawet o tym, jak zmienić swoją tolerancję na przesunięcie czasowe za pomocą obiektu zasad grupy na poziomie domeny. Jest w Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Kerberos Policy-> Maximum tolerance for computer clock synchronization.

To powiedziawszy, powinieneś mieć swoje autorytatywne źródło czasu (którym zwykle jest kontroler domeny pełniący rolę emulatora PDC w domenie Windows) zsynchronizowane ze ntpźródłem zewnętrznym , takim jak pool.ntp.org. Więcej informacji z Technet tutaj .

W odpowiedzi na drugą odpowiedź nie wymaga to przestojów. Po prostu ponownie wskaż wiarygodne źródło czasu, a reszta komputerów przyłączonych do domeny również się zsynchronizuje.

EDYCJA: skoro o tym wspomniał @ voretaq7, powinienem zaznaczyć, że mamy tylko jeden system, który widzi zewnętrzne źródło czasu, nasz emulator PDC. Wszystkie urządzenia, w tym sprzęt sieciowy, są zsynchronizowane z tym urządzeniem. Uważamy, że jest to lepsze rozwiązanie, ponieważ sprzęt sieciowy nie odrzuci uwierzytelnienia z powodu przesunięcia czasu, ale komputery przyłączone do domeny korzystające z protokołu Kerberos (co dla nas wszystkich) zrobi to. W związku z tym nie jest szczególnie ważne, aby mieć dokładny czas na naszym sprzęcie sieciowym, ale jest to w naszych systemach Windows, podwójnie, ponieważ uruchamiamy nasze oprogramowanie do pomiaru czasu dla godzinowych pracowników również na serwerze Windows.

Klienci Windows nie będą mieli żadnych problemów z logowaniem. Obecnie opis Maximum tolerance for computer clock synchronizationzasad jest dość niedokładny.

Klient z poważnie błędnym zegarem otrzyma odpowiedź od serwera ustalającą pochylenie między ich zegarami - uwierzytelnianie następnie przebiega normalnie (przy dostosowaniu klienta do pozornego przesunięcia zegara).

Opis dotyczy jednej rzeczy; polityka wciąż skutecznie ustawia czas dla ataków powtórkowych - ale, jeśli chodzi o legalny ruch, komunikacja jest odporna na duże przekrzywienia zegara.

Więcej informacji można znaleźć w tym artykule MS KB .

Możesz rozważyć spojrzenie na inne serwery NTP niż na główny sprzęt Cisco: poważny ruch NTP powoduje duże obciążenie procesora na sprzęcie Cisco, co może powodować problemy z siecią.

Oczywiście nie możesz zaplanować krótkiego przestoju, prawda? Naciskałem na przestój, aby ponownie uruchomić usługę NTTP na wszystkich serwerach, których dotyczy problem. Jeśli nie jest to możliwe, musisz poczekać chwilę.

(Zamierzałem zrobić z tego komentarz do odpowiedzi vortaq7, ale myślę, że zasługuje na to, by powtórzyć sam w sobie, ponieważ wiele osób popełnia ten błąd).

Potrzebujesz algorytmu NTP co najmniej 3 (najlepiej 4-6) źródeł czasu, aby dokładnie zbiegać się we właściwym czasie. Jeśli NTP ma tylko dwa główne źródła i oba są znacznie niedostępne, NTP nie ma sposobu, aby dowiedzieć się, któremu zaufać.

Jedną z największych pomocy w zrozumieniu tego był schemat na stronie 9 planu firmy Sun „Używanie NTP do kontrolowania i synchronizowania zegarów systemowych, część III: Monitorowanie i rozwiązywanie problemów NTP”. Ten dokument zniknął z widoku, gdy Oracle kupił Sun, ale nadal można go znaleźć na Wayback Machine . Istnieje również wiele trafień w Internecie, jeśli szukasz tytułu.