NTP-Referenzsetup für mittelgroße Netzwerke

Mitglied: Der-Phil

Der-Phil (Level 3) - Jetzt verbinden

23.11.2020 um 19:51 Uhr, 532 Aufrufe, 10 Kommentare

Hallo!

Eine "richtige" und vor allem "einheitliche" Zeit im Netzwerk wird ja immer wichtiger, da ohnehin alles verschlüsselt wird, etc.

Bisher hatte ich drei VMs, die für mein gemischtes Linux-Windows-Netzwerk mit ca. 600 Clients eine einheitliche Zeit bereitgestellt haben. Diese wiederum haben gegen deutsche Stratum 1 NTP server synchronisiert.


Wie kritisch seht ihr das Thema? Wie löst ihr es?


Die VMs machen mir Bauchweh, was die Zuverlässigkeit der Zeit angeht - genauso, wie RaspberryPis ohne eigene RTC. Entsprechend sehe ich mehrere Optionen:

1. Hardware
3 kleine Serversysteme, die weiterhin nach außen zu NTP-Servern synchronisieren.
--> preiswert, schnell erledigt, keine "Spezialhardware"
--> Zumindest theoretisches Problem durch NTP-Spoofing

2. Hardware
3 eigene Stratum 1 Server betreiben mit GPS/GLONASS/DCF77
--> Deutlich teurer
--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware

3. Irgendein Mix


Wie seht ihr das?

Viele Grüße
Phil
Mitglied: certifiedit.net
23.11.2020 um 20:04 Uhr
Die VMs machen mir Bauchweh, was die Zuverlässigkeit der Zeit angeht - genauso, wie RaspberryPis ohne eigene RTC. Entsprechend sehe ich mehrere Optionen:

Warum - sind Sie online, sind sie synchronisiert. Sind sie offline - anderes Problem.

Je nach dem, Zentrale Dienste DC, FW, GW...entsprechend ausbringen, gut ist, klappt eigentlich sehr gut.

Grüße
Bitte warten ..
Mitglied: Ad39min
23.11.2020 um 20:05 Uhr
Hi,

Zitat von Der-Phil:

Hallo!

Eine "richtige" und vor allem "einheitliche" Zeit im Netzwerk wird ja immer wichtiger

Ja

da ohnehin alles verschlüsselt wird, etc.

Schön wär's


Bisher hatte ich drei VMs, die für mein gemischtes Linux-Windows-Netzwerk mit ca. 600 Clients eine einheitliche Zeit bereitgestellt haben. Diese wiederum haben gegen deutsche Stratum 1 NTP server synchronisiert.


Wie kritisch seht ihr das Thema? Wie löst ihr es?


Die VMs machen mir Bauchweh, was die Zuverlässigkeit der Zeit angeht - genauso, wie RaspberryPis ohne eigene RTC. Entsprechend sehe ich mehrere Optionen:

1. Hardware
3 kleine Serversysteme, die weiterhin nach außen zu NTP-Servern synchronisieren.
--> preiswert, schnell erledigt, keine "Spezialhardware"
--> Zumindest theoretisches Problem durch NTP-Spoofing

2. Hardware
3 eigene Stratum 1 Server betreiben mit GPS/GLONASS/DCF77
--> Deutlich teurer
--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware

3. Irgendein Mix


Wie seht ihr das?

Viele Grüße
Phil

Ich verwende die Domänencontroller als Zeitserver und bin da wahrscheinlich nicht der Einzigste. Angegeben als Zeitserver wird der FQDN der AD.
Der PDC-Emulator gleicht nach außen hin ab.

Früher hatte ich meine Linux DNS-Server das machen lassen. Den Aufwand treibe ich jedoch nicht mehr.

Gruß
Alex
Bitte warten ..
Mitglied: Luci0815
23.11.2020, aktualisiert um 21:08 Uhr
Ich lasse die interne Firewall die Zeit übers Internet synchen (und nutze sie auch als DNS-Forwarder). Vorteil: die IP ändert sich nie, die des PDC kann sich dagegen ändern. Der PDC syncht mit der Firewall, die DCs mit dem PDC und die Clients mit den DCs. Bei Domain-Membern muss man den Zeitserver nicht angeben.

Siehe auch hier: https://docs.microsoft.com/de-de/windows-server/networking/windows-time- ...

Wenn der Computer ein Mitgliedsserver oder eine Arbeitsstation in einer Domäne ist, durchläuft er standardmäßig die AD DS-Hierarchie und synchronisiert seine Zeit mit einem Domänencontroller in seiner lokalen Domäne, auf dem derzeit der Windows-Zeitdienst ausgeführt wird.
Bitte warten ..
Mitglied: Dani
23.11.2020 um 21:12 Uhr
Moin,
Bisher hatte ich drei VMs, die für mein gemischtes Linux-Windows-Netzwerk mit ca. 600 Clients eine einheitliche Zeit bereitgestellt haben
Wie viele Clients bleiben übrig, wenn du die Geräte, welcher Mitglied einer Windows Domäne sind, abziehst? Es geht mir dabei um die potenzielle Anzahl der NTP Clients.

Wie kritisch seht ihr das Thema?
Bei uns je nach Netzwerkbereich (un)kritisch.

Wie löst ihr es?
NTP Zeitserver - GPS bzw. DCF77.

--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware
Wo hast du die Information her bzw. gelesen?


Gruß,
Dani
Bitte warten ..
Mitglied: Der-Phil
23.11.2020, aktualisiert um 22:03 Uhr
Zitat von Dani:
Wie löst ihr es?
NTP Zeitserver - GPS bzw. DCF77.
Bist Du weiterhin zufrieden mit Deinen Appliances? Welche nutzt Du? Ist zufällig die Gude 3011 dabei?

--> Irgendwelche Embedded-Systeme mit fragwürdiger Firmware
Wo hast du die Information her bzw. gelesen?
Diese Unterstellung war nicht fundiert. Ich habe einfach immer das Gefühl, jedes Standard Windows/Linux-System hat weniger Sicherheitslücken, als Embedded-Geräte, die dann unbekannte Komponenten nutzen.

Ca 2/3 der Systeme sind Windows-Systeme, aber auch der PDC benötigt ja eine sichere Zeitquelle.
Bitte warten ..
Mitglied: Der-Phil
23.11.2020 um 22:04 Uhr
Zitat von Luci0815:
Siehe auch hier: https://docs.microsoft.com/de-de/windows-server/networking/windows-time- ...

Wenn der Computer ein Mitgliedsserver oder eine Arbeitsstation in einer Domäne ist, durchläuft er standardmäßig die AD DS-Hierarchie und synchronisiert seine Zeit mit einem Domänencontroller in seiner lokalen Domäne, auf dem derzeit der Windows-Zeitdienst ausgeführt wird.

Die Hierarchien sind mir bekannt. Es geht mir jedoch um die zentrale Quelle für das Netzwerk. Wenn der DC als NTP-Server fungiert, aber dann aus externen Quellen die Zeit bezieht, würde er ja auch eine falsche Zeit "verteilen".
Bitte warten ..
Mitglied: IT-Prof
23.11.2020, aktualisiert um 22:23 Uhr
Wir haben in jeder Zeitzone Meinberg Uhren.

Hintergrund war, den SPSen die lokale Zeit zur Verfügung zu stellen und die Programmierer davon zu befreien, dass sie für ihre SPSen jeweils Code diesbezüglich schreiben müssen.

Das läuft nun seit 2009 fehlerfrei für tausende SPSen.

Sync wird in Europa über DCF77 gemacht und über GPS. USA, Afrika und China nur über GPS.

Die zivile Welt bekommt ihre Zeit von den DCs. Diese synchronisieren gegen Google NTP.
Bitte warten ..
Mitglied: Der-Phil
23.11.2020 um 22:20 Uhr
Zitat von IT-Prof:
Sync wird in Europa über DCF77 gemacht über GPS. USA, Afrika und China nur über GPS.

Die zivile Welt bekommt ihre Zeit von den DCs. Diese synchronisieren gegen Google NTP.
Meinberg scheint ja der "Quasi-Standard" zu sein. Gibt es einen Grund, dass Du die DCs nicht gegen die Meinberg-Appliances synchronisierst, oder ist das nur eine Compliance-Thematik?
Bitte warten ..
Mitglied: IT-Prof
23.11.2020 um 22:23 Uhr
Die Meinbergs Stellen die gespoofte lokale Zeit "fertig" zur Verfügung. Damit wären die DCs jetzt zwei Stunden daneben.
Bitte warten ..
Mitglied: Dani
24.11.2020 um 00:22 Uhr
Moin,
Bist Du weiterhin zufrieden mit Deinen Appliances?
ich gehe davon aus. Bis dato von dem zuständigen als auch von den abhängigen Betriebteams keine negative Rückmeldung erhalten.

Welche nutzt Du? Ist zufällig die Gude 3011 dabei?
Wir haben wie im verlinkten Beitrag verschiedene Hersteller und Modelle im Einsatz. Die genauen Modellen müsste ich erfragen.


Gruß,
dani
Bitte warten ..
Heiß diskutierte Inhalte
Internet
Kein Internet nach Windows 2019 Server Installation
gelöst ZygmundVor 1 TagFrageInternet25 Kommentare

Computer : HP ProLiant DL580 Gen7 , 4x CPU , 16 GB ECC Ram, 1 TB SAS Installation von - Windows 8 Server - ...

Windows 10
Vom Homeoffice auf lokale Dateien zugreifen
SayllesVor 1 TagFrageWindows 106 Kommentare

Guten Morgen, meine Frau ist im Homeoffice, ihr Arbeitgeber stellt ihr einen Access der unter Server 2016 lauft zur Verfügung. Dieser Remote zugriff funktioniert ...

Windows Server
GPO verschieben von Benutzern
gelöst AnGi1964Vor 1 TagFrageWindows Server10 Kommentare

Hallo in die Runde! Ich habe als Neuling hier gleich 2 Fragen und hoffe, das mir geholfen werden kann. 1. Ich habe bei einem ...

Outlook & Mail
Outlook 2019 stürzt bei Erhalt von Besprechungsanfrage ab
gelöst PhiltaerVor 1 TagFrageOutlook & Mail17 Kommentare

Hallo, ich habe ein ganz merkwürdiges Problem. Outlook 2019 stürzt beim Erhalt von Emails die Besprechungsanfragen enthält ab. Das Programm friert ein mit "Reagiert ...

Firewall
Kennt jemand Forcepoint Firewalls oder setzt diese sogar ein?
ZeroTrustVor 1 TagFrageFirewall2 Kommentare

Ich wäre interessiert an User Meinungen über diese Firewall Lösungen. Kenne ich absolut nicht und habe auch noch nie davon gehört, geschweige jemals damit ...

Router & Routing
Router Firewall gesucht
HamBamVor 1 TagFrageRouter & Routing9 Kommentare

Hallo zusammen, ich schaue mich für die Firma aktuell nach neuen Routern für unsere Außenstellen um. Aktuell haben wir da diese silbernen, bei Administratoren ...

Windows Server
Server 2019 - VM (DC) hängt sporadisch
zer0g2224Vor 1 TagFrageWindows Server13 Kommentare

Hallo liebe Kolleginnen und Kollegen, ich habe mal wieder eine Frage zu einem Problem: Eine VM (DC) bleibt im Betrieb sporadisch "hängen". Das äußert ...

Server-Hardware
MacOS Netzwerk für Kreativagentur
phil2goldVor 1 TagFrageServer-Hardware7 Kommentare

Grüße euch! Ich habe eine Kreativagentur, die überwiegend Social Media Content und Werbefilme produziert. In unserem neuen Büro möchte ich ein Netzwerk einrichten, in ...