LATEST NEWS

Windows Server 2012-2022 -ב NTP הגדרת שרתי

israel-it.co.il > Windows Server > Windows Server 2019 > Windows Server 2012-2022 -ב NTP הגדרת שרתי

“נדידת זמן” (Time Drift) הוא מושג הבא לתאר סטייה בשעונים כאשר שרתים או תחנות קצה לא מקבלות עדכון כל מחזור זמן מסוים. ישנה חשיבות גבוהה לעדכון שעונים בארגון (חלקם יצוינו מטה) על מנת להבטיח פעילות תקינה של מערכות הארגון.
כאן נכנס לתמונה NTP (Network Time Protocol). פרוטוקול זה הוא חלק מתפקיד ה- PDC שהוא אחד מתוך חמשת תפקידי ה- FSMO הקיימים בארגון. שרת DC אשר יחזיק בתפקיד זה, יהיה המקור הראשי בארגון אשר מולו כל שאר התחנות יסונכרנו (“PDC operations masters”).

כאשר יש סטייה בשעונים עלולות להיווצר הבעיות הבאות:

בעיית רפליקציה בין שרתי DC – מצב של חוסר סנכרון מידע ואף איבוד מידע. “חותמת זמן” (Timestamp) הוא ערך המסייע לשרתי DC לקבוע האם יש לבצע רפליקציה כאשר ה- Update Sequence Number (USN) זהה בין שני שרתים. כאשר חותמת הזמן משובשת סנכרון מידע יכול להשתבש.

Kerberos – מתבסס על שירות NTP. Kerberos הוא פרוטוקול מבוסס “כרטיסים” (Tickets) כהרשאות גישה למשתמשים או לשירותים שונים בארגון. אותם כרטיסים מוגבלים בזמן, לכן חוסר סנכרון בזמן בין מערכות יכול למנוע הרשאת גישה.

הגדרת NTP ושימוש ב- Windows Time Service על שרת ה- DC שיתפקד כ- PDC Emulator:

1. יש להגדיר מהו מקור הזמן אליו יפנו שאר השרתים בארגון. הגדרה זו קובעת כי אלו יסונכרנו מול שרת ה- PDC ולא מה- BIOS.

HKLM\System\CurrentControlSet\Services\W32Time\Parameters
Type = NTP

2. יש להגדיר מהו מקור הזמן אליו יפנה שרת ה- PDC. גם שרת ה- PDC צריך לקבל עדכוני זמן. לכן אנו נצטרך להגדיר לשרת ה-PDC להסתנכרן מול כתובת חיצונית.

HKLM\System\CurrentControlSet\Services\W32Time\Parameters
NtpServer = 0.asia.pool.ntp.org,0x1.

דוגמא לשרת חיצוני אליו יפנה שרת ה- PDC:

0.asia.pool.ntp.org

0x1 – רשימת המקורות יכולה להיות כתובת IP או FQDN. כאשר משתמשים בשם DNS חייב לצרף בסוף כל כתובת DNS את הסיומת 0x1. 0x1 מתרגם לערך “.” (נקודה), כלומר סוף שורה, אשר אחריה ניתן להוסיף עוד רצף כתובות כאשר רווח מפריד ביניהן.

3. יש להגדיר את שרת ה- PDC כמקור זמן מהימן. חשוב לציין: הגדרה זו הולכת יד ביד עם הגדרה הקודמת לכן חשוב לבצע את שתיהן.

HKLM\System\CurrentControlSet\Services\W32Time\Config
AnnounceFlags = 5

4. לאחר הגדרות אלו יש לאתחל את שירות הזמן – w32time – בעזרת הפקודות הבאות:

net stop w32time 
net start w32time
w32tm /resync /rediscover

דוקומנטציה רשמית של מיקרוסופט בנושא:

https://docs.microsoft.com/en-US/troubleshoot/windows-server/identity/configure-authoritative-time-server

רשימת שרתים חיצוניים לזמן ישראל:

https://www.pool.ntp.org/zone/il

This Article Was Written By Shira Peretz

Tags:

Leave a Reply

Your email address will not be published. Required fields are marked *