NTP im Netzwerk
Hallo an alle,
bisher holte sich unsere äußere Firewall die aktuelle Zeit per NTP aus dem Internet. In der DMZ diente sie selbst als NTP-Server, in den internen Netzen war der Backbone dafür zuständig, er holte sich die Zeit von der Firewall. (Die Domain-Clients bekommen es natürlich über ihre DC's.)
Da unsere neuen Firewalls keine NTP-Server Funktionalität mehr anbieten überlegen wir nun, was künftig der beste Weg wäre. Den direkten Zugang ins Internet lassen wir nicht zu.
Natürlich könnte man eine Linux-Kiste einsetzen o.ä. Was setzt ihr da für Lösungen für NTP im Netzwerk ein?
VG goodbytes
bisher holte sich unsere äußere Firewall die aktuelle Zeit per NTP aus dem Internet. In der DMZ diente sie selbst als NTP-Server, in den internen Netzen war der Backbone dafür zuständig, er holte sich die Zeit von der Firewall. (Die Domain-Clients bekommen es natürlich über ihre DC's.)
Da unsere neuen Firewalls keine NTP-Server Funktionalität mehr anbieten überlegen wir nun, was künftig der beste Weg wäre. Den direkten Zugang ins Internet lassen wir nicht zu.
Natürlich könnte man eine Linux-Kiste einsetzen o.ä. Was setzt ihr da für Lösungen für NTP im Netzwerk ein?
VG goodbytes
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668912
Url: https://administrator.de/forum/ntp-im-netzwerk-668912.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Sophos' XGS?
Die kann als NTP-Relay dienen: https://www.avanet.com/kb/sophos-firewall-als-ntp-server-einrichten/
Ansonsten:
für unsere Maschinensteuerungen (VLAN mit sehr restriktiven Zugriffen) habe ich eine Debian-Maschine aufgesetzt, die dort als NTP-Server dient und selbst Zeiten vom DC holt.
Die DCs holen sich die Zeit bei uns von der XGS...
Du könntest also auch eine Linux-Kiste aufsetzen, die ggf. in die DMZ/ sep. VLAN setzen. Die DCs fragen den NTP an und die DCs verteilen selbst dann ins übrige LAN.
da unsere neuen Firewalls keine NTP-Server Funktionalität mehr anbieten
welche Firewalls kommen denn zum Einsatz?Sophos' XGS?
Die kann als NTP-Relay dienen: https://www.avanet.com/kb/sophos-firewall-als-ntp-server-einrichten/
Ansonsten:
für unsere Maschinensteuerungen (VLAN mit sehr restriktiven Zugriffen) habe ich eine Debian-Maschine aufgesetzt, die dort als NTP-Server dient und selbst Zeiten vom DC holt.
Die DCs holen sich die Zeit bei uns von der XGS...
Du könntest also auch eine Linux-Kiste aufsetzen, die ggf. in die DMZ/ sep. VLAN setzen. Die DCs fragen den NTP an und die DCs verteilen selbst dann ins übrige LAN.
RaspberryPi mit einer GPS Maus oder DCF77 Modul als zentralen NTP Server:
Netzwerk Management Server mit Raspberry Pi
Letztlich das was Meinberg und Gude ja auch kommerziell machen. Komisch aber das die FW das angeblich nicht kann. Jeder Baumarkt Router kann heute als NTP Server laufen.
Netzwerk Management Server mit Raspberry Pi
Letztlich das was Meinberg und Gude ja auch kommerziell machen. Komisch aber das die FW das angeblich nicht kann. Jeder Baumarkt Router kann heute als NTP Server laufen.
Zitat von @Dani:
Moin,
Wie wichtig ist denn die Zeit? Sprich habt ihr Systeme im Einsatz, wo der Zeitstempel elementar wichtig ist (Produktionsdaten, Produktionsstraßen, etc.)?
Gruß,
Dani
Moin,
Was setzt ihr da für Lösungen für NTP im Netzwerk ein?
NTP Appliances von Meinberg und Gude im Einsatz.Wie wichtig ist denn die Zeit? Sprich habt ihr Systeme im Einsatz, wo der Zeitstempel elementar wichtig ist (Produktionsdaten, Produktionsstraßen, etc.)?
Gruß,
Dani
This ... wenn du 2 Zeiterfassungen in Sichtweite hast und diese >2s Zeitdifferenz anzeigen, wirst du lernen, wie schnell Produktionsmitarbeiter Mitgabeln und Fackeln bereithalten .
Eigentlich spielen die verbundenen Systeme eine untergeordnete Rolle, spätestens mit OTP wird das essentiell.
Gruß
@clSchak
Ganz ehrlich: Bei der Fragestellung habe ich zuerst auf den Kalender geschaut, ob heute schon Freitag ist ...
Der TO setzte vorher eine Firewall ein, die sich hinsichtlich der für wichtig gehaltenen Zeit im Internet bediente. Alle anderen in der DMZ und im Intranet bedienten sich bei der Firewall. Das ist bei genauerer Betrachtung kaum anders, als wenn sich die DC's - zumindest einer von ihnen (PDC / FSMO-Master) - direkt im Internet bedienen würde. Jedenfalls hat seine aktuelle Sicherheitsdoktrin mit einer Zeitversorgung übers Internet kein Problem.
Nun steht die Firewall nicht mehr als Zwischenstation zur Verfügung. Na dann holt sich halt ein DC die Zeit für alle anderen eben direkt aus dem Internet. Und wenn es nun unbedingt - aus welchem sachlichen Grund auch immer - doch noch eine Zwischenstation sein soll, ohne dass es die Firewall sein kann, na dann ist(/sind) bereits die logischerweise und vor allem offenkundig auf der Hand liegende(n) Option(en) genannt worden: Irgendeine "Kiste" im Intranet oder in der DMZ muss die frühere Rolle der Firewall als Zwischenstation übernehmen! Freilich kann das auch eine VM sein, wenn das der Sicherheitsdoktrin gerecht wird.
Die Hinweise auf funkgetriebene Real-Time-Hardware-Uhren sind indes nur dann für die Problemlösung des TO relevant, wenn er sich von der bisherigen Zeitversorgung übers Internet vollständig trennen möchte. Das ist aber nach seinen Ausführungen vorerst nicht erkennbar.
Viele Grüße
HansDampf06
Der TO setzte vorher eine Firewall ein, die sich hinsichtlich der für wichtig gehaltenen Zeit im Internet bediente. Alle anderen in der DMZ und im Intranet bedienten sich bei der Firewall. Das ist bei genauerer Betrachtung kaum anders, als wenn sich die DC's - zumindest einer von ihnen (PDC / FSMO-Master) - direkt im Internet bedienen würde. Jedenfalls hat seine aktuelle Sicherheitsdoktrin mit einer Zeitversorgung übers Internet kein Problem.
Nun steht die Firewall nicht mehr als Zwischenstation zur Verfügung. Na dann holt sich halt ein DC die Zeit für alle anderen eben direkt aus dem Internet. Und wenn es nun unbedingt - aus welchem sachlichen Grund auch immer - doch noch eine Zwischenstation sein soll, ohne dass es die Firewall sein kann, na dann ist(/sind) bereits die logischerweise und vor allem offenkundig auf der Hand liegende(n) Option(en) genannt worden: Irgendeine "Kiste" im Intranet oder in der DMZ muss die frühere Rolle der Firewall als Zwischenstation übernehmen! Freilich kann das auch eine VM sein, wenn das der Sicherheitsdoktrin gerecht wird.
Die Hinweise auf funkgetriebene Real-Time-Hardware-Uhren sind indes nur dann für die Problemlösung des TO relevant, wenn er sich von der bisherigen Zeitversorgung übers Internet vollständig trennen möchte. Das ist aber nach seinen Ausführungen vorerst nicht erkennbar.
Viele Grüße
HansDampf06