Tham gia Đăng nhập
Điểm:1
avatar Server

Dịch vụ thời gian của Windows chỉ đồng bộ hóa với các máy chủ ntp bên ngoài nếu chúng trùng khớp

lá cờ cn
Ian Murphy

Gần đây tôi đã gặp sự cố mà tôi chưa từng thấy xảy ra trước đây. Vào một buổi tối khoảng năm 2030, một trong những DC đã đổi đồng hồ lùi lại một giờ. Máy chủ này đồng bộ hóa với hai địa chỉ trong pool.ntp.org. Không có ai có mặt khi điều này xảy ra và nhật ký sự kiện hiển thị rõ ràng việc đồng bộ hóa dịch vụ thời gian với một ip công khai.

Tôi chỉ có thể giả định rằng chúng tôi đã tấn công một máy chủ được định cấu hình không chính xác bởi vì sau sự hỗn loạn vào sáng hôm sau do hệ thống quản lý tòa nhà sai thời gian gây ra, tôi chỉ cần đồng bộ lại máy chủ ntp và nó ngay lập tức sửa đồng hồ của nó.

Tôi thường định cấu hình ntp để sử dụng hai máy chủ ntp khác nhau, vì vậy tôi cho rằng máy khách chỉ kết nối với máy chủ đầu tiên phản hồi và chỉ giả định rằng nó sẽ cung cấp thời gian chính xác.

vì vậy, câu hỏi của tôi:

Có cách nào để định cấu hình dịch vụ thời gian của windows để nó chỉ sửa đồng hồ sau khi tham khảo hai máy chủ ntp khác nhau và cả hai đều trùng với thời gian chính xác không? Tôi đang chạy Win2019

Chỉnh sửa: Tôi đã không biết rằng có thể thực hiện truy vấn lịch sử trên các kết quả ntp (cảm ơn Paul Gear). Truy vấn hai IP mà tôi đã định cấu hình cho biết nguyên nhân sự cố của tôi:

1623189765,"2021-06-08 22:02:45",-0.003809235,1,13.2,,,0,
1623188607,"2021-06-08 21:43:27",6.1543e-05,1,12.8,6,"Newark, NJ, US",0,
1623188607,"2021-06-08 21:43:27",6.1543e-05,1,12.8,,,0,
1623187438,"2021-06-08 21:23:58",0.011513196,1,12.4,6,"Newark, NJ, US",0,

Đường giữa ở đó biểu thị một to lớn biến thể từ máy chủ tôi đang sử dụng.

155
2 + 0
Điểm:1
Paul Gear avatar Server
lá cờ cn
Paul Gear

Không quá bất đồng với John Mahowald, nhưng ít nhất là từ Windows 2016, Dịch vụ thời gian của Windows đã được cải thiện nhiều, bao gồm cả dịch vụ NTP đầy đủ. Họ cũng có một tài liệu giải thích Cách cấu hình Windows cho độ chính xác cao. Tôi không nghĩ rằng cần phải chạy một máy chủ NTP không phải Windows riêng biệt trừ khi bạn có yêu cầu về độ chính xác cực cao (trong trường hợp đó, bạn có thể sử dụng PTP thay thế - thậm chí còn có hỗ trợ cho điều đó trong Windows 2019).

Vì vậy, rất có thể, bạn vừa gặp phải một máy chủ nhóm không chính xác. Điều này thỉnh thoảng xảy ra và nhóm rất giỏi trong việc loại bỏ các máy chủ này một cách nhanh chóng. Nếu bạn có bản ghi địa chỉ IP của máy chủ mà nó đang đồng bộ hóa, bạn có thể tra cứu lịch sử của nó tại https://www.ntppool.org/scores/<IP_ADDRESS>.

Tôi nghĩ có thể do hệ thống được đề cập vẫn đang phản hồi nên nó đã được chọn vì bạn có quá ít đồng nghiệp được cấu hình (xem thêm phần sau trong RFC8633 về việc có nhiều loại đồng hồ tham chiếu) và Windows Time Service không cần truy vấn lại nhóm cho một IP mới vì máy chủ ban đầu vẫn đang phản hồi.

Vì vậy, điều quan trọng nhất bạn có thể làm để ngăn điều này tái diễn, như John đã nói, là thêm nhiều nguồn thời gian hơn. Nhiều nguồn hơn từ nhóm cũng tốt và nếu bạn muốn thứ gì đó bên ngoài nhóm có IP khá ổn định và cung cấp dịch vụ chính xác hợp lý, hãy thử time.apple.com, dường như là nhóm Geo-DNS gồm các máy chủ tầng 1 được phân phối toàn cầu.

0 + 6
lá cờ cn
Ian Murphy
Tôi định cấu hình tất cả các DC thông qua tập lệnh để chúng có hai nguồn ntp thay thế. Máy chủ này có hai nguồn và khoảng 15 giờ trước đó nó đã được khởi động lại và nhật ký sự kiện cho thấy máy chủ của nó là 5.148.175.134 và 90.165.120.190, do đó, nó có hai nguồn lấy từ ntp.org, nhưng đồng hồ được điều chỉnh dựa trên chỉ một trong những IP đó phản hồi với đồng hồ không chính xác.Tôi đang cố gắng tìm hiểu xem liệu tôi có thể thiết lập tất cả chúng với 3 đồng hồ hay không và chỉ để cửa sổ cập nhật thời gian nếu hai máy chủ ntp khớp với thời gian, bỏ qua một máy chủ ntp trả về thời gian cực kỳ không chính xác.
0
Hồi đáp
lá cờ cn
Ian Murphy
Tôi nên nói thêm rằng từ ngữ trong tài liệu nói về dịch vụ so sánh nhiều nguồn để chọn nguồn chính xác nhất. Những gì nó không chỉ ra là nếu đây là một lần tắt khi dịch vụ tải hoặc cấu hình lại hoặc nếu điều này xảy ra bất cứ khi nào nó kiểm tra định kỳ đồng hồ cục bộ. Tôi nghi ngờ nó chỉ xảy ra một lần, điều này sẽ không tránh được sự cố về nguồn ntp, vốn bình thường vẫn ổn, đột nhiên trả về thời gian không chính xác.
0
Hồi đáp
John Mahowald avatar
lá cờ cn
John Mahowald
Nếu w32time có hơn 3 nguồn được định cấu hình và một trong số chúng nhảy một giờ, liệu nó có phát hiện ra mã báo sai và không bước không? Tôi chưa tìm thấy tài liệu về hành vi này.
0
Hồi đáp
lá cờ cn
Ian Murphy
Tôi không nghĩ rằng nó sẽ làm được điều này, nhưng tôi luôn có hai nguồn được cấu hình và nhật ký sự kiện không nói dối. Tôi có một mục duy nhất từ ​​dịch vụ thời gian nói rằng nó đang thay đổi thời gian và nó đã quay ngược lại đúng một giờ. Các mục nhật ký sự kiện trước đó cho biết địa chỉ ip của hai nguồn mà nó đang sử dụng và trang ntppool.org/source cho biết rằng chỉ một trong hai nguồn đó gặp sự cố về thời gian... thật không may là máy chủ dường như đang sử dụng nguồn đó làm nguồn chính và đã không kiểm tra lại lần thứ hai.
0
Hồi đáp
Paul Gear avatar
lá cờ cn
Paul Gear
TL;DR: hai nguồn là không đủ. Đừng nghĩ về 2 so với 3. Hãy nghĩ về 2 so với 10. (NTP BCP RFC được liên kết trong câu trả lời của tôi đề xuất *tối thiểu* là 4.) Tôi không có máy chủ Windows để kiểm tra, nhưng nếu tôi đọc tài liệu chính xác, thì hiện tại nó là triển khai NTP đầy đủ và nó phải là * liên tục* so sánh các nguồn ngược dòng của nó thông qua thuật toán giao điểm (xem sơ đồ tôi đã thu thập tại https://is.gd/xW2qbb), nghĩa là nếu bạn có một số lượng đồng nghiệp phù hợp thì bạn sẽ không bao giờ rơi vào tình huống mà mình đã trải qua.
1
Hồi đáp
lá cờ cn
Ian Murphy
@paulgear đăng xuất sắc trên blog của bạn. Có rất nhiều thứ để tiêu hóa nhưng tôi nghĩ nó trả lời câu hỏi của tôi.
1
Hồi đáp
Điểm:0
John Mahowald avatar Server
lá cờ cn
John Mahowald

w32time chỉ là một ứng dụng khách SNTP, theo như tôi có thể nói, vì vậy nếu gói có bước nhảy lớn thì thời gian sẽ được tăng dần. chính sách nhóm có thể được cấu hình để có các máy chủ NTP bổ sung, nhưng những máy chủ này là để dự phòng khi không thành công, không phải nhiều liên kết cùng một lúc với việc kiểm tra lỗi như ntpd.

Cân nhắc việc chạy dịch vụ không phải w32time của riêng bạn trước AD DS, một triển khai NTP đầy đủ với nhiều nguồn. Hãy lựa chọn, thiết bị vật lý có ăng-ten GNSS, cài đặt ntpd hoặc chrony.

Bốn nguồn, từ nhóm NTP có lẽ nếu có internet, sẽ tốt hơn hai nguồn. Dễ dàng với ntpd hoặc chrony.

nhóm 2.pool.ntp.org
0 + 3
lá cờ cn
Ian Murphy
Việc thêm một lớp khác vào giữa sẽ không giải quyết được gì trừ khi máy chủ ntp ở giữa chỉ thay đổi đồng hồ của nó để đáp ứng với nhiều phản hồi giống hệt nhau từ các máy chủ ntp công cộng chứ không chỉ một phản hồi duy nhất. Tôi chưa điều tra xem liệu việc sử dụng máy chủ ntp dựa trên linux có cho phép điều này hay không.
0
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
@IanMurphy NTPd được định cấu hình với 3-4 đồng hồ sẽ *** không *** thay đổi thời gian dựa trên một ngoại lệ. Nó sẽ chọn một tài liệu tham khảo đáng tin cậy dựa trên tổng của tất cả các thông tin có sẵn.
1
Hồi đáp
lá cờ cn
Ian Murphy
Đó sẽ là một giải pháp nếu ntpd hoạt động theo cách đó. Bây giờ tôi phải thử nó và xem liệu tôi có thể phá vỡ nó không. Cảm ơn
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.