소스로 사용하고있는 외부 NTP 서버 중 하나 (현재 1 차 서버)는 NTP 호출에 응답하지 않는 것 같습니다. 불행히도 핵심 라우터 (Cisco 6509)에서 NTP 기능이 예상대로 보조 NTP 외부 서버로 전환되지 않았습니다. 결과적으로 주요 내부 NTP 소스 인 코어 라우터는 2 분 늦습니다.

외부 NTP 소스를 현재 작동중인 것으로 만들어 외부 라우터 문제를 해결할 계획입니다. 2 분 변경이 사용자와 서비스에 얼마나 영향을 미치는지 궁금합니다. 특히 요즘부터 우리는 인증서 기반 인증에 크게 의존하고 있습니다.

우리는 Windows / Cisco 상점입니다.

내부 NTP 설정 :

[Core Router 1 / Cisco 6509] :
2 개의 외부 NTP 서버 (기본 서버는 NTP 호출에 응답하지 않는 서버)를 살펴 봅니다 .

[Core Router 2] :
코어 라우터 1 (1 차)과 동기화, 작동하는 외부 라우터 (2 차)

[기타 Cisco 네트워크 장치] :
코어 라우터 1 (1 차), 코어 라우터 2 (2 차)와 동기화

[도메인 컨트롤러] :
코어 라우터 1과 동기화

[모든 Windows 클라이언트 / 서버] :
도메인 컨트롤러와 동기화

매우 정확한 타임 키핑이 미션 크리티컬 한 경우가 아니라면 시계가 2 분씩 바뀌는 것 외에는 사용자에게 눈에 띄는 영향이 없어야합니다.

큰 변경의 결과로 NTP 서버가 "미완성"으로 선언 된 경우 (예 : 영향을받는 시스템에서 NTP 서비스를 다시 시작하여 시계를 동기화하도록 강제하는 경우) 예외는 예외입니다. 정전).

이 문제를 해결하는 동안 몇 가지 다른 포인터가 있습니다.

• 외부 NTP 소스를 보는 시스템을 공용 NTP 풀 프로젝트 에서 여러 개의 (4-5) 서버를 보도록 구성해야합니다 (특히 지리적으로 적합한 서버) .
  NTP 서버가 더 많으면 선택 알고리즘이 깨지거나 미쳐 버린 시계를 무시하고 시계를 정확하게 유지할 수 있습니다.

• 내가 가리키는 것이다 당신과 같은 구성에서 Core Router 1와 Core Router 2외부 클럭 소스 (서로되지 않음)에서.
  이것은 서로 몇 ms 내에 있어야하는 두 개의 독립적으로 동기화 된 시계를 제공하지만, 라우터 중 하나가 미쳐지면 다른 하나를 해칠 수 없습니다.

• 귀하와 같은 구성에서는 도메인 컨트롤러가 둘 다 코어 라우터를 가리키게 됩니다 (다시 다운되는 것을 방지하기 위해).
  시계가 미쳐지는 것을 막으려면 세 번째 권위있는 NTP 서버를 추가해야합니다 (또는 라우터 중 하나를 두 번 나열하고 그것이 마음을 잃어버린 서버가 아니기를 바랍니다).

Windows의 도메인 기본값을 사용하면 인증이 작동을 멈추기 전에 +/- 300 초가 꺼질 수 있으므로 문제가 없습니다. 도메인 수준 GPO를 사용하여 시간 차이에 대한 허용 오차를 변경하는 방법에 대해서도 다루는 주제에 대한 철저한 기사 가 있습니다. 그것은에서입니다 Computer Configuration> - Policies-> Windows Settings-> Security Settings-> Account Policies-> Kerberos Policy-> Maximum tolerance for computer clock synchronization.

즉, 신뢰할 수있는 시간 소스 (일반적으로 Windows 도메인에서 PDC 에뮬레이터 역할을하는 도메인 컨트롤러)는와 ntp같은 외부 소스 와 동기화되어야합니다 pool.ntp.org. Technet의 추가 정보는 여기를 참조하십시오 .

그리고 다른 답변에 대한 응답으로 가동 중지 시간이 필요하지 않습니다. 신뢰할 수있는 시간 원본을 다시 지정하면 도메인에 가입 된 나머지 컴퓨터도 동기화됩니다.

편집 : @ voretaq7이 언급 했으므로 외부 시스템 인 PDC 에뮬레이터를 볼 수있는 시스템이 하나뿐이라는 점을 지적해야합니다. 네트워크 장비를 포함한 모든 장치가 동기화됩니다. 네트워킹 장치는 시간 차이로 인해 인증을 거부하지 않지만 Kerberos를 사용하는 도메인 가입 컴퓨터 (우리 모두를 위해)를 사용하기 때문에 이것이 더 나은 배치입니다. 따라서 네트워크 장비에서 정확한 시간을 갖는 것이 특히 중요하지는 않지만 Windows 시스템에서도 시간당 직원을위한 시간 유지 소프트웨어를 Windows 서버에서 실행하기 때문에 Windows 시스템에 두 배로 있습니다.

Windows 클라이언트는 실제로 어떤 로그인에도 문제가 없습니다. Maximum tolerance for computer clock synchronization정책에 대한 설명은 요즘 꽤 정확하지 않습니다.

심각하게 잘못된 클럭을 가진 클라이언트는 서버에서 클럭 사이의 차이를 설정하는 응답을받습니다. 인증은 정상적으로 진행됩니다 (클라이언트가 명백한 클럭 왜곡을 설명하기 위해 자체적으로 조정 함).

설명은 한 가지에 관한 것입니다. 이 정책은 여전히 ​​재생 공격에 대한 타이머를 효과적으로 설정하지만 합법적 인 트래픽 측면에서 큰 클록 왜곡에 대한 통신은 강력합니다.

자세한 내용은 이 MS KB 기사 를 참조하십시오.

코어 시스코 장비 이외의 다른 NTP 서버를 살펴 보는 것이 좋습니다. 심각한 NTP 트래픽은 시스코 장비에 CPU 부하가 높아 네트워크 문제가 발생할 수 있습니다.

분명히 작은 가동 중지 시간을 예약 할 수 없습니까? 영향을받는 모든 서버에서 ntp 서비스를 다시 시작하기 위해 가동 중지 시간을 요구합니다. 이것이 가능하지 않으면 잠시 기다려야합니다.

(나는 이것을 vortaq7의 답변에 대한 의견으로 만들려고했지만 많은 사람들 이이 실수를하기 때문에 그 자체로 반복 할 가치가 있다고 생각합니다.)

NTP 알고리즘이 정확한 시간에 정확하게 수렴하려면 적어도 3 개 (바람직하게는 4-6 개)의 시간 소스가 필요합니다. NTP에 기본 소스가 두 개 뿐이고 둘 다 상당한 양이 있다면 NTP는 어느 소스를 신뢰할지 알 수 없습니다.

이를 이해하는 데 도움이되는 가장 큰 도움은 Sun 청사진 "NTP를 사용하여 시스템 클록 제어 및 동기화, III 부 : NTP 모니터링 및 문제 해결"9 페이지의 다이어그램이었습니다. Oracle이 Sun을 인수했을 때이 문서는 사라졌지 만 Wayback Machine 에서 찾을 수 있습니다 . 제목을 검색하면 웹에서 많은 인기가 있습니다.