Pokaż wyniki 1 do 8 z 8

Temat: Zegarek w domenie

  1. #1
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie Zegarek w domenie

    Witam

    Panowie ratujcie. Nie wiem jak rozwiązać problem. Komputer jest w domenie i jego czas jest cofnięty o ~10min w stosunku do innych hostów. Czas jest brany z kontrolera domeny a także niekiedy ze switch'y, ale dlaczego tylko 1 komputer tak ma ? Podejrzewam, że reinstalka systemu by to naprawiła, ale to strasznie czasochłonne ze względu na odtworzenie środowiska produkcyjnego.

    Co więcej - ustawiłem w BIOS czas na taki jak ma być, na koncie ADM również i on sobie działa - dotąd aż komputer nie zostanie włączony ponownie - wtedy znowu się cofa o 10min. Nie sprawdzałem czy jak ustawię o 10min do przodu to czy się cofnie - co wykonam w pn - ale jeśli nie zadziała to czy ktoś może miał kiedyś z tym do czynienia ? czy w32tm może być pomocne ?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Cytat Napisał Elitegroup Zobacz post
    Czas jest brany z kontrolera domeny a także niekiedy ze switch'y
    I tutaj jest Twoj problem... do czego synchronizuje sie switch?! Powinienes miec jedno autorytatywne zrodlo czasu w domenie, nawet jesli jest ono zle i godzina bedzie o 10 minut walnieta, to wszystko bedzie ok tak dlugo jak dlugo wszystkie komputery beda mialy ten sam czas.
    Wez pod uwage to, ze w pewnych sytuacjach kryptografia Ci nawali itp wlasnie z powodu roznicy czasu miedzy klientem a serwerem.

    Ja ustawiam zazwyczaj serwer NTP na firewall'u jesli jest taka mozliwosc. Firewall synchronizuje do pl.pool.ntp.org dla serwerow w Polsce i wszystko w LAN synchronizuje do firewall'a - dzieki temu mam spojne logi i synchronizuje po sieci LAN.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    Zgadzam się z Tobą. U mnie jest o tyle problem, że jest ok 10 domen, LAN, WAN i ok 2k serverów - dodatkowo nie każdy VLAN jest otwarty dla każdego (mam na myśli ruch). Czy w strefie DMZ mają firewalla sprzętowego to nie wiem ale ja nie jestem od tego tam aby im układać infrastrukturę. Jedno co mi TQM rozjaśniłeś, że spokojnie mogę sobie ten problem zrzucić na kogoś innego: )

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    To na skroty - serwer NTP w DMZ i po sprawie
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    Tak to prawda - to jest skrót, ale szalenie niebezpieczny - wyobrazić już sobie można jakie straty by przyniósł firmie dobrze przeprowadzony atak na NTP - choćby zwykły DoS - na który już jest odporny server za NATem. Ewentualnie sobie myślę, że może synchronizacja hostów z serverem produkcyjnym w DMZ tylko pytanie czy to by nie spowolniło... a wiesz co ile przeprowadza się synchornizację czasu ?

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    DoS na serwer NTP? Jaja sobie robisz?
    Wystawiasz NTP na dowolnej maszynie w DMZ ktora jest stabilna, ta maszyna synchronizuje sie z pl.pool.ntp.org, dodatkowo np de.pool.ntp.org i pool.ntp.org (calkiem random) i odpowiada jedynie na pytania z sieci LAN (jednej lub wielu) i DMZ a na firewallu przed DMZ w ogole nie otwierasz portu NTP aby byl widoczny ze swiata i nie masz zadnego ryzyka ataku.

    NTP odswieza sie zazwyczaj co pare godzin chyba ze serwer uzywa czegos jak ntpd wedy sam sledzi tzw drift zegara i modyfikuje czas. Mozna w ten sposob uzyskac ogromna precyzje i praktycznie zasoby potrzebne do tego sa prawie zerowe. Nie masz sie co martwic ze serwer spowolni jakos - synchronizacja czasu to kilka pakietow UDP raz na jakis czas.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    TQM nie miałem nigdy problemu synchronizacji czasu w firmie - myślałem, że masz na myśli osobny server NTP a Ty piszesz o samej usłudze, którą można otworzyć na dowolnym serverze w DMZ dobrze zrozumiałem ?

    Wiesz...ludzie otwierają różne servery jako osobne komputery np: drukarkowe, plikowe więc i serwer czasu by mnie nie zdziwił - to przecież może być nawet 386 z linuxem na totalnym minimalu - ważne by puszczał UDP czasowe do intranetu.
    Ostatnio edytowane przez Elitegroup : 03-23-2013 - 20:35

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    To moze byc RaspberryPi albo podobne cudo, moze byc wirtualka jakas malenka, cokolwiek doslownie, tak dlug jest serwuje jednolity czas wszystkim klientom. Niektore routery/firewalle nawet to potrafia, wiec zobacz czy mozesz to tak zalatwic - problem z glowy.

    Wzorzec czasu ma byc jeden, nawet jesli podaje zly czas.
    Stare powiedzenie mowi, ze czlowiek bez zegarka nie wie ktora jest godzina a ten co ma dwa nigdy nie jest pewien - tego sie trzymajmy.
    Ostatnio edytowane przez TQM : 03-24-2013 - 00:06
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj