替换有问题的NTP服务器源并重新同步(当前内部时间晚了2分钟)

11

我们用作源的一台外部NTP服务器(当前是主服务器)似乎未响应NTP调用。不幸的是,在我们的核心路由器(Cisco 6509)上,NTP功能并未按预期切换到辅助NTP外部服务器。结果,我们的核心路由器(几乎是我们主要的内部NTP来源)延迟了2分钟。

我计划通过使外部NTP源成为当前工作的源来解决外部路由器问题。 我想知道2分钟的更改会对我的用户和服务有多大影响?特别是自从这些天以来,我们在很大程度上依赖基于证书的身份验证。

我们是Windows / Cisco商店。

内部NTP设置:

[核心路由器1 / Cisco 6509]:
查找两个外部NTP服务器(其中主要的一个未响应NTP呼叫)

[核心路由器2]:
与核心路由器1(主要)同步,工作外部路由器(辅助)

[其他Cisco网络设备]:
与核心路由器1(主要),核心路由器2(辅助)同步

[域控制器]:
与核心路由器1同步

[所有Windows客户端/服务器]:
与域控制器同步

time  ntp  certificate-authority 
l0c0b0x
source

Answers:

13

除非极其精确的计时对您来说至关重要,除非用户的时钟每2分钟更改一次,否则不会对您的用户产生明显的影响。

可能的例外是,由于较大的更改,它们将NTP服务器声明为“疯狂”(这将要求您在受影响的系统上重新启动NTP服务,以迫使它们同步时钟,尽管您可以这样做而无需中断)。

在解决此问题时,还有其他一些提示:

  • 您应该配置查看外部NTP源的系统,以查看公共NTP池项目中的几台(4-5)服务器-最好是地理位置合适的服务器。
    拥有更多的NTP服务器可以使选择算法忽略那些中断/发​​疯的服务器,并保持时钟准确。

  • 在像您我想指出的结构Core Router 1Core Router 2在外部时钟源(未彼此)。
    这样可以给您两个独立同步的时钟,彼此之间应在几毫秒之内,但是,如果您的一个路由器发疯,则不会损害另一个时钟。

  • 在像您这样的配置中,我会将域控制器指向两个核心路由器(同样可以防止出现故障)。
    如果您想防止时钟发疯,则应添加第三台权威NTP服务器(或两次列出您的路由器之一,并希望它不会引起您的注意……)

voretaq7
source
1
关于最后一个要点,拥有两个时间来源并不能使您免受疯狂的困扰,因为客户无法告诉他们两个是正确的。您需要三个或三个以上的源才能使NTP正常工作。NTP协议专家的一般建议是四个时间来源。请参阅support.ntp.org/bin/view/Support/…
rmalayter 2012年
@rmalayter这是正确的-我的意思是说“关闭”而不是“疯狂”(已修复:-)我见过的大多数NTP实现在两个具有不同值的对等体(最接近的对等体)中都使用本地时钟作为决胜局系统时间是“正确的”),尽管NTP规范没有说要这样做,但这仍然不是最佳选择。两次列出一个路由器(或其他权威时间源)可能是打破常规的更好方法。
voretaq7 2012年
8

Windows的域默认值允许在身份验证停止工作之前有+/- 300秒的时间,因此可以了。 这是一篇有关该主题的详尽文章,甚至提到了如何使用域级GPO更改对时间偏差的容忍度。这是一个在Computer Configuration- > Policies- > Windows Settings- > Security Settings- > Account Policies- > Kerberos Policy- > Maximum tolerance for computer clock synchronization

Kerberos时间

也就是说,您应该将权威的时间源(通常是Windows域中担当PDC模拟器角色的域控制器)与外部ntp源(例如)同步pool.ntp.org来自Technet的更多信息,在这里

并且针对其他答案,这不需要停机。只需重新指定您的权威时间源,其余加入域的计算机也将自行同步。

编辑:由于@ voretaq7提到了它,我应该指出,我们只有一个系统可以看到外部时间源,即我们的PDC模拟器。所有设备(包括网络设备)都将与其同步。我们发现这是一个更好的安排,因为网络设备不会由于时间偏差而拒绝身份验证,但是使用Kerberos(对我们来说都是这些)的加入域的计算机可以。因此,就此而言,在网络设备上拥有准确的时间并不是特别重要,但是在Windows系统上,这具有双重意义,这是因为双重原因,因为我们也在Windows服务器上为小时工运行计时软件。

绝望的N00b
source
我并不完全同意:您应该始终拥有一组(并且只有一套)时间服务器来查看外部时间源或参考时钟(GPS等),并且您所有的内部系统都将这些时间服务器用于时间查看-在这种情况下,他们选择了核心路由器,因此DC应该花些时间。说DC可以查看外部时间服务器,并且路由器应该与外部服务器同步,这同样有效,但是您不希望两组系统(DC和路由器)查看外部时间(出于安全性和避免“有两个时钟的人”问题)
voretaq7 2012年
出乎意料的是,Windows客户端可以关闭几个小时而不会产生任何影响。看我的答案。
Shane Madden
3

Windows客户端实际上在任何登录方面都没有问题。Maximum tolerance for computer clock synchronization这些天来,该政策的描述非常不准确。

时钟严重错误的客户端将从服务器获得响应,以建立其时钟之间的偏斜-身份验证随后正常进行(客户端自行调整以解决明显的时钟偏斜)。

描述是正确的。该策略仍然有效地设置了重播攻击的计时器-但是,就合法流量而言,该通信可抵抗较大的时钟偏差。

有关更多信息,请参见此MS KB文章

沙恩·马登(Shane Madden)
source
1

您可能需要考虑使用核心思科设备以外的其他NTP服务器:严重的NTP通信会给思科设备带来很高的CPU负载,这可能会导致网络问题。

Koos van den Hout
source
0

显然,您不能安排短暂的停机时间,对吗?我会要求停机,以便在所有受影响的服务器上重新启动ntp服务。如果那不可能,那么您必须等待一段时间。

彼得
source
3
什么?更改时间来源不需要停机。
HopelessN00b 2012年
1
...也不会在必要时重新启动NTP服务以强制时钟重新同步-除非100%准确的计时对任务至关重要(否则您的时钟倒退并且您知道/怀疑某些软件会崩溃)因此,无需为此设置停机时间窗口。
voretaq7 2012年
这个问题似乎很严重,意味着时间敏感。这就是为什么我谈论停机时间的原因。无论如何,是的,您无需停机即可解决同步问题...
Peter
0

(我打算对vortaq7的答案发表评论,但我认为它应该自己重复一遍,因为许多人都犯了这个错误。)

NTP算法至少需要3个(最好是4-6个)时间源才能准确地收敛于正确的时间。如果NTP仅具有两个主要来源,并且它们都被大量淘汰,则NTP无法知道要信任哪个来源。

对我而言,最大的帮助是Sun蓝图第9页上的图表“使用NTP控制和同步系统时钟,第三部分:NTP监视和故障排除”。当Oracle购买Sun时,该文档从视图中消失了,但是您仍然可以在Wayback Machine上找到它。如果您搜索标题,那么网络上也有很多热门歌曲。

保罗·吉尔
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.