बाहरी NTP सर्वर (प्राथमिक एक - वर्तमान में) का उपयोग हम उस स्रोत के रूप में कर रहे हैं जो NTP कॉल का जवाब नहीं देता है। दुर्भाग्य से, हमारे कोर राउटर (सिस्को 6509) पर, NTP कार्यक्षमता द्वितीयक NTP बाहरी सर्वर पर नहीं गई है क्योंकि यह अपेक्षित था। नतीजतन, हमारा मुख्य राउटर जो हमारे मुख्य आंतरिक NTP स्रोत से बहुत अधिक है, 2 मिनट देर से है।

मैं बाहरी एनटीपी स्रोत को बाहरी राउटर के मुद्दे को ठीक करने की योजना बना रहा हूं जो वर्तमान में काम कर रहा है। मैं सोच रहा हूं, 2 मिनट के परिवर्तन से मेरे उपयोगकर्ताओं और सेवाओं पर कितना असर पड़ेगा? इन दिनों के बाद से, हम प्रमाणपत्र-आधारित प्रमाणीकरण पर बहुत अधिक निर्भर हैं।

हम एक विंडोज / सिस्को दुकान हैं।

आंतरिक NTP सेटअप:

[कोर राउटर 1 / सिस्को 6509]:
दो बाहरी NTP सर्वर (जिसमें प्राथमिक एक NTP कॉल का जवाब नहीं दे रहा है) को देख रहा है

[कोर राउटर 2]:
कोर राउटर 1 (प्राइमरी) के साथ सिंकिंग, वर्किंग एक्सटर्नल राउटर (सेकेंडरी)

[अन्य सिस्को नेटवर्क डिवाइस]:
कोर राउटर 1 (प्राइमरी), कोर राउटर 2 (सेकेंडरी) के साथ सिंक करना

[डोमेन नियंत्रक (ओं)]:
कोर राउटर के साथ सिंकिंग 1

[सभी विंडोज़ क्लाइंट / सर्वर]:
डोमेन नियंत्रकों के साथ सिंक करना

जब तक आपके लिए बेहद सटीक टाइमकीपिंग मिशन-क्रिटिकल है, तब तक आपके यूजर्स के लिए 2 मिनट के लिए अपनी घड़ियों से अलग कोई प्रभाव नहीं होना चाहिए।

संभावित अपवाद यह है कि यदि वे आपके NTP सर्वर को बड़े परिवर्तन के परिणामस्वरूप "पागल" घोषित करते हैं (जिससे आपको घड़ी को सिंक करने के लिए मजबूर करने के लिए उन्हें प्रभावित सिस्टम पर NTP सेवा को पुनरारंभ करना होगा - हालांकि आप इसके बिना ऐसा कर सकते हैं एक नाराजगी)।

जब आप इसे यहाँ ठीक कर रहे हैं तो कुछ अन्य संकेत हैं:

• आपको अपने सिस्टम को कॉन्फ़िगर करना चाहिए जो बाहरी NTP स्रोतों को देखते हैं सार्वजनिक NTP पूल परियोजना के कई (4-5) सर्वरों को देखने के लिए - अधिमानतः भौगोलिक रूप से उपयुक्त।
  अधिक NTP सर्वर होने से चयन एल्गोरिदम को उन लोगों को अनदेखा करने की अनुमति देता है जो विक्षिप्त / चलते हैं और आपकी घड़ी को सटीक रखते हैं।

• तुम्हारी तरह एक विन्यास में मैं Core Router 1और Core Router 2बाहरी घड़ी स्रोतों पर (एक दूसरे को नहीं) इंगित करेगा ।
  यह आपको दो स्वतंत्र रूप से सिंक्रनाइज़ की गई घड़ियां देता है जो एक दूसरे के कुछ एमएस के भीतर होनी चाहिए, लेकिन अगर आपका एक राउटर पागल हो जाता है तो यह दूसरे को चोट नहीं पहुंचा सकता है।

• आपके जैसे एक कॉन्फ़िगरेशन में मैं BOTH कोर राउटर पर डोमेन नियंत्रकों को इंगित करूंगा (फिर से एक नीचे जाने से बचाने के लिए)।
  यदि आप एक घड़ी के पागल होने से बचाना चाहते हैं, तो आपको एक तीसरा आधिकारिक एनटीपी सर्वर जोड़ना चाहिए (या अपने राउटर्स में से एक को दो बार सूचीबद्ध करना चाहिए और आशा है कि यह ऐसा नहीं है जो अपना दिमाग खो देता है ...)

विंडोज के लिए डोमेन डिफॉल्ट्स प्रमाणीकरण बंद होने से 300 सेकंड पहले समय को बंद करने की अनुमति देते हैं, इसलिए आप ठीक रहेंगे। यहाँ इस विषय पर एक काफी संपूर्ण लेख है , जिसमें यह भी उल्लेख किया गया है कि डोमेन-स्तर GPO के साथ समय-सीमा के लिए अपनी सहिष्णुता को कैसे बदला जाए। यह है Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Kerberos Policy-> Maximum tolerance for computer clock synchronization।

उस ने कहा, आपके पास अपना आधिकारिक समय स्रोत होना चाहिए (जो कि आमतौर पर डोमेन नियंत्रक है जो पीडीसी एमुलेटर भूमिका को विंडोज डोमेन में रखता है) बाहरी ntpस्रोत के साथ सिंक करता है , जैसे pool.ntp.org। टेक्नेट से अधिक जानकारी, यहाँ ।

और दूसरे जवाब के जवाब में, यह डाउनटाइम की आवश्यकता नहीं है। बस अपने आधिकारिक समय स्रोत को फिर से इंगित करें, और शेष डोमेन से जुड़े कंप्यूटर खुद को भी सिंक करेंगे।

EDIT: चूंकि @ voretaq7 ने इसका उल्लेख किया है, मुझे यह इंगित करना चाहिए कि हमारे पास केवल एक सिस्टम है जो एक बाहरी समय स्रोत, हमारे पीडीसी एमुलेटर को देखता है। नेटवर्क गियर सहित सभी डिवाइस इसे सिंक करते हैं। हम इसे एक बेहतर व्यवस्था मानते हैं, क्योंकि नेटवर्किंग गियर समय के कारण प्रमाणीकरण को अस्वीकार नहीं करेगा, लेकिन केर्बरोस (जो कि उन सभी के लिए, हमारे लिए है) का उपयोग करते हुए डोमेन में शामिल कंप्यूटर होंगे। तो उस संबंध में, हमारे नेटवर्क गियर पर सटीक समय होना विशेष रूप से महत्वपूर्ण नहीं है, लेकिन यह हमारे विंडोज सिस्टम पर है, दोगुना इसलिए कि हम अपने टाइम-कीपिंग सॉफ्टवेयर को एक विंडोज सर्वर पर भी प्रति घंटा कर्मचारियों के लिए चलाते हैं।

विंडोज क्लाइंट को वास्तव में कोई समस्या नहीं होगी। Maximum tolerance for computer clock synchronizationइन दिनों नीति का वर्णन बहुत अच्छी तरह से गलत है।

एक गंभीर रूप से गलत घड़ी के साथ एक क्लाइंट को अपनी घड़ियों के बीच तिरछा स्थापित करने वाले सर्वर से एक प्रतिक्रिया मिलेगी - प्रमाणीकरण तब सामान्य रूप से आगे बढ़ता है (ग्राहक स्पष्ट घड़ी तिरछी स्थिति के लिए खुद को समायोजित करने के साथ)।

विवरण एक बात के बारे में सही है; नीति अभी भी प्रभावी ढंग से रिप्ले हमलों के लिए टाइमर सेट करती है - लेकिन, वैध ट्रैफ़िक के संदर्भ में, संचार बड़े घड़ी के स्कूप के खिलाफ मजबूत है।

देखें इस एमएस KB लेख और जानकारी के लिए।

आप अपने मुख्य सिस्को उपकरणों की तुलना में अन्य NTP सर्वर (नों) को देखने पर विचार कर सकते हैं: गंभीर NTP ट्रैफ़िक सिस्को उपकरणों पर एक उच्च सीपीयू लोड देता है जिसके परिणामस्वरूप नेटवर्क की समस्याएं हो सकती हैं।

जाहिर है आप एक छोटे डाउनटाइम शेड्यूल नहीं कर सकते, क्या आप? मैं सभी डाउन सर्वर पर ntp सेवा को पुनः आरंभ करने के लिए एक डाउनटाइम के लिए धक्का दूंगा। यदि यह संभव नहीं है, तो आपको कुछ समय तक इंतजार करना होगा।

(मैं इसे vortaq7 के उत्तर पर एक टिप्पणी करने जा रहा था, लेकिन मुझे लगता है कि यह अपने आप में दोहराए जाने के योग्य है, क्योंकि बहुत से लोग यह गलती करते हैं।)

सही समय पर सटीक रूप से रूपांतरण करने के लिए आपको NTP के एल्गोरिथम के लिए कम से कम 3 (अधिमानतः 4-6) समय के स्रोतों की आवश्यकता होती है। यदि NTP के केवल दो प्राथमिक स्रोत हैं और वे दोनों एक महत्वपूर्ण राशि से बाहर हैं, तो NTP के पास यह जानने का कोई तरीका नहीं है कि किस पर भरोसा किया जाए।

यह समझने में मेरे लिए सबसे बड़ी मदद थी, सन ब्ल्यूप्रिंट के पेज 9 पर आरेख "एनटीपी का उपयोग नियंत्रण और सिस्टम घड़ियों को सिंक्रनाइज़ करने के लिए, भाग III: एनटी मॉनिटरिंग और समस्या निवारण"। जब ओरेकल ने सन को खरीदा, तो यह दस्तावेज़ दृश्य से गायब हो गया, लेकिन आप अभी भी इसे वेकबैक मशीन पर पा सकते हैं । यदि आप शीर्षक खोजते हैं तो वेब पर बहुत सारे हिट हैं।