NTP-Referenzsetup für mittelgroße Netzwerke

der-phil
Goto Top
Hallo!

Eine "richtige" und vor allem "einheitliche" Zeit im Netzwerk wird ja immer wichtiger, da ohnehin alles verschlüsselt wird, etc.

Bisher hatte ich drei VMs, die für mein gemischtes Linux-Windows-Netzwerk mit ca. 600 Clients eine einheitliche Zeit bereitgestellt haben. Diese wiederum haben gegen deutsche Stratum 1 NTP server synchronisiert.


Wie kritisch seht ihr das Thema? Wie löst ihr es?


Die VMs machen mir Bauchweh, was die Zuverlässigkeit der Zeit angeht - genauso, wie RaspberryPis ohne eigene RTC. Entsprechend sehe ich mehrere Optionen:

1. Hardware
3 kleine Serversysteme, die weiterhin nach außen zu NTP-Servern synchronisieren.
--> preiswert, schnell erledigt, keine "Spezialhardware"
--> Zumindest theoretisches Problem durch NTP-Spoofing

2. Hardware
3 eigene Stratum 1 Server betreiben mit GPS/GLONASS/DCF77
--> Deutlich teurer
--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware

3. Irgendein Mix


Wie seht ihr das?

Viele Grüße
Phil

Content-Key: 625191

Url: https://administrator.de/contentid/625191

Ausgedruckt am: 17.08.2022 um 13:08 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.11.2020 um 20:04:31 Uhr
Goto Top
Die VMs machen mir Bauchweh, was die Zuverlässigkeit der Zeit angeht - genauso, wie RaspberryPis ohne eigene RTC. Entsprechend sehe ich mehrere Optionen:

Warum - sind Sie online, sind sie synchronisiert. Sind sie offline - anderes Problem.

Je nach dem, Zentrale Dienste DC, FW, GW...entsprechend ausbringen, gut ist, klappt eigentlich sehr gut.

Grüße
Mitglied: Ad39min
Ad39min 23.11.2020 um 20:05:57 Uhr
Goto Top
Hi,

Zitat von @Der-Phil:

Hallo!

Eine "richtige" und vor allem "einheitliche" Zeit im Netzwerk wird ja immer wichtiger

Ja

da ohnehin alles verschlüsselt wird, etc.

Schön wär's


Bisher hatte ich drei VMs, die für mein gemischtes Linux-Windows-Netzwerk mit ca. 600 Clients eine einheitliche Zeit bereitgestellt haben. Diese wiederum haben gegen deutsche Stratum 1 NTP server synchronisiert.


Wie kritisch seht ihr das Thema? Wie löst ihr es?


Die VMs machen mir Bauchweh, was die Zuverlässigkeit der Zeit angeht - genauso, wie RaspberryPis ohne eigene RTC. Entsprechend sehe ich mehrere Optionen:

1. Hardware
3 kleine Serversysteme, die weiterhin nach außen zu NTP-Servern synchronisieren.
--> preiswert, schnell erledigt, keine "Spezialhardware"
--> Zumindest theoretisches Problem durch NTP-Spoofing

2. Hardware
3 eigene Stratum 1 Server betreiben mit GPS/GLONASS/DCF77
--> Deutlich teurer
--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware

3. Irgendein Mix


Wie seht ihr das?

Viele Grüße
Phil

Ich verwende die Domänencontroller als Zeitserver und bin da wahrscheinlich nicht der Einzigste. Angegeben als Zeitserver wird der FQDN der AD.
Der PDC-Emulator gleicht nach außen hin ab.

Früher hatte ich meine Linux DNS-Server das machen lassen. Den Aufwand treibe ich jedoch nicht mehr.

Gruß
Alex
Mitglied: Inf1d3l
Inf1d3l 23.11.2020 aktualisiert um 21:08:42 Uhr
Goto Top
Ich lasse die interne Firewall die Zeit übers Internet synchen (und nutze sie auch als DNS-Forwarder). Vorteil: die IP ändert sich nie, die des PDC kann sich dagegen ändern. Der PDC syncht mit der Firewall, die DCs mit dem PDC und die Clients mit den DCs. Bei Domain-Membern muss man den Zeitserver nicht angeben.

Siehe auch hier: https://docs.microsoft.com/de-de/windows-server/networking/windows-time- ...

Wenn der Computer ein Mitgliedsserver oder eine Arbeitsstation in einer Domäne ist, durchläuft er standardmäßig die AD DS-Hierarchie und synchronisiert seine Zeit mit einem Domänencontroller in seiner lokalen Domäne, auf dem derzeit der Windows-Zeitdienst ausgeführt wird.
Mitglied: Dani
Dani 23.11.2020 um 21:12:11 Uhr
Goto Top
Moin,
Bisher hatte ich drei VMs, die für mein gemischtes Linux-Windows-Netzwerk mit ca. 600 Clients eine einheitliche Zeit bereitgestellt haben
Wie viele Clients bleiben übrig, wenn du die Geräte, welcher Mitglied einer Windows Domäne sind, abziehst? Es geht mir dabei um die potenzielle Anzahl der NTP Clients.

Wie kritisch seht ihr das Thema?
Bei uns je nach Netzwerkbereich (un)kritisch.

Wie löst ihr es?
NTP Zeitserver - GPS bzw. DCF77.

--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware
Wo hast du die Information her bzw. gelesen?


Gruß,
Dani
Mitglied: Der-Phil
Der-Phil 23.11.2020 aktualisiert um 22:03:03 Uhr
Goto Top
Zitat von @Dani:
Wie löst ihr es?
NTP Zeitserver - GPS bzw. DCF77.
Bist Du weiterhin zufrieden mit Deinen Appliances? Welche nutzt Du? Ist zufällig die Gude 3011 dabei?

--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware
Wo hast du die Information her bzw. gelesen?
Diese Unterstellung war nicht fundiert. Ich habe einfach immer das Gefühl, jedes Standard Windows/Linux-System hat weniger Sicherheitslücken, als Embedded-Geräte, die dann unbekannte Komponenten nutzen.

Ca 2/3 der Systeme sind Windows-Systeme, aber auch der PDC benötigt ja eine sichere Zeitquelle.
Mitglied: Der-Phil
Der-Phil 23.11.2020 um 22:04:10 Uhr
Goto Top
Zitat von @Inf1d3l:
Siehe auch hier: https://docs.microsoft.com/de-de/windows-server/networking/windows-time- ...

Wenn der Computer ein Mitgliedsserver oder eine Arbeitsstation in einer Domäne ist, durchläuft er standardmäßig die AD DS-Hierarchie und synchronisiert seine Zeit mit einem Domänencontroller in seiner lokalen Domäne, auf dem derzeit der Windows-Zeitdienst ausgeführt wird.

Die Hierarchien sind mir bekannt. Es geht mir jedoch um die zentrale Quelle für das Netzwerk. Wenn der DC als NTP-Server fungiert, aber dann aus externen Quellen die Zeit bezieht, würde er ja auch eine falsche Zeit "verteilen".
Mitglied: 142583
142583 23.11.2020 aktualisiert um 22:23:27 Uhr
Goto Top
Wir haben in jeder Zeitzone Meinberg Uhren.

Hintergrund war, den SPSen die lokale Zeit zur Verfügung zu stellen und die Programmierer davon zu befreien, dass sie für ihre SPSen jeweils Code diesbezüglich schreiben müssen.

Das läuft nun seit 2009 fehlerfrei für tausende SPSen.

Sync wird in Europa über DCF77 gemacht und über GPS. USA, Afrika und China nur über GPS.

Die zivile Welt bekommt ihre Zeit von den DCs. Diese synchronisieren gegen Google NTP.
Mitglied: Der-Phil
Der-Phil 23.11.2020 um 22:20:00 Uhr
Goto Top
Zitat von @142583:
Sync wird in Europa über DCF77 gemacht über GPS. USA, Afrika und China nur über GPS.

Die zivile Welt bekommt ihre Zeit von den DCs. Diese synchronisieren gegen Google NTP.
Meinberg scheint ja der "Quasi-Standard" zu sein. Gibt es einen Grund, dass Du die DCs nicht gegen die Meinberg-Appliances synchronisierst, oder ist das nur eine Compliance-Thematik?
Mitglied: 142583
142583 23.11.2020 um 22:23:03 Uhr
Goto Top
Die Meinbergs Stellen die gespoofte lokale Zeit "fertig" zur Verfügung. Damit wären die DCs jetzt zwei Stunden daneben.
Mitglied: Dani
Dani 24.11.2020 um 00:22:07 Uhr
Goto Top
Moin,
Bist Du weiterhin zufrieden mit Deinen Appliances?
ich gehe davon aus. Bis dato von dem zuständigen als auch von den abhängigen Betriebteams keine negative Rückmeldung erhalten.

Welche nutzt Du? Ist zufällig die Gude 3011 dabei?
Wir haben wie im verlinkten Beitrag verschiedene Hersteller und Modelle im Einsatz. Die genauen Modellen müsste ich erfragen.


Gruß,
dani