11 votes

l0c0b0x avatar

Remplacement de la source du serveur NTP malade et re-synchronisation (avec une heure interne actuellement en retard de 2 minutes)

Demandé el 7 de Septembre, 2012
Quand la question a-t-elle été
1470 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

L'un des serveurs NTP externes (le principal actuellement) que nous utilisons comme source semble ne pas répondre aux appels NTP. Malheureusement, sur notre routeur principal (Cisco 6509), la fonctionnalité NTP n'a pas basculé vers le serveur externe NTP secondaire comme prévu. Par conséquent, notre routeur principal, qui est en quelque sorte notre principale source NTP interne, a deux minutes de retard.

Je prévois de résoudre le problème du routeur externe en faisant en sorte que la source NTP externe soit celle qui fonctionne actuellement. Je me demande dans quelle mesure un changement de 2 minutes affectera mes utilisateurs et mes services. D'autant plus que de nos jours, nous nous appuyons fortement sur l'authentification par certificat.

Nous sommes un magasin Windows/Cisco.

Configuration NTP interne :

[Core Router 1 / Cisco 6509] :
la recherche de deux serveurs NTP externes (dans le cas où le serveur principal ne répond pas aux appels NTP)

[Core Router 2] :
Synchronisation avec le routeur Core 1 (primaire), routeur externe fonctionnel (secondaire)

[Autres périphériques réseau Cisco] :
Synchronisation avec le routeur principal 1 (primaire), le routeur principal 2 (secondaire)

[Contrôleur(s) de domaine] :
Synchronisation avec le routeur Core 1

[Tous les clients/serveurs Windows] :
Synchronisation avec les contrôleurs de domaine

Demandé el 7 de Septembre, 2012 par l0c0b0x

Réponses

Trop de publicités?

14voto

voretaq7 avatar
voretaq7 Points 78924

À moins qu'un chronométrage extrêmement précis ne soit essentiel pour vous, il ne devrait pas y avoir d'effet perceptible pour vos utilisateurs, si ce n'est que leurs horloges changent de 2 minutes.

L'exception possible est qu'ils déclarent votre serveur NTP "fou" à la suite d'un changement important (ce qui vous obligerait à redémarrer le service NTP sur les systèmes concernés pour les forcer à synchroniser l'horloge - bien que vous puissiez le faire sans interruption de service).

Pendant que vous réparez ce problème, voici quelques autres conseils :

  • Vous devez configurer vos systèmes qui consultent des sources NTP externes de manière à ce qu'ils consultent plusieurs (4-5) serveurs à partir de le projet de pool NTP public -- de préférence géographiquement appropriés.
    Le fait d'avoir plus de serveurs NTP permet à l'algorithme de sélection d'ignorer ceux qui tombent en panne ou deviennent fous et de maintenir la précision de l'horloge.

  • Dans une configuration comme la vôtre, je pointerais Core Router 1 y Core Router 2 à des sources d'horloge externes (et non l'une à l'autre).
    Vous disposez ainsi de deux horloges synchronisées indépendamment l'une de l'autre, qui devraient se situer à quelques millisecondes près l'une de l'autre, mais si l'un de vos routeurs devient fou, l'autre ne peut pas en souffrir.

  • Dans une configuration comme la vôtre, je ferais pointer les contrôleurs de domaine sur LES DEUX routeurs centraux (toujours pour se prémunir contre la défaillance de l'un d'entre eux).
    Si vous voulez vous protéger contre une horloge qui devient folle, vous devez ajouter un troisième serveur NTP faisant autorité (ou répertorier deux fois l'un de vos routeurs en espérant que ce ne soit pas celui qui perde la tête ).

Répondu el 7 de Septembre, 2012 par voretaq7 (78924 Points )

8voto

HopelessN00b avatar
HopelessN00b Points 53075

Les paramètres par défaut du domaine Windows permettent d'obtenir un délai de +/- 300 secondes avant que l'authentification ne cesse de fonctionner, ce qui ne pose pas de problème. Voici un article assez exhaustif sur le sujet qui indique même comment modifier votre tolérance à l'asymétrie temporelle à l'aide d'un GPO au niveau du domaine. Il se trouve à l'adresse Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Kerberos Policy -> Maximum tolerance for computer clock synchronization .

Kerberos Time

Cela dit, vous devriez faire en sorte que votre source de temps faisant autorité (qui est généralement le contrôleur de domaine détenant le rôle d'émulateur PDC dans un domaine Windows) se synchronise avec une source de temps externe. ntp source, comme pool.ntp.org . Plus d'informations sur Technet, ici .

Et pour répondre à l'autre question, cela ne nécessite pas de temps d'arrêt. Il suffit de réorienter la source de temps qui fait autorité et le reste des ordinateurs reliés au domaine se synchroniseront également.

EDIT : puisque @voretaq7 l'a mentionné, je dois préciser que nous n'avons qu'un seul système qui voit une source de temps extérieure, notre émulateur PDC. Tous les appareils, y compris l'équipement réseau, se synchronisent sur cette source. Nous estimons qu'il s'agit d'une meilleure solution, car l'équipement réseau ne rejettera pas l'authentification en raison du décalage temporel, mais les ordinateurs reliés à un domaine et utilisant Kerberos (ce qui est le cas de tous, pour nous) le feront. À cet égard, il n'est pas particulièrement important d'avoir une heure exacte sur notre équipement de réseau, mais elle l'est sur nos systèmes Windows, d'autant plus que nous exécutons notre logiciel de chronométrage pour les employés horaires sur un serveur Windows également.

Répondu el 7 de Septembre, 2012 par HopelessN00b (53075 Points )

3voto

Shane Madden avatar
Shane Madden Points 112034

Les clients Windows n'auront aucun problème à se connecter. La description de la Maximum tolerance for computer clock synchronization est plutôt inexacte de nos jours.

Un client dont l'horloge est gravement erronée recevra une réponse du serveur établissant le décalage entre leurs horloges - l'authentification se déroule alors normalement (le client s'ajustant lui-même pour tenir compte du décalage apparent de l'horloge).

La description a raison sur un point : la politique fixe toujours effectivement le délai pour les attaques par rejeu - mais, en termes de trafic légitime, la communication est robuste face à de grands décalages d'horloge.

Véase cet article de MS KB pour plus d'informations.

Répondu el 8 de Septembre, 2012 par Shane Madden (112034 Points )

1voto

Serge avatar
Serge Points 46

Vous pouvez envisager d'utiliser d'autres serveurs NTP que votre équipement principal Cisco : un trafic NTP important entraîne une charge de travail élevée sur l'équipement Cisco, ce qui peut provoquer des problèmes de réseau.

Répondu el 11 de Septembre, 2012 par Serge (46 Points )

0voto

Peter avatar
Peter Points 802

Il est évident que vous ne pouvez pas prévoir un petit temps d'arrêt, n'est-ce pas ? J'insisterais pour qu'il y ait un temps d'arrêt afin de redémarrer le service ntp sur tous les serveurs concernés. Si ce n'est pas possible, vous devrez attendre un certain temps.

Répondu el 7 de Septembre, 2012 par Peter (802 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X