Remplacement de la source du serveur NTP malade et resynchronisation (l'heure interne étant actuellement de 2 minutes en retard)

11

L'un des serveurs NTP externes (le principal - actuellement) que nous utilisons comme source semble ne pas répondre aux appels NTP. Malheureusement, sur notre routeur principal (Cisco 6509), la fonctionnalité NTP n'a pas basculé vers le serveur externe NTP secondaire comme prévu. En conséquence, notre routeur principal, qui est à peu près notre principale source NTP interne, a 2 minutes de retard.

Je prévois de résoudre le problème du routeur externe en faisant de la source NTP externe celle qui fonctionne actuellement. Je me demande dans quelle mesure un changement de 2 minutes affectera mes utilisateurs et services? Surtout depuis ces jours, nous comptons fortement sur l'authentification basée sur les certificats.

Nous sommes une boutique Windows / Cisco.

Configuration NTP interne:

[Core Router 1 / Cisco 6509]:
recherche de deux serveurs NTP externes (dont le principal ne répond pas aux appels NTP)

[Core Router 2]:
synchronisation avec le routeur Core 1 (principal), le routeur externe fonctionnel (secondaire)

[Autres périphériques réseau Cisco]:
Synchronisation avec le routeur principal 1 (principal), le routeur principal 2 (secondaire)

[Contrôleur (s) de domaine]:
Synchronisation avec le routeur principal 1

[Tous les clients / serveurs Windows]:
synchronisation avec les contrôleurs de domaine

time ntp certificate-authority l0c0b0x
la source

Réponses:

13

À moins que le chronométrage extrêmement précis ne soit essentiel pour vous, il ne devrait y avoir aucun effet perceptible pour vos utilisateurs, mis à part le fait que leurs horloges changent de 2 minutes.

L'exception possible est s'ils déclarent que votre serveur NTP est "fou" à la suite de la grande modification (ce qui vous obligerait à redémarrer le service NTP sur les systèmes affectés pour les forcer à synchroniser l'horloge - bien que vous puissiez le faire sans une panne).

Pendant que vous corrigez ce problème, voici quelques autres conseils:

  • Vous devez configurer vos systèmes qui regardent les sources NTP externes pour regarder plusieurs (4-5) serveurs du projet de pool NTP public - de préférence ceux qui sont géographiquement appropriés.
    Avoir plus de serveurs NTP permet à l'algorithme de sélection d'ignorer ceux qui se cassent / deviennent fous et gardent votre horloge précise.

  • Dans une configuration comme le vôtre , je pointer Core Router 1et Core Router 2à des sources d'horloge externes (pas).
    Cela vous donne deux horloges synchronisées indépendamment qui devraient être à quelques ms l'une de l'autre, mais si l'un de vos routeurs devient fou, cela ne peut pas blesser l'autre.

  • Dans une configuration comme la vôtre, je pointerais les contrôleurs de domaine vers les DEUX routeurs principaux (encore une fois pour éviter que l'un ne baisse).
    Si vous voulez vous protéger contre une horloge qui devient folle, vous devez ajouter un troisième serveur NTP faisant autorité (ou répertorier deux fois l'un de vos routeurs et espérer que ce n'est pas celui qui perd la tête…)

voretaq7
la source
1
Concernant le dernier point, avoir deux sources de temps ne vous protège pas d'une qui est devenue folle, car il n'y a aucun moyen pour le client de dire laquelle des deux est correcte. Vous avez besoin de trois sources ou plus pour que NTP fonctionne correctement; la recommandation générale des experts du protocole NTP est de quatre sources de temps. Voir support.ntp.org/bin/view/Support/… .
rmalayter
@rmalayter C'est vrai - je voulais dire "bas" pas "fou" (corrigé :-) La plupart des implémentations NTP que j'ai vues utilisent l'horloge locale comme bris d'égalité dans le cas de deux pairs avec des valeurs différentes (celui qui est le plus proche de l'heure du système est "correcte") bien que la spécification NTP ne dise pas de le faire, mais c'est toujours une configuration sous-optimale. Lister deux fois l'un des routeurs (ou d'autres sources de temps faisant autorité) est probablement un meilleur moyen de rompre le lien.
voretaq7
8

Les valeurs par défaut du domaine pour Windows permettent au temps d'être éteint de +/- 300 secondes avant que l'authentification cesse de fonctionner, donc tout ira bien. Voici un article assez exhaustif sur le sujet , qui mentionne même comment modifier votre tolérance au décalage temporel avec un objet de stratégie de groupe au niveau du domaine. C'est à Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Kerberos Policy-> Maximum tolerance for computer clock synchronization.

Heure Kerberos

Cela dit, vous devez synchroniser votre source de temps faisant autorité (qui est généralement le contrôleur de domaine détenant le rôle d'émulateur PDC dans un domaine Windows) avec une ntpsource externe , comme pool.ntp.org. Plus d'infos sur Technet, ici .

Et en réponse à l'autre réponse, cela ne nécessite pas de temps d'arrêt. Il suffit de rediriger votre source de temps faisant autorité et les autres ordinateurs joints au domaine se synchroniseront également.

EDIT: puisque @ voretaq7 l'a mentionné, je dois souligner que nous n'avons qu'un seul système à voir une source de temps extérieure, notre émulateur PDC. Tous les appareils, y compris la synchronisation de l'équipement réseau. Nous trouvons que cela est un meilleur arrangement, car l'équipement de réseau ne rejettera pas l'authentification en raison du décalage temporel, mais les ordinateurs joints à un domaine utilisant Kerberos (qui sont tous pour nous) le seront. À cet égard, il n'est pas particulièrement important d'avoir une heure précise sur notre équipement réseau, mais c'est sur nos systèmes Windows, doublement parce que nous exécutons également notre logiciel de chronométrage pour les employés horaires sur un serveur Windows.

HopelessN00b
la source
Je ne suis pas entièrement d'accord: vous devriez toujours avoir un ( et un seul ) ensemble de serveurs de temps qui regardent une source de temps externe ou des horloges de référence (GPS, etc.), et tous vos systèmes internes se tournent vers ceux-ci pour le temps - Dans Dans ce cas, ils ont choisi les routeurs de base, donc les contrôleurs de domaine devraient se pencher sur ceux-ci pour le temps. Il serait également valable de dire que les contrôleurs de domaine regardent les serveurs de temps externes et que les routeurs doivent se synchroniser avec ceux-ci, mais vous ne voulez pas que deux ensembles de systèmes (contrôleurs de domaine et routeurs) regardent le temps extérieur (pour la sécurité et pour éviter le problème "l'homme avec deux horloges")
voretaq7
Étonnamment, les clients Windows peuvent avoir des heures de congé sans impact. Voir ma réponse.
Shane Madden
3

Les clients Windows n'auront en fait aucun problème de connexion. La description de la Maximum tolerance for computer clock synchronizationpolitique est plutôt inexacte de nos jours.

Un client avec une horloge gravement erronée recevra une réponse du serveur établissant l'inclinaison entre leurs horloges - l'authentification se déroule ensuite normalement (le client s'ajustant lui-même pour tenir compte de l'inclinaison apparente de l'horloge).

La description est juste sur une chose; la politique définit toujours efficacement le minuteur pour les attaques de relecture - mais, en termes de trafic légitime, la communication est robuste contre les grandes asymétries d'horloge.

Consultez cet article MS KB pour plus d'informations.

Shane Madden
la source
1

Vous voudrez peut-être envisager d'autres serveurs NTP que votre équipement cisco de base: un trafic NTP sérieux donne une charge de processeur élevée sur l'équipement cisco, ce qui pourrait entraîner des problèmes de réseau.

Koos van den Hout
la source
0

Évidemment, vous ne pouvez pas planifier un petit temps d'arrêt, n'est-ce pas? Je voudrais pousser pour un temps d'arrêt afin de redémarrer le service ntp sur tous les serveurs affectés. Si ce n'est pas possible, vous devez attendre un certain temps.

Peter
la source
3
Quelle? Changer la source de temps ne nécessite pas de temps d'arrêt.
HopelessN00b
1
... pas plus que le redémarrage du service NTP pour forcer les horloges à se resynchroniser si cela est nécessaire - à moins qu'un chronométrage précis à 100% soit critique pour la mission (ou que votre horloge recule et que vous sachiez / suspectez qu'un logiciel va exploser) à cause de cela) il n'y a pas besoin de prendre une fenêtre d'arrêt pour cela.
voretaq7
La question semble assez sérieuse, ce qui signifie sensible au temps. C'est pourquoi j'ai parlé de temps d'arrêt. Quoi qu'il en soit, oui, vous n'avez pas besoin de temps d'arrêt pour résoudre les problèmes de synchronisation ...
Peter
0

(J'allais en faire un commentaire sur la réponse de vortaq7, mais je pense que cela mérite d'être répété à part entière, car beaucoup de gens font cette erreur.)

Vous avez besoin d'au moins 3 (de préférence 4 à 6) sources de temps pour que l'algorithme de NTP converge avec précision sur l'heure correcte. Si NTP n'a que deux sources principales et qu'elles sont toutes les deux hors de prix, NTP n'a aucun moyen de savoir laquelle faire confiance.

La plus grande aide qui m'a été apportée pour comprendre cela était le diagramme à la page 9 du plan directeur de Sun "Utilisation de NTP pour contrôler et synchroniser les horloges système, partie III: Surveillance et dépannage NTP". Ce document a disparu de la vue quand Oracle a acheté Sun, mais vous pouvez toujours le trouver sur la Wayback Machine . Il existe également de nombreux hits sur le Web si vous recherchez le titre.

Paul Gear
la source