更换生病的 NTP 服务器源并重新同步(当前内部时间延迟 2 分钟)
l0c*_*b0x 11 ntp time certificate-authority
我们用作源的外部 NTP 服务器之一(当前的主要服务器)似乎没有响应 NTP 调用。不幸的是,在我们的核心路由器 (Cisco 6509) 上,NTP 功能没有像预期的那样切换到辅助 NTP 外部服务器。结果,我们的核心路由器(几乎是我们主要的内部 NTP 源)延迟了 2 分钟。
我计划通过使外部 NTP 源成为当前工作的源来解决外部路由器问题。 我想知道,2 分钟的更改会对我的用户和服务产生多大影响?特别是最近以来,我们严重依赖基于证书的身份验证。
我们是一家 Windows/Cisco 商店。
内部NTP设置:
[核心路由器 1 / Cisco 6509]:
查看两个外部 NTP 服务器(其中主要服务器不响应 NTP 调用)
[核心路由器 2]:
与核心路由器 1(主要)同步,工作外部路由器(次要)
[其他思科网络设备]:
与核心路由器1(主要)、核心路由器2(次要)同步
[域控制器]:
与核心路由器 1 同步
[所有 Windows 客户端/服务器]:
与域控制器同步
vor*_*aq7 14
除非极其准确的计时对您来说是关键任务,否则除了他们的时钟变化 2 分钟之外,对您的用户应该没有明显的影响。
可能的例外是,如果他们宣布您的 NTP 服务器由于大的变化而“疯狂”(这将要求您在受影响的系统上重新启动 NTP 服务以强制它们同步时钟 - 尽管您可以在不这样做的情况下执行此操作)停电)。
在您解决此问题时,还有其他一些提示:
您应该配置查看外部 NTP 源的系统,以查看来自公共 NTP 池项目的多个 (4-5) 个服务器——最好是地理位置合适的服务器。
拥有更多 NTP 服务器允许选择算法忽略那些中断/发疯的服务器并保持您的时钟准确。在像您我想指出的结构
Core Router 1和Core Router 2在外部时钟源(未彼此)。
这为您提供了两个独立同步的时钟,它们应该彼此相差几毫秒,但是如果您的一个路由器发疯了,它不会伤害另一个。在像您这样的配置中,我会将域控制器指向两个核心路由器(再次防止一个路由器出现故障)。
如果你想防止时钟变得疯狂,你应该添加第三个权威的 NTP 服务器(或者列出你的一个路由器两次,希望它不是那个失去理智的......)
Windows 的域默认设置允许在身份验证停止工作之前关闭 +/- 300 秒的时间,因此您会没事的。 这是一篇关于该主题的相当详尽的文章,其中甚至提到了如何使用域级 GPO 更改您对时间偏差的容忍度。它位于Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Kerberos Policy-> Maximum tolerance for computer clock synchronization。
也就是说,您应该让您的权威时间源(通常是在 Windows 域中担任 PDC 模拟器角色的域控制器)与外部ntp源同步,例如pool.ntp.org. 来自 Technet 的更多信息,请点击此处。
作为对另一个答案的回应,这不需要停机。只需重新指向您的权威时间源,其余已加入域的计算机也会自行同步。
编辑:既然@voretaq7 提到了它,我应该指出我们只有一个系统可以看到外部时间源,即我们的 PDC 模拟器。所有设备,包括网络设备同步到它。我们发现这是一个更好的安排,因为网络设备不会因为时间偏差而拒绝身份验证,但是使用 Kerberos 的加入域的计算机(对我们来说就是所有这些)会拒绝。因此,在这方面,在我们的网络设备上拥有准确的时间并不是特别重要,但在我们的 Windows 系统上却很重要,因为我们也在 Windows 服务器上为小时工运行计时软件。
| 归档时间: |
|
| 查看次数: |
1413 次 |
| 最近记录: |