Salah satu server NTP eksternal (yang primer - saat ini) yang kami gunakan sebagai sumber tampaknya tidak menanggapi panggilan NTP. Sayangnya, pada router inti kami (Cisco 6509), fungsi NTP belum beralih ke server eksternal NTP sekunder seperti yang diharapkan. Akibatnya, router inti kami yang cukup banyak sumber NTP internal utama kami adalah 2 menit terlambat.

Saya berencana untuk memperbaiki masalah router eksternal dengan membuat sumber NTP eksternal menjadi yang saat ini berfungsi. Saya bertanya-tanya, seberapa besar perubahan 2 menit akan memengaruhi pengguna dan layanan saya? Khususnya sejak hari ini, kami sangat bergantung pada otentikasi berbasis sertifikat.

Kami adalah toko Windows / Cisco.

Penyiapan NTP internal:

[Core Router 1 / Cisco 6509]:
melihat keluar ke dua server NTP eksternal (di mana yang utama tidak menanggapi panggilan NTP)

[Core Router 2]:
Sinkronisasi dengan Core router 1 (primer), router eksternal yang berfungsi (sekunder)

[Perangkat jaringan Cisco lainnya]:
Sinkronisasi dengan Core router 1 (primer), core router 2 (sekunder)

[Kontroler domain]:
Menyinkronkan dengan router Inti 1

[Semua klien / server windows]:
Sinkronisasi dengan pengontrol domain

Kecuali jika ketepatan waktu yang sangat akurat sangat penting bagi Anda, tidak akan ada efek yang terlihat bagi pengguna Anda, selain dari jam mereka yang berubah 2 menit.

Pengecualian yang mungkin adalah jika mereka menyatakan server NTP Anda menjadi "gila" sebagai akibat dari perubahan besar (yang akan mengharuskan Anda untuk me-restart layanan NTP pada sistem yang terkena dampak untuk memaksa mereka untuk menyinkronkan jam - meskipun Anda dapat melakukan ini tanpa pemadaman).

Saat Anda memperbaikinya di sini ada beberapa petunjuk lain:

• Anda harus mengkonfigurasi sistem Anda yang melihat sumber NTP eksternal untuk melihat beberapa (4-5) server dari proyek kumpulan NTP publik - lebih disukai yang sesuai secara geografis.
  Memiliki lebih banyak server NTP memungkinkan algoritma pemilihan untuk mengabaikan yang merusak / membuat gila dan menjaga jam Anda akurat.

• Dalam konfigurasi seperti milik Anda, saya akan menunjuk Core Router 1dan Core Router 2pada sumber jam eksternal (tidak satu sama lain).
  Ini memberi Anda dua jam yang disinkronkan secara independen yang harus berada dalam beberapa ms satu sama lain, tetapi jika salah satu router Anda menjadi gila itu tidak bisa menyakiti yang lain.

• Dalam konfigurasi seperti milik Anda, saya akan mengarahkan pengontrol domain di KEDUA router inti (sekali lagi untuk melindungi dari yang turun).
  Jika Anda ingin melindungi terhadap jam yang menjadi gila Anda harus menambahkan server NTP otoritatif ketiga (atau daftar salah satu router Anda dua kali dan berharap itu bukan salah satu yang hilang pikiran ...)

Default domain untuk Windows memungkinkan waktu dimatikan +/- 300 detik sebelum otentikasi berhenti berfungsi, jadi Anda akan baik-baik saja. Berikut adalah artikel yang cukup lengkap tentang masalah ini , yang bahkan menyebutkan cara mengubah toleransi Anda terhadap kecenderungan waktu dengan GPO tingkat domain. Ada di Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Kerberos Policy-> Maximum tolerance for computer clock synchronization.

Yang mengatakan, Anda harus memiliki sumber waktu otoritatif Anda (yang biasanya Pengontrol Domain memegang peran emulator PDC dalam domain Windows) disinkronkan dengan ntpsumber eksternal , seperti pool.ntp.org. Info lebih lanjut dari Technet, di sini .

Dan sebagai tanggapan atas jawaban yang lain, ini tidak memerlukan downtime. Tunjukkan kembali sumber waktu otoritatif Anda, dan komputer yang bergabung dengan domain lainnya juga akan menyinkronkan diri.

EDIT: karena @ voretaq7 menyebutkannya, saya harus menunjukkan bahwa kita hanya memiliki satu sistem melihat sumber waktu luar, emulator PDC kita. Semua perangkat, termasuk sinkronisasi jaringan jaringan untuk itu. Kami menemukan ini sebagai pengaturan yang lebih baik, karena peralatan jaringan tidak akan menolak otentikasi karena kemiringan waktu, tetapi komputer yang bergabung dengan domain menggunakan Kerberos (yang semuanya adalah untuk kami) akan melakukannya. Jadi dalam hal itu, tidak terlalu penting untuk memiliki waktu yang akurat pada peralatan jaringan kami, tetapi pada sistem Windows kami, dua kali lipat karena kami menjalankan perangkat lunak pengatur waktu kami untuk karyawan per jam di server Windows juga.

Klien Windows sebenarnya tidak akan mengalami masalah dalam login apa pun. Deskripsi Maximum tolerance for computer clock synchronizationkebijakan ini cukup akurat saat ini.

Klien dengan jam yang sangat salah akan mendapat respons dari server yang membuat kemiringan di antara jam mereka - otentikasi kemudian berlangsung secara normal (dengan klien menyesuaikan diri untuk memperhitungkan kemiringan jam yang jelas).

Deskripsi itu benar tentang satu hal; kebijakan masih secara efektif menetapkan timer untuk serangan replay - tetapi, dalam hal lalu lintas yang sah, komunikasi tersebut kuat terhadap kemacetan jam besar.

Lihat artikel MS KB ini untuk informasi lebih lanjut.

Anda mungkin ingin mempertimbangkan untuk melihat server NTP lain daripada peralatan cisco inti Anda: lalu lintas NTP serius memberikan beban cpu yang tinggi pada peralatan cisco yang dapat mengakibatkan masalah jaringan.

Jelas Anda tidak bisa menjadwalkan waktu senggang kecil, bukan? Saya akan mendorong downtime untuk memulai kembali layanan ntp di semua server yang terpengaruh. Jika itu tidak mungkin, maka Anda harus menunggu beberapa saat.

(Saya akan membuat ini komentar pada jawaban vortaq7, tapi saya pikir itu layak diulangi dengan sendirinya, karena banyak orang membuat kesalahan ini.)

Anda memerlukan setidaknya 3 (lebih disukai 4-6) sumber waktu untuk algoritme NTP untuk secara tepat bertemu pada waktu yang tepat. Jika NTP hanya memiliki dua sumber utama dan keduanya dalam jumlah yang signifikan, NTP tidak memiliki cara untuk mengetahui mana yang harus dipercaya.

Satu-satunya bantuan terbesar bagi saya dalam memahami ini adalah diagram pada halaman 9 dari cetak biru Sun "Menggunakan NTP untuk Mengontrol dan Menyinkronkan Jam Sistem, bagian III: Pemantauan dan Pemecahan Masalah NTP". Dokumen ini menghilang dari pandangan ketika Oracle membeli Sun, tetapi Anda masih dapat menemukannya di Wayback Machine . Ada juga banyak hit di web jika Anda mencari judulnya.