Zeit Phänomen, haben wir hier das erste Wurmloch gefunden?
Moin Zusammen,
ich wurde soeben von einem Administrator angerufen, der schon seit Tagen ein Problem mit der Synchronisation der Systemzeiten hat.
Als er mir das erste Mal sein Problem geschildert hat, dachte ich zuerst, dass der Gute vielleicht das falsche Kraut vorher geraucht haben könnte.
Jedoch hat mich eine Teamviewersitzung gerade selbst einen guten Schock verpasst.
Siehe folgendes Video
https://youtu.be/GUwaINxNhpw
Links ist Domänencontroller 1 und rechts ist Domänencontroller 2.
Wie kann den so etwas passieren? 🤨🤔
Grüsse aus BaWü
Alex
P.S. Beide DCs sind virtualisiert und laufen aktuell sogar auf demselben Hyper-V Host.
ich wurde soeben von einem Administrator angerufen, der schon seit Tagen ein Problem mit der Synchronisation der Systemzeiten hat.
Als er mir das erste Mal sein Problem geschildert hat, dachte ich zuerst, dass der Gute vielleicht das falsche Kraut vorher geraucht haben könnte.
Jedoch hat mich eine Teamviewersitzung gerade selbst einen guten Schock verpasst.
Siehe folgendes Video
https://youtu.be/GUwaINxNhpw
Links ist Domänencontroller 1 und rechts ist Domänencontroller 2.
Wie kann den so etwas passieren? 🤨🤔
Grüsse aus BaWü
Alex
P.S. Beide DCs sind virtualisiert und laufen aktuell sogar auf demselben Hyper-V Host.
Please also mark the comments that contributed to the solution of the article
Content-ID: 621128
Url: https://administrator.de/contentid/621128
Printed on: October 9, 2024 at 22:10 o'clock
47 Comments
Latest comment
Naja das erste was ich mal als Referenz tauschen würde ist der Browser, der IE ist doch kaum noch von Webseiten vernünftig supported da würde mich so ein Bug ehrlich gesagt auch nicht wundern ...
der schon seit Tagen ein Problem mit der Synchronisation der Systemzeiten hat.
HyperV-Host-Sync der Zeiten auch sicher abgeschaltet?
Moin,
da hat Dich einer genatzt. Beim linken wurde der Refresh ausgeschaltet. Der rechte holt sich die Seite beim Reload erst aus dem Cache und macht dann den Refresh.
Liebe Grüße
Erik
<edit>Ich konnte das reproduzieren sogar in ein und demselben Browser. Man muss nur schnell genug beim Reload auf das Kreuz "Laden abbrechen" klicken. Offenbar wird erst GMT angezeigt und erst kurz danach die Zeit der Zeitzone des Rechners. Nach dem Abbruch läuft die Uhr nicht weiter.</edit>
da hat Dich einer genatzt. Beim linken wurde der Refresh ausgeschaltet. Der rechte holt sich die Seite beim Reload erst aus dem Cache und macht dann den Refresh.
Liebe Grüße
Erik
<edit>Ich konnte das reproduzieren sogar in ein und demselben Browser. Man muss nur schnell genug beim Reload auf das Kreuz "Laden abbrechen" klicken. Offenbar wird erst GMT angezeigt und erst kurz danach die Zeit der Zeitzone des Rechners. Nach dem Abbruch läuft die Uhr nicht weiter.</edit>
nun gegen den Zeitdrift ist das Kraut des NTP Servers gewachsen, und wer Angst vor gefakten NTP Zeiten hat oder schwankende Latenzen zum NTP Server zum Problem werden, gibts externe DCF77 Funkuhrmodule über die eine sehr exakte Zeit kommt.
Das Problem war bekannt, speziell bei vielen AMD CPUs, daß manchmal die Uhr auf einem Thread schneller läuft wie auf einem anderen Thread. Es kann aber auch von ungenauen Systemtakten am Mainboard kommen, denn EIGENTLICH sind Zeitdrifts seit 10 Jahren auf aktueller Hardware kein Thema mehr. Daß mal ein Server nach einem Monat ohne NTP Kontakt ein paar Minuten falsch geht, ist normal speziell bei sehr ungleichmäßiger Last.
Das Problem war bekannt, speziell bei vielen AMD CPUs, daß manchmal die Uhr auf einem Thread schneller läuft wie auf einem anderen Thread. Es kann aber auch von ungenauen Systemtakten am Mainboard kommen, denn EIGENTLICH sind Zeitdrifts seit 10 Jahren auf aktueller Hardware kein Thema mehr. Daß mal ein Server nach einem Monat ohne NTP Kontakt ein paar Minuten falsch geht, ist normal speziell bei sehr ungleichmäßiger Last.
Hallo,
Nee, normalerweise bekommen alle Domänenmember und alle DCs folgendes:
und nur der PDC bekommt
Wir machen das über GPO mit WMI-filtern für die PDC-Rolle, da stimmts dann auch bei Rollentransfers.
Grüße
lcer
Zitat von @MysticFoxDE:
habe bei beiden DCs schon x Mal die NTP Konfiguration laut der folgenden Dokumentation reingeklopft.
https://docs.microsoft.com/en-us/windows-server/networking/windows-time- ...
Dafür verwende ich normalerweise den folgenden Befehl
habe bei beiden DCs schon x Mal die NTP Konfiguration laut der folgenden Dokumentation reingeklopft.
https://docs.microsoft.com/en-us/windows-server/networking/windows-time- ...
Dafür verwende ich normalerweise den folgenden Befehl
> w32tm /config /manualpeerlist:"ptbtime1.ptb.de ptbtime2.ptb.de ptbtime3.ptb.de" /syncfromflags:manual /update
> net stop w32time
> net start w32time
>
Nee, normalerweise bekommen alle Domänenmember und alle DCs folgendes:
... /syncfromflags:domhier
... /syncfromflags:manual /reliable:yes
Wir machen das über GPO mit WMI-filtern für die PDC-Rolle, da stimmts dann auch bei Rollentransfers.
Grüße
lcer
Hallo
Grüße
lcer
Zitat von @MysticFoxDE:
ich würde weder das eine als falsch betrachten noch das andere, sondern eher als so ne Art Glaubensfrage. 🙃
Mann kann natürlich den PDC nach aussen synchronisieren und alle anderen DCs gegen diesen fahren.
Eine Glaubensfrage wäre es, sich zwischen Linux und Microsoft oder zwischen Macbook und Surface zu entscheiden.ich würde weder das eine als falsch betrachten noch das andere, sondern eher als so ne Art Glaubensfrage. 🙃
Mann kann natürlich den PDC nach aussen synchronisieren und alle anderen DCs gegen diesen fahren.
Aber es spricht auch nichts dagegen, dass sich jeder DC für sich nach aussen synchronisiert, vor allem wenn es dieselbe Zeitquelle ist.
Vor allem, dass es nicht Best-Practice von Microsoft (welches das Betriebssystem deiner DCs herstellt) ist. Und wenn Dein herangehen korrekt wäre, gäbe es vermutlich dieses Thread nicht.Grüße
lcer
Zitat von @MysticFoxDE:
da muss ich dir widersprechen, ist derselbe Webserver, schau dir das Video genauer an. 😉
Ja und? Was habe ich geschrieben? Schau Dir meinen Kommentar genauer an. da muss ich dir widersprechen, ist derselbe Webserver, schau dir das Video genauer an. 😉
Es sind 2 verschiedene URL. So blind kann ich gar nicht sein.
Einmal
und einmal
Weiterhin sagt uns doch schon allein der Inhalt, dass das zwei verschiedene Seiten sind.
Edit:
Die Atomuhr wird GMT +-0 anzeigen, die "Uhrzeit" die lokal gerade gültige, hier wohl GMT +1.
Das wäre dann "nur" ein Fehler im Text der betreffenden Dokumente.
Einmal
und einmal
Weiterhin sagt uns doch schon allein der Inhalt, dass das zwei verschiedene Seiten sind.
Edit:
Die Atomuhr wird GMT +-0 anzeigen, die "Uhrzeit" die lokal gerade gültige, hier wohl GMT +1.
Das wäre dann "nur" ein Fehler im Text der betreffenden Dokumente.
Zitat von @MysticFoxDE:
Das sind 2 verschiedene URL und auch 2 verschiedene Webseiten. Also vergleichst Du da per se schon mal Äpfel mit Birnen.
https://de.wikipedia.org/wiki/Uniform_Resource_Locator
https://tools.ietf.org/html/rfc3986
Grüße
lcer
Hallo,
Grüße
lcer
Zitat von @emeriks:
Na da kann man lesen, wo eine URL beginnt und wo sie endet. Lesen muss es der TO selbst.Zitat von @lcer00:
https://de.wikipedia.org/wiki/Uniform_Resource_Locator
https://tools.ietf.org/html/rfc3986
Ja, und?https://de.wikipedia.org/wiki/Uniform_Resource_Locator
https://tools.ietf.org/html/rfc3986
Grüße
lcer
Zitat von @MysticFoxDE:
Vor allem, dass es nicht Best-Practice von Microsoft (welches das Betriebssystem deiner DCs herstellt) ist.
Microsoft und Best-Practice, nice, der war heute bisher der Beste. 😂🤣😂🤣
Sachliche Diskussionen sind die Besten! Aber zumindest mit Smileys kennst Du Dich ja aus.Vor allem, dass es nicht Best-Practice von Microsoft (welches das Betriebssystem deiner DCs herstellt) ist.
Microsoft und Best-Practice, nice, der war heute bisher der Beste. 😂🤣😂🤣
Deshalb müssen andere und auch ich, MS ständig hinterherrennen, damit die Ihren vermurksten Dokumentationen richtigstellen.
Nun, Microsoft empfiehlt mindestens seit Server 2008, die Zeitsynchronisation über die Domänenhierachie laufen zu lassen. Etwas anders kann ich keinem Artikel von MS entnehmen. Du darfst gerne bei einem Artikel aus 2007 anfangen: https://docs.microsoft.com/de-de/archive/blogs/w32time/what-is-windows-t ... Die manuelle Synchronisation ist für Maschinen vorgesehen, die die Domänensynchronisation nicht nutzen können.Und bevor du jetzt zu voreilig antwortest. Suche mal bei irgend einer Suchmaschine nach "Server 2019 performance", klicke auch den Spiceworks Post (Platz 1-5) und lese dir diesen in Ruhe durch. 😉
Wo steht da was über die Zeitsynchronisation? Wenn du ein Problem mit Microsoft hast, dann wechsle doch einfach den Anbieter deines Betriebssystems (siehe oben, Glaubensfrage).Grüße
lcer
Jetzt bei jedem Link die F12 taste drücken und den Quellcode bitte genauer anschauen. 😉
; - )
Hallo,
Nun, bloß weil es möglich und zulässig ist, ist es nicht unbedingt sinnvoll. Man sollte hier stichhaltige Gründe haben, die gegen die (Default-)Zeitsynchronisation mit dem PDC sprechen. Wenn Du der Zeitsynchronisaton zwischen DC und PDC nicht vertraust, bricht ja im Grunde auch die Vertrauensbasis für Kerberos weg.
Wenn man mit einem externen Server synchronisiert, erfolgt das über NTP. Standard wäre NT5DS, was etwas komplexer arbeitet.
Hier wird ein eine Zeitquelle verworfen, wenn sie nicht als verlässlich eingestuft wird (NTP-Quellen werden ja nur bei größerer Abweichung verworfen). Also erhöhte Sicherheit innerhalb der Domäne. Was für Gründe sprechen da für NTP und Zeitquellen außerhalb der Domäne (mit Ausnahme einer externen Referenz am PDC)?
Grüße
lcer
Und genau das tue ich auch, somit entspricht mein Vorgehen ebenfalls der Empfehlung des Herstellers
Nun, bloß weil es möglich und zulässig ist, ist es nicht unbedingt sinnvoll. Man sollte hier stichhaltige Gründe haben, die gegen die (Default-)Zeitsynchronisation mit dem PDC sprechen. Wenn Du der Zeitsynchronisaton zwischen DC und PDC nicht vertraust, bricht ja im Grunde auch die Vertrauensbasis für Kerberos weg.
Wenn man mit einem externen Server synchronisiert, erfolgt das über NTP. Standard wäre NT5DS, was etwas komplexer arbeitet.
Domain joined computers utilize the NT5DS mode. This mode uses netlogon API calls to find an eligible peer to sync with.
Grüße
lcer
Zitat von @lcer00:
Was für Gründe sprechen da für NTP und Zeitquellen außerhalb der Domäne (mit Ausnahme einer externen Referenz am PDC)?
Wenige.Was für Gründe sprechen da für NTP und Zeitquellen außerhalb der Domäne (mit Ausnahme einer externen Referenz am PDC)?
Wenn ein Standort mit DC mal eine nicht permanente Verbindung zu den anderen Standorten mit anderen DC's des selben Forest hat, dann kann sowas Sinn machen.
Andere DC.
Wenn ein DC selbst der PDC einer der weiteren Domänen einer Gesamtstruktur ist, dann versucht sich dieser PDC mit dem PDC der Stammdomäne abzugleichen. Wenn dieser nicht erreichbar ist, dann mit einem anderen DC der Stammdomäne. Egal an welcher Site diese sind.
Wenn ein DC selbst nicht der PDC ist, dann versucht er sich mit PDC der eigenen Domäne abzugleichen, auch wenn dieser in einer anderen Site ist und in der eigenen Site noch ein weiterer DC ist.
Bei der Auswahl anderen DC als den PDC berücksichtigt er höchstwahrscheinlich die Konfiguration der Standortverknüpfungen. Das kann ich jetzt nicht schwören, aber es würde mich sehr wundern, wenn dem nicht so wäre.
Wenn ein DC selbst der PDC einer der weiteren Domänen einer Gesamtstruktur ist, dann versucht sich dieser PDC mit dem PDC der Stammdomäne abzugleichen. Wenn dieser nicht erreichbar ist, dann mit einem anderen DC der Stammdomäne. Egal an welcher Site diese sind.
Wenn ein DC selbst nicht der PDC ist, dann versucht er sich mit PDC der eigenen Domäne abzugleichen, auch wenn dieser in einer anderen Site ist und in der eigenen Site noch ein weiterer DC ist.
Bei der Auswahl anderen DC als den PDC berücksichtigt er höchstwahrscheinlich die Konfiguration der Standortverknüpfungen. Das kann ich jetzt nicht schwören, aber es würde mich sehr wundern, wenn dem nicht so wäre.
Zitat von @MysticFoxDE:
Wenn Ihr alles nach Handbuch die Pyramide nach oben konfiguriert, was passiert den genau, wenn die Spitze (der Zeitserver des obersten PDC's) mal nicht so läuft wie er sollte?
Und dann bitte nachdenken, was bei meinem Konzept passieren würde. 😉
Wenn Ihr alles nach Handbuch die Pyramide nach oben konfiguriert, was passiert den genau, wenn die Spitze (der Zeitserver des obersten PDC's) mal nicht so läuft wie er sollte?
Und dann bitte nachdenken, was bei meinem Konzept passieren würde. 😉
Deine User wissen trotzdem, wie spät es ist, die Kerberus-Tickets werden ungültig. Deine Pyramide bröckelt von oben.
Grüße
lcer
Bei diesem Verfahren geht es einzig und allein darum, dass man innerhalb des AD (dazu gehören DC's, Member und sonstige Kerberos-Clients) eine einheitliche Zeit hat. Nicht darum, die "richtige" Zeit zu haben.
Und: Wenn schon, denn schon.
Wenn man sich weitestmöglich gegen externe Ausfälle absichern willst, dann sollten die externen Redundanzen auch vollkommen unabhängig von einander sein. Dann macht also die Angabe mehrerer verschiedener NTP-Server vom selben Anbieter recht wenig Sinn. Wenn, dann sollte man alles ausschließen bzw. redundant genug halten. Sonst kann immer irgendjemand Schlaumeier spielen und von sich behaupten, die sicherste Variante der Welt zu haben.
- unabhängige Atomuhren (Betreiber, Anbieter)
- NTP-Server unabhängiger Anbieter
- auf verschiedenen Kontinenten
- in verschiedenen DNS-Domänen
- in verschiedenen Subnetzen
- über verschiedene Leitungen - also auch bei Dir Leitungen von verschiedenen, wirklich unabhängigen Anbietern
...
Wie weit will man das noch treiben? Irgendwo hast Du dann immer den SPOF.
Natürlich kann man das so machen, wie Du es beschrieben hast. Kein Thema. Das wird funktionieren. Aber ist das wirklich sicherer? Lohnt der Aufwand?
Beschreibe doch mal genau (detailliert!), was beim von Dir stilisierten SPOF alles passieren kann. Dann bewerte die einzelnen Szenarien und bewerte die nennenswerten Risiken, welche für Euch daraus bestehen. Und dann rechne den Aufwand gegen den Nutzen.
Noch was anderes:
Bei uns haben die DC gar keine Kontakt zum Internet. NULL! Und sie werden diesen auch nie bekommen. Nicht regulär, nicht bewusst und nicht freiwillig. Sie können sich also gar nicht über eine externe Zeitquelle abgleichen. Sie müssen sich über eine interne Quelle abgleichen.
Selbst der PDC unserer Stammdomäne gleicht sich über einen dedizierten, redundant gestalteten NTP-Server ab. Dieser NTP-Server holt sich die Zeit von externen Quellen.
Edit:
Du hast bei Deiner "Fuchsischen Methode" (als wenn Du der erste wärst, welcher darauf gekommen wäre ...) noch was vergessen:
Warum sollen sich alle anderen Geräte im Netz nicht auch direkt mit der externen Zeitquelle abgleichen? Wäre das nicht sehr inkonsequent, das dann nicht auch noch zu tun?
Und: Wenn schon, denn schon.
Wenn man sich weitestmöglich gegen externe Ausfälle absichern willst, dann sollten die externen Redundanzen auch vollkommen unabhängig von einander sein. Dann macht also die Angabe mehrerer verschiedener NTP-Server vom selben Anbieter recht wenig Sinn. Wenn, dann sollte man alles ausschließen bzw. redundant genug halten. Sonst kann immer irgendjemand Schlaumeier spielen und von sich behaupten, die sicherste Variante der Welt zu haben.
- unabhängige Atomuhren (Betreiber, Anbieter)
- NTP-Server unabhängiger Anbieter
- auf verschiedenen Kontinenten
- in verschiedenen DNS-Domänen
- in verschiedenen Subnetzen
- über verschiedene Leitungen - also auch bei Dir Leitungen von verschiedenen, wirklich unabhängigen Anbietern
...
Wie weit will man das noch treiben? Irgendwo hast Du dann immer den SPOF.
Natürlich kann man das so machen, wie Du es beschrieben hast. Kein Thema. Das wird funktionieren. Aber ist das wirklich sicherer? Lohnt der Aufwand?
Beschreibe doch mal genau (detailliert!), was beim von Dir stilisierten SPOF alles passieren kann. Dann bewerte die einzelnen Szenarien und bewerte die nennenswerten Risiken, welche für Euch daraus bestehen. Und dann rechne den Aufwand gegen den Nutzen.
Noch was anderes:
Bei uns haben die DC gar keine Kontakt zum Internet. NULL! Und sie werden diesen auch nie bekommen. Nicht regulär, nicht bewusst und nicht freiwillig. Sie können sich also gar nicht über eine externe Zeitquelle abgleichen. Sie müssen sich über eine interne Quelle abgleichen.
Selbst der PDC unserer Stammdomäne gleicht sich über einen dedizierten, redundant gestalteten NTP-Server ab. Dieser NTP-Server holt sich die Zeit von externen Quellen.
Edit:
Du hast bei Deiner "Fuchsischen Methode" (als wenn Du der erste wärst, welcher darauf gekommen wäre ...) noch was vergessen:
Warum sollen sich alle anderen Geräte im Netz nicht auch direkt mit der externen Zeitquelle abgleichen? Wäre das nicht sehr inkonsequent, das dann nicht auch noch zu tun?
Zitat von @emeriks:
Bei diesem Verfahren geht es einzig und allein darum, dass man innerhalb des AD (dazu gehören DC's, Member und sonstige Kerberos-Clients) eine einheitliche Zeit hat. Nicht darum, die "richtige" Zeit zu haben.
man lese auch https://docs.microsoft.com/de-de/windows-server/networking/windows-time- ...Bei diesem Verfahren geht es einzig und allein darum, dass man innerhalb des AD (dazu gehören DC's, Member und sonstige Kerberos-Clients) eine einheitliche Zeit hat. Nicht darum, die "richtige" Zeit zu haben.
Es gibt viele verschiedene Gründe, weshalb du eine genaue Zeit benötigen könntest. Der typische Fall für Windows ist Kerberos, bei dem eine Genauigkeit von 5 Minuten zwischen Client und Server erforderlich ist. Es gibt jedoch viele weitere Bereiche, die von der Zeitgenauigkeit betroffen sein können, dazu gehören:
- Behördliche Vorschriften wie:
- Genauigkeit von 50 ms für FINRA in den USA
- 1 ms ESMA (MiFID II) in der EU.
- Kryptografiealgorithmen
- Verteilte Systeme wie Cluster/SQL/Exchange und Document DBs
- Blockchain-Framework für Bitcoin-Transaktionen
- Verteilte Protokolle und Bedrohungsanalyse
- AD-Replikation
- Kartenzahlungsbranche (Payment Card Industry, PCI), zurzeit Genauigkeit von 1 Sekunde
Zum Thema Vertrauenswürdigkeit der PTB. Es ist irrelevant ob dieser Institution vertraut. Relevant ist, ob die eingehenden NTP-Pakete vertrauenswürdig sind. Und die sind es für mich aus Sicht der AD-Domäne / Gesamtstruktur nicht. Das ändert sich auch durch das Nutzen von DNSSEC nicht. NTP ist angreifbar über to man-in-the-middle attacks. Du kannst natürlich fragen, ob die PTB Dir eine gesicherte VPN-Verbindung ermöglicht, durch die dann dein NTP läuft. Aber das alles nur damit der Fuchs recht hat?
Grüße
lcer
oder ob die sich direkt an der externen quelle bedienen ist doch am ende des Tages gehopft wie gesprungen.
Nein, ist es nicht.Ich betrachte jede nicht notwendige Sache einfach als zusätzliche potentielle Fehlerquelle. Sei es technischer, organisatorischer oder menschlicher Art.
Ohh, möchtest du mir jetzt etwa selbst bestätigen, dass es auch andere gibt, die dasselbe Vorgehen als sinnvoll ansehen?
Ich kenne niemanden, der das so macht. Und selbst wenn es jemand so machen würde, hätte ich kein Problem damit, Dir das hier so zu bestätigen. Oder was wolltest Du mit dieser Formulierung ausdrücken?Das ist richtig und als Failover gibt es meiner Ansicht nach auch keinen sinnvollen Grund dagegen.
Ich hätte welche: Kosten. Arbeitszeit. Und andere.Zu VM-Umgebung & DC's:
Ich kann nur sagen, dass wir seit über 10 Jahren fast vollständig auf virtualisierte Umgebungen bauen. Bis auf einen DC laufen alle anderen DC als VM (zig DC's). Fast alle Server als VM (hunderte). Auf verschiedenen Hypervisor-Host, in verschieden VM-Umgebungen, an verschiedenen Standorten. Und wir hatten (außer in der Anfangsphase vor zig Jahren, als die Admins dies bzgl. noch den handwerklichen Fehler mit der Uhrzeitübernahme von Host auf VM gemacht haben) noch nie das Problem, dass es im Zusammenhang mit der Virtualisierung zu einem generellen Problem der Uhrzeiten innerhalb der VM's gekommen ist.
Wenn es Deine Zeit zulässt und/oder Dir die Kunden das bezahlen: Mach!
Hallo,
Aha ... 😦🥴😧
Relevant ist also nur, dass die eingehenden NTP-Pakete vertrauenswürdig sind, nicht aber, dass die Quelle dieser Pakete es selbst ist.
Kannst du das bitte etwas genauer erklären, ich komme da irgendwie nicht so ganz mit.
Nicht nur Smileys, auch Rhetorisch bist Du richtig gut.
Warum sollte ich zwischen mir (Standort in Deutschland) und PTB (Standort in Deutschland) für einen Zeitabgleich ein VPN Augbauen?
Kannst du mir bitte genauer erklären, wie hier das mögliche "man-in-the-middle" Szenario aussehen könnte?
Alles klar, Du behältst immer recht. Und ein so großer Admin wie Du wird sicherlich nie Probleme bekommen.
Ich bin da jetzt raus. Und viel Spaß beim ständigen Überprüfen der DC Zeiten - ach nein, brauchst Du ja nicht, denn Du arbeitest ja Kundenorientiert und die haben kein Problem, solange nichts schiefgeht. Achso - wie konnte es da sein, dass da bei einem professionellen System keine sofort mitbekommen hat, dass der PDC einen Fehler hatte? Vermutlich nicht, weil da ja kein User am PDC sitzt, dessen Probleme man ernst nehmen könnte.
Grüße
lcer
Zitat von @MysticFoxDE:
Hi Icer,
Das kann schon sein, dass dich deine User nicht interessieren, aber die meisten Admin's die ich kenne, bemühen sich (zumindest meistens) schon die Probleme der User ernst zu nehmen und diesen auch zu helfen.
Vor allem das von dir oben beschriebene Szenarion, hat einigen Administratoren dieses Jahr dank Corona und Homeoffice mitunter sehr überraschend neue und nicht umspannende Herausforderungen gebracht. Schick mal ein paar hundert User von heute auf morgen ins Homeoffice, ohne dass du vorher sichergestellt hast, dass die für das Homeoffice verwendeten Clients Ihre Zeit auch ohne ständig mit der Domäne verbunden zu sein noch sauber synchronisieren. Wenn du Erfahrung in diesem Bereich hast, dann wirst du dir die Folgen recht schnell selbst ausmahlen können. 😉
Das ist eine Frage der Prioritäten. Deine Sicht kann ich da nicht teilen. Sicherheit und Komfort sehen einander im Weg, Für Mich ist Sicherheit wichtiger.Hi Icer,
Die meisten Gründe haben etwas mit kryptographischer Absicherung zu tun. Da interessiert mich kein Laptop-User im Homeopffice, der 1x in 10 Jahren vielleicht erst seine Uhr stellen muss um sich verbinden zu können.
Das kann schon sein, dass dich deine User nicht interessieren, aber die meisten Admin's die ich kenne, bemühen sich (zumindest meistens) schon die Probleme der User ernst zu nehmen und diesen auch zu helfen.
Vor allem das von dir oben beschriebene Szenarion, hat einigen Administratoren dieses Jahr dank Corona und Homeoffice mitunter sehr überraschend neue und nicht umspannende Herausforderungen gebracht. Schick mal ein paar hundert User von heute auf morgen ins Homeoffice, ohne dass du vorher sichergestellt hast, dass die für das Homeoffice verwendeten Clients Ihre Zeit auch ohne ständig mit der Domäne verbunden zu sein noch sauber synchronisieren. Wenn du Erfahrung in diesem Bereich hast, dann wirst du dir die Folgen recht schnell selbst ausmahlen können. 😉
Zum Thema Vertrauenswürdigkeit der PTB. Es ist irrelevant ob dieser Institution vertraut. Relevant ist, ob die eingehenden NTP-Pakete vertrauenswürdig sind. Und die sind es für mich aus Sicht der AD-Domäne / Gesamtstruktur nicht.
Aha ... 😦🥴😧
Es ist irrelevant ob dieser Institution vertraut. Relevant ist, ob die eingehenden NTP-Pakete vertrauenswürdig sind.
Relevant ist also nur, dass die eingehenden NTP-Pakete vertrauenswürdig sind, nicht aber, dass die Quelle dieser Pakete es selbst ist.
Kannst du das bitte etwas genauer erklären, ich komme da irgendwie nicht so ganz mit.
Das ändert sich auch durch das Nutzen von DNSSEC nicht. NTP ist angreifbar über to man-in-the-middle attacks. Du kannst natürlich fragen, ob die PTB Dir eine gesicherte VPN-Verbindung ermöglicht, durch die dann dein NTP läuft. Aber das alles nur damit der Fuchs recht hat?
Warum sollte ich zwischen mir (Standort in Deutschland) und PTB (Standort in Deutschland) für einen Zeitabgleich ein VPN Augbauen?
Kannst du mir bitte genauer erklären, wie hier das mögliche "man-in-the-middle" Szenario aussehen könnte?
Ich bin da jetzt raus. Und viel Spaß beim ständigen Überprüfen der DC Zeiten - ach nein, brauchst Du ja nicht, denn Du arbeitest ja Kundenorientiert und die haben kein Problem, solange nichts schiefgeht. Achso - wie konnte es da sein, dass da bei einem professionellen System keine sofort mitbekommen hat, dass der PDC einen Fehler hatte? Vermutlich nicht, weil da ja kein User am PDC sitzt, dessen Probleme man ernst nehmen könnte.
Grüße
lcer
Eigentlich wollte ich nichts mehr dazu schreiben. Es scheint ja auch einfach nur eine Glaubensfrage zu sein. Jede/r, wie er/sie mag. Solange, wie es funktioniert, ist es doch gut. So oder so.
Aber wenn Du schon so damit winkst ...
--> Deine rote Markierung:
Bist Du des Englischen und Deutschen soweit mächtig, dass Du diesen Halbsatz auch inhaltlich wirklich verstehst?
Da steht nichts weiter, als dass das mit dem Weg über die Domänenhierarchie möglich ist, dies aber in "diesem BPA Guide" (dem von VMware) nicht weiter betrachtet/untersucht wird. So wie: Man kann auch bei Grün über die Ampel gehen, aber das betrachten wir in diesem Dokument nicht. Oder: Es ist möglich, bei Regen einen Regenschirm zu verwenden, um trocken zu bleiben, aber das interessiert uns gerade nicht. Oder: Das Auto kann auch mehr als 200 Km/h fahren, aber das ist für die Betrachtung des Anhebens des Autos mit einer Hebebühne nicht von Belang. Oder: .....
Frag 10 Fachleute und Du bekommst 12 Meinungen. Das war noch nie anders. Warum sollte es also bei irgendwelchen BPA's oder irgendwelchen Artikeln Dritter über das Wurmloch in Deinen Ansichten über die Zeit anders sein?
Aber wenn Du schon so damit winkst ...
--> Deine rote Markierung:
Bist Du des Englischen und Deutschen soweit mächtig, dass Du diesen Halbsatz auch inhaltlich wirklich verstehst?
Da steht nichts weiter, als dass das mit dem Weg über die Domänenhierarchie möglich ist, dies aber in "diesem BPA Guide" (dem von VMware) nicht weiter betrachtet/untersucht wird. So wie: Man kann auch bei Grün über die Ampel gehen, aber das betrachten wir in diesem Dokument nicht. Oder: Es ist möglich, bei Regen einen Regenschirm zu verwenden, um trocken zu bleiben, aber das interessiert uns gerade nicht. Oder: Das Auto kann auch mehr als 200 Km/h fahren, aber das ist für die Betrachtung des Anhebens des Autos mit einer Hebebühne nicht von Belang. Oder: .....
Frag 10 Fachleute und Du bekommst 12 Meinungen. Das war noch nie anders. Warum sollte es also bei irgendwelchen BPA's oder irgendwelchen Artikeln Dritter über das Wurmloch in Deinen Ansichten über die Zeit anders sein?