5
NTP in AD-Domäne mit VPN-Aussenstellen
Hallo zusammen,
Wir haben 3 Nebenstellen über VDSL / VPN angebunden. Dort steht jeweils ein Domänencontroller (insgesamt eine AD-Domäne). Wie wäre die "Best Practice" für die Zeitsynchronisation innerhalb der Netzwerke - auch im Hinblick auf (hoffentlich nicht so häufig eintretende) Unterbrechungen der VPN-Verbindungen?
Die Infos aus z.B. http://social.technet.microsoft.com/wiki/contents/articles/18573.time-s ... sind soweit verstanden.
Meine Frage bezieht sich auf vor allem auf Geräte, die nicht direkt Domänenmitglied sind - Switches / Router / Drucker...
Die DCs synchronisieren untereinander. Von dort aus geht es weiter:
Variante 1: alle Geräte nutzen den DC als NTP-Quelle.
Variante 2: nur die Domänenmitglieder nutzen den DC als NTP-Quelle, für alle anderen wird ein anderes Geräte als NTP-Server eingerichtet (z.B. der Switch oder der Router). Der synchronisiert:
Variante 2a: mit dem DC. (konsistenter?)
Variante 2b: mit einem öffentlichen / externen Server. (ausfallsicherer?)
Vielen Dank im voraus!
lcer
Wir haben 3 Nebenstellen über VDSL / VPN angebunden. Dort steht jeweils ein Domänencontroller (insgesamt eine AD-Domäne). Wie wäre die "Best Practice" für die Zeitsynchronisation innerhalb der Netzwerke - auch im Hinblick auf (hoffentlich nicht so häufig eintretende) Unterbrechungen der VPN-Verbindungen?
Die Infos aus z.B. http://social.technet.microsoft.com/wiki/contents/articles/18573.time-s ... sind soweit verstanden.
Meine Frage bezieht sich auf vor allem auf Geräte, die nicht direkt Domänenmitglied sind - Switches / Router / Drucker...
Die DCs synchronisieren untereinander. Von dort aus geht es weiter:
Variante 1: alle Geräte nutzen den DC als NTP-Quelle.
Variante 2: nur die Domänenmitglieder nutzen den DC als NTP-Quelle, für alle anderen wird ein anderes Geräte als NTP-Server eingerichtet (z.B. der Switch oder der Router). Der synchronisiert:
Variante 2a: mit dem DC. (konsistenter?)
Variante 2b: mit einem öffentlichen / externen Server. (ausfallsicherer?)
Vielen Dank im voraus!
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 328246
Url: https://administrator.de/contentid/328246
Printed on: April 24, 2024 at 11:04 o'clock
5 Comments
Latest comment
Hallo,
der DC mit der FMSO des PDC-Emulator synct mit einem externen Zeitserver.
Alle anderen DC nehemn diesen DC als Zeitserver.
Alle Cleints verwenden eh nur die DC als Zeitserver.
Alle anderen Geräte verwenden den DC an ihrem Standort als Zeitserver.
Bei Abweichungen größer 5 Minuten vom PDC-Emulator hast Du ein Problem.
Gruß
Chonta
der DC mit der FMSO des PDC-Emulator synct mit einem externen Zeitserver.
Alle anderen DC nehemn diesen DC als Zeitserver.
Alle Cleints verwenden eh nur die DC als Zeitserver.
Alle anderen Geräte verwenden den DC an ihrem Standort als Zeitserver.
Bei Abweichungen größer 5 Minuten vom PDC-Emulator hast Du ein Problem.
Gruß
Chonta
Hi Icer,
ist euer Domänencontroller mit der PDC-Rolle eine virtuelle Maschine oder ein physikalischer Server ?
Sollte es sich um eine virtuelle Maschinen handeln, dann solltest du zusätzlich in den Einstellungen überprüfen ob sich der Domänencontroller die Zeit von seinem Host holt. Sollte das der Fall sein würde ich dir raten die Option zum synchronisieren der Zeit mit dem Host zu deaktivieren.
Gruß,
Chris
ist euer Domänencontroller mit der PDC-Rolle eine virtuelle Maschine oder ein physikalischer Server ?
Sollte es sich um eine virtuelle Maschinen handeln, dann solltest du zusätzlich in den Einstellungen überprüfen ob sich der Domänencontroller die Zeit von seinem Host holt. Sollte das der Fall sein würde ich dir raten die Option zum synchronisieren der Zeit mit dem Host zu deaktivieren.
Gruß,
Chris
Zitat von @nw-chris:
Sollte das der Fall sein würde ich dir raten die Option zum synchronisieren der Zeit mit dem Host zu deaktivieren.
Sollte das der Fall sein würde ich dir raten die Option zum synchronisieren der Zeit mit dem Host zu deaktivieren.
Kannst du das bitte näher ausführen. Sofern eine externe Quelle (NTP des Providers, GPS-Uhr, etc.) konfiguriert ist, sollte das entfernen der Hostsynchronisierung kein Problem darstellen. Die Zeit wird dann hoffentlich von der externen Quelle genommen - sowie auch die vom Hostsystem.
Zitat von @derhoeppi:
Sollte das der Fall sein würde ich dir raten die Option zum synchronisieren der Zeit mit dem Host zu deaktivieren.
Kannst du das bitte näher ausführen. Sofern eine externe Quelle (NTP des Providers, GPS-Uhr, etc.) konfiguriert ist, sollte das entfernen der Hostsynchronisierung kein Problem darstellen. Die Zeit wird dann hoffentlich von der externen Quelle genommen - sowie auch die vom Hostsystem.
Sollte das der Fall sein würde ich dir raten die Option zum synchronisieren der Zeit mit dem Host zu deaktivieren.
Kannst du das bitte näher ausführen. Sofern eine externe Quelle (NTP des Providers, GPS-Uhr, etc.) konfiguriert ist, sollte das entfernen der Hostsynchronisierung kein Problem darstellen. Die Zeit wird dann hoffentlich von der externen Quelle genommen - sowie auch die vom Hostsystem.
Hallo Hoeppi,
Mein Ratschlag beruht zum einen auf den persönlichen Erfahrungen die ich machen durfte (-.-') und zum anderen auf Best Practise Empfehlungen wie z.B.:
http://www.faq-o-matic.net/2010/04/21/virtuelle-dcs-zeitprobleme-vermei ...
Ein Grund dafür das ich die Zeitsynchronisation zwischen VM & Host gerne trennen ist vom Autor gleich am Anfang des Artikels genannt worden.
In virtuellen Umgebungen steht die Systemzeit unter einigen Einschränkungen. Da eine virtuelle Maschine nicht exklusiv auf ihren Prozessor zugreift, sondern vom Hypervisor immer nur einzelne CPU-Zyklen erhält, gerät die Systemzeit leicht aus dem Takt. Wer dies nicht im Griff hat, gerät leicht in eine Situation, in der die Zeiten der virtuellen Maschinen auseinanderlaufen. Quelle: siehe obrigen Link
Wie ich bereits selber des öfteren erleben musste, kommt es häufig zu Zeitdifferenzen / ungenauen Zeiten im Netzwerk wenn bei einem oder mehreren virtuellen Domänencontrollern der Haken für "Zeitsynchronisation mit dem Host" gesetzt war. Oftmals lag es daran das am Hypervisor die eingetragene Uhrzeit aus dem BIOS genommen wurde oder das eine andere Zeitquelle auf dem Host konfiguriert war als die Zeitquelle auf dem zuständigen Domänencontroller (PDC).
Meine Erfahrungen decken sich daher ganz gut mit der Aussage aus dem oben genannten Artikel.
Die Zeitsynchronisation von virtuellen DCs mit dem VM-Host kann aber auch dann zu Problemen führen, wenn bei den virtuellen DCs eine externe NTP-Zeitquelle eingetragen ist. In diesem Fall kommen sich nämlich beide Zeitgeber in die Quere, und im Effekt laufen die virtuellen DCs dann oft mit der falschen Zeit. Abhilfe in so einem Fall: Host-Zeitsynchronisation in der VM abschalten, manuelle NTP-Liste bei allen DCs bis auf den PDC-Emulator entfernen, virtuellen DC neu starten. Quelle: siehe obrigen Link
Deshalb deaktiviere ich die Zeitsynchronisation zwischen virtuellem DC <-> Hypervisor/Host und konfiguriere einen externen NTP-Server als Zeitquelle auf dem virtuellem DC (PDC). Für den Hypervisor kann ich dann im Einzelfall immernoch entscheiden ob er sich die Zeit vom virtuellen DC(PDC) holt oder ebenfalls den externen NTP-Server als Zeitquelle direkt bezieht.
Gruß,
Chris
Hallo Chris,
ich bin deiner Meinung, dass entweder die Zeit der Hostsynchronisierung oder aber ein externer Zeitdienst für den PDC genutzt wird . In meinen bisherigen Umgebungen konnte ich bis dato keine großen Abweichungen zwischen Virtualisierungshost und externer Zeitquelle feststellen. Wichtig ist eine saubere NTP Konfiguration im gesamten Netzwerk.
Gruß
derhoeppi
ich bin deiner Meinung, dass entweder die Zeit der Hostsynchronisierung oder aber ein externer Zeitdienst für den PDC genutzt wird . In meinen bisherigen Umgebungen konnte ich bis dato keine großen Abweichungen zwischen Virtualisierungshost und externer Zeitquelle feststellen. Wichtig ist eine saubere NTP Konfiguration im gesamten Netzwerk.
Gruß
derhoeppi
