10
NTP-Referenzsetup für mittelgroße Netzwerke
Hallo!
Eine "richtige" und vor allem "einheitliche" Zeit im Netzwerk wird ja immer wichtiger, da ohnehin alles verschlüsselt wird, etc.
Bisher hatte ich drei VMs, die für mein gemischtes Linux-Windows-Netzwerk mit ca. 600 Clients eine einheitliche Zeit bereitgestellt haben. Diese wiederum haben gegen deutsche Stratum 1 NTP server synchronisiert.
Wie kritisch seht ihr das Thema? Wie löst ihr es?
Die VMs machen mir Bauchweh, was die Zuverlässigkeit der Zeit angeht - genauso, wie RaspberryPis ohne eigene RTC. Entsprechend sehe ich mehrere Optionen:
1. Hardware
3 kleine Serversysteme, die weiterhin nach außen zu NTP-Servern synchronisieren.
--> preiswert, schnell erledigt, keine "Spezialhardware"
--> Zumindest theoretisches Problem durch NTP-Spoofing
2. Hardware
3 eigene Stratum 1 Server betreiben mit GPS/GLONASS/DCF77
--> Deutlich teurer
--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware
3. Irgendein Mix
Wie seht ihr das?
Viele Grüße
Phil
Eine "richtige" und vor allem "einheitliche" Zeit im Netzwerk wird ja immer wichtiger, da ohnehin alles verschlüsselt wird, etc.
Bisher hatte ich drei VMs, die für mein gemischtes Linux-Windows-Netzwerk mit ca. 600 Clients eine einheitliche Zeit bereitgestellt haben. Diese wiederum haben gegen deutsche Stratum 1 NTP server synchronisiert.
Wie kritisch seht ihr das Thema? Wie löst ihr es?
Die VMs machen mir Bauchweh, was die Zuverlässigkeit der Zeit angeht - genauso, wie RaspberryPis ohne eigene RTC. Entsprechend sehe ich mehrere Optionen:
1. Hardware
3 kleine Serversysteme, die weiterhin nach außen zu NTP-Servern synchronisieren.
--> preiswert, schnell erledigt, keine "Spezialhardware"
--> Zumindest theoretisches Problem durch NTP-Spoofing
2. Hardware
3 eigene Stratum 1 Server betreiben mit GPS/GLONASS/DCF77
--> Deutlich teurer
--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware
3. Irgendein Mix
Wie seht ihr das?
Viele Grüße
Phil
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 625191
Url: https://administrator.de/forum/ntp-referenzsetup-fuer-mittelgrosse-netzwerke-625191.html
Ausgedruckt am: 02.04.2025 um 11:04 Uhr
10 Kommentare
Neuester Kommentar
Die VMs machen mir Bauchweh, was die Zuverlässigkeit der Zeit angeht - genauso, wie RaspberryPis ohne eigene RTC. Entsprechend sehe ich mehrere Optionen:
Warum - sind Sie online, sind sie synchronisiert. Sind sie offline - anderes Problem.
Je nach dem, Zentrale Dienste DC, FW, GW...entsprechend ausbringen, gut ist, klappt eigentlich sehr gut.
Grüße
Hi,
Ja
Schön wär's
Bisher hatte ich drei VMs, die für mein gemischtes Linux-Windows-Netzwerk mit ca. 600 Clients eine einheitliche Zeit bereitgestellt haben. Diese wiederum haben gegen deutsche Stratum 1 NTP server synchronisiert.
Wie kritisch seht ihr das Thema? Wie löst ihr es?
Die VMs machen mir Bauchweh, was die Zuverlässigkeit der Zeit angeht - genauso, wie RaspberryPis ohne eigene RTC. Entsprechend sehe ich mehrere Optionen:
1. Hardware
3 kleine Serversysteme, die weiterhin nach außen zu NTP-Servern synchronisieren.
--> preiswert, schnell erledigt, keine "Spezialhardware"
--> Zumindest theoretisches Problem durch NTP-Spoofing
2. Hardware
3 eigene Stratum 1 Server betreiben mit GPS/GLONASS/DCF77
--> Deutlich teurer
--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware
3. Irgendein Mix
Wie seht ihr das?
Viele Grüße
Phil
Ich verwende die Domänencontroller als Zeitserver und bin da wahrscheinlich nicht der Einzigste. Angegeben als Zeitserver wird der FQDN der AD.
Der PDC-Emulator gleicht nach außen hin ab.
Früher hatte ich meine Linux DNS-Server das machen lassen. Den Aufwand treibe ich jedoch nicht mehr.
Gruß
Alex
Zitat von @Der-Phil:
Hallo!
Eine "richtige" und vor allem "einheitliche" Zeit im Netzwerk wird ja immer wichtiger
Hallo!
Eine "richtige" und vor allem "einheitliche" Zeit im Netzwerk wird ja immer wichtiger
Ja
da ohnehin alles verschlüsselt wird, etc.
Schön wär's
Bisher hatte ich drei VMs, die für mein gemischtes Linux-Windows-Netzwerk mit ca. 600 Clients eine einheitliche Zeit bereitgestellt haben. Diese wiederum haben gegen deutsche Stratum 1 NTP server synchronisiert.
Wie kritisch seht ihr das Thema? Wie löst ihr es?
Die VMs machen mir Bauchweh, was die Zuverlässigkeit der Zeit angeht - genauso, wie RaspberryPis ohne eigene RTC. Entsprechend sehe ich mehrere Optionen:
1. Hardware
3 kleine Serversysteme, die weiterhin nach außen zu NTP-Servern synchronisieren.
--> preiswert, schnell erledigt, keine "Spezialhardware"
--> Zumindest theoretisches Problem durch NTP-Spoofing
2. Hardware
3 eigene Stratum 1 Server betreiben mit GPS/GLONASS/DCF77
--> Deutlich teurer
--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware
3. Irgendein Mix
Wie seht ihr das?
Viele Grüße
Phil
Ich verwende die Domänencontroller als Zeitserver und bin da wahrscheinlich nicht der Einzigste. Angegeben als Zeitserver wird der FQDN der AD.
Der PDC-Emulator gleicht nach außen hin ab.
Früher hatte ich meine Linux DNS-Server das machen lassen. Den Aufwand treibe ich jedoch nicht mehr.
Gruß
Alex
Ich lasse die interne Firewall die Zeit übers Internet synchen (und nutze sie auch als DNS-Forwarder). Vorteil: die IP ändert sich nie, die des PDC kann sich dagegen ändern. Der PDC syncht mit der Firewall, die DCs mit dem PDC und die Clients mit den DCs. Bei Domain-Membern muss man den Zeitserver nicht angeben.
Siehe auch hier: https://docs.microsoft.com/de-de/windows-server/networking/windows-time- ...
Wenn der Computer ein Mitgliedsserver oder eine Arbeitsstation in einer Domäne ist, durchläuft er standardmäßig die AD DS-Hierarchie und synchronisiert seine Zeit mit einem Domänencontroller in seiner lokalen Domäne, auf dem derzeit der Windows-Zeitdienst ausgeführt wird.
Siehe auch hier: https://docs.microsoft.com/de-de/windows-server/networking/windows-time- ...
Wenn der Computer ein Mitgliedsserver oder eine Arbeitsstation in einer Domäne ist, durchläuft er standardmäßig die AD DS-Hierarchie und synchronisiert seine Zeit mit einem Domänencontroller in seiner lokalen Domäne, auf dem derzeit der Windows-Zeitdienst ausgeführt wird.
Moin,
Gruß,
Dani
Bisher hatte ich drei VMs, die für mein gemischtes Linux-Windows-Netzwerk mit ca. 600 Clients eine einheitliche Zeit bereitgestellt haben
Wie viele Clients bleiben übrig, wenn du die Geräte, welcher Mitglied einer Windows Domäne sind, abziehst? Es geht mir dabei um die potenzielle Anzahl der NTP Clients. Wie kritisch seht ihr das Thema?
Bei uns je nach Netzwerkbereich (un)kritisch.Wie löst ihr es?
NTP Zeitserver - GPS bzw. DCF77. --> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware
Wo hast du die Information her bzw. gelesen?Gruß,
Dani
Bist Du weiterhin zufrieden mit Deinen Appliances? Welche nutzt Du? Ist zufällig die Gude 3011 dabei?
Diese Unterstellung war nicht fundiert. Ich habe einfach immer das Gefühl, jedes Standard Windows/Linux-System hat weniger Sicherheitslücken, als Embedded-Geräte, die dann unbekannte Komponenten nutzen.
Ca 2/3 der Systeme sind Windows-Systeme, aber auch der PDC benötigt ja eine sichere Zeitquelle.
--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware
Wo hast du die Information her bzw. gelesen?Ca 2/3 der Systeme sind Windows-Systeme, aber auch der PDC benötigt ja eine sichere Zeitquelle.
Zitat von @Inf1d3l:
Siehe auch hier: https://docs.microsoft.com/de-de/windows-server/networking/windows-time- ...
Wenn der Computer ein Mitgliedsserver oder eine Arbeitsstation in einer Domäne ist, durchläuft er standardmäßig die AD DS-Hierarchie und synchronisiert seine Zeit mit einem Domänencontroller in seiner lokalen Domäne, auf dem derzeit der Windows-Zeitdienst ausgeführt wird.
Siehe auch hier: https://docs.microsoft.com/de-de/windows-server/networking/windows-time- ...
Wenn der Computer ein Mitgliedsserver oder eine Arbeitsstation in einer Domäne ist, durchläuft er standardmäßig die AD DS-Hierarchie und synchronisiert seine Zeit mit einem Domänencontroller in seiner lokalen Domäne, auf dem derzeit der Windows-Zeitdienst ausgeführt wird.
Die Hierarchien sind mir bekannt. Es geht mir jedoch um die zentrale Quelle für das Netzwerk. Wenn der DC als NTP-Server fungiert, aber dann aus externen Quellen die Zeit bezieht, würde er ja auch eine falsche Zeit "verteilen".
Wir haben in jeder Zeitzone Meinberg Uhren.
Hintergrund war, den SPSen die lokale Zeit zur Verfügung zu stellen und die Programmierer davon zu befreien, dass sie für ihre SPSen jeweils Code diesbezüglich schreiben müssen.
Das läuft nun seit 2009 fehlerfrei für tausende SPSen.
Sync wird in Europa über DCF77 gemacht und über GPS. USA, Afrika und China nur über GPS.
Die zivile Welt bekommt ihre Zeit von den DCs. Diese synchronisieren gegen Google NTP.
Hintergrund war, den SPSen die lokale Zeit zur Verfügung zu stellen und die Programmierer davon zu befreien, dass sie für ihre SPSen jeweils Code diesbezüglich schreiben müssen.
Das läuft nun seit 2009 fehlerfrei für tausende SPSen.
Sync wird in Europa über DCF77 gemacht und über GPS. USA, Afrika und China nur über GPS.
Die zivile Welt bekommt ihre Zeit von den DCs. Diese synchronisieren gegen Google NTP.
Zitat von @142583:
Sync wird in Europa über DCF77 gemacht über GPS. USA, Afrika und China nur über GPS.
Die zivile Welt bekommt ihre Zeit von den DCs. Diese synchronisieren gegen Google NTP.
Meinberg scheint ja der "Quasi-Standard" zu sein. Gibt es einen Grund, dass Du die DCs nicht gegen die Meinberg-Appliances synchronisierst, oder ist das nur eine Compliance-Thematik?Sync wird in Europa über DCF77 gemacht über GPS. USA, Afrika und China nur über GPS.
Die zivile Welt bekommt ihre Zeit von den DCs. Diese synchronisieren gegen Google NTP.
Die Meinbergs Stellen die gespoofte lokale Zeit "fertig" zur Verfügung. Damit wären die DCs jetzt zwei Stunden daneben.
Moin,
Gruß,
dani
Bist Du weiterhin zufrieden mit Deinen Appliances?
ich gehe davon aus. Bis dato von dem zuständigen als auch von den abhängigen Betriebteams keine negative Rückmeldung erhalten.Welche nutzt Du? Ist zufällig die Gude 3011 dabei?
Wir haben wie im verlinkten Beitrag verschiedene Hersteller und Modelle im Einsatz. Die genauen Modellen müsste ich erfragen.Gruß,
dani
