Gathering of Tweakers

All rights reserved Sat, 06 Sep 2008 00:09:18 GMT Sat, 06 Sep 2008 00:09:18 GMT http://blogs.law.harvard.edu/tech/rss GoT - list_messages http://gathering.tweakers.net Gathering of Tweakers http://tweakimg.net/g/if/logo.gif nl-nl http://gathering.tweakers.net/rss/list_messages/1292743 [2000/2003] Tijdsynchronisatie in domein doorgronden - Windows Servers en Server-software - GoT gathering@tweakers.net (Administrator) Wijnands http://gathering.tweakers.net/forum/list_message/30079796?data%5Bsource%5D=rss#30079796 dummy@example.com (Wijnands) vrijdag 16 mei 2008 16:21 Ik heb hier een domeintje bestaande uit 4 windows 2000 member servers, 1 windows 2000 DC en, sinds enkele maanden 2 windows 2003 domain controllers. Op 2 van de member servers draait een applicatie waarvoor het belangrijk is dat de 2 servers het echt eens zijn over de tijd. Ik ben dus 's gaan kijken op het domein en heb, keurig volgens de Microsoft documentatie (How to configure an authoritative time server in Windows Server 2003), de windows 2003 server die pdc emulator is van een externe time source voorzien. Hierna heb ik op alle servers de w32time service gestopt, een w32tm -s gedaan en de service weer gestart. Behalve op de 2 2003 servers staat de tijd nu overal gelijk. Ga ik echter met net time kijken dan zie ik op alle servers, inclusief de 2 2003 DC's de windows 2000 DC als bron van tijd genoemd worden. Kijk ik met set dan zie ik als logonserver m'n pdc emulator staan. Ga ik op m'n werkstation kijken wat in ons eigen, veel grotere domein hangt, dan zie ik dat m'n logonserver een DC in nederland is. Via net time krijg ik een DC in Dubai te zien. Mijn collega naast me krijgt zelfs een DC uit australie. Wie kan hier wat licht op werpen? Ik heb hier een domeintje bestaande uit 4 windows 2000 member servers, 1 windows 2000 DC en, sinds enkele maanden 2 windows 2003 domain controllers.

Op 2 van de member servers draait een applicatie waarvoor het belangrijk is dat de 2 servers het echt eens zijn over de tijd. Ik ben dus 's gaan kijken op het domein en heb, keurig volgens de Microsoft documentatie (How to configure an authoritative time server in Windows Server 2003), de windows 2003 server die pdc emulator is van een externe time source voorzien. Hierna heb ik op alle servers de w32time service gestopt, een w32tm -s gedaan en de service weer gestart.

Behalve op de 2 2003 servers staat de tijd nu overal gelijk. Ga ik echter met net time kijken dan zie ik op alle servers, inclusief de 2 2003 DC's de windows 2000 DC als bron van tijd genoemd worden.
Kijk ik met set dan zie ik als logonserver m'n pdc emulator staan.

Ga ik op m'n werkstation kijken wat in ons eigen, veel grotere domein hangt, dan zie ik dat m'n logonserver een DC in nederland is. Via net time krijg ik een DC in Dubai te zien. Mijn collega naast me krijgt zelfs een DC uit australie.

Wie kan hier wat licht op werpen?]]> http://gathering.tweakers.net/forum/list_message/30079796#30079796 Fri, 16 May 2008 14:21:59 GMT sanfranjake http://gathering.tweakers.net/forum/list_message/30080044?data%5Bsource%5D=rss#30080044 dummy@example.com (sanfranjake) vrijdag 16 mei 2008 16:54 Geef dan eens een wat breder beeld van hoe je je sites, ipranges etc hebt geconfigureerd, met andere woorden: probeer te achterhalen waarom je pc's/servers dc's uit een andere site zoeken... replicatieissues misschien? Wat heb je zelf al ondernomen qua AD troubleshooting? Geef dan eens een wat breder beeld van hoe je je sites, ipranges etc hebt geconfigureerd, met andere woorden: probeer te achterhalen waarom je pc's/servers dc's uit een andere site zoeken... replicatieissues misschien?

Wat heb je zelf al ondernomen qua AD troubleshooting?]]> http://gathering.tweakers.net/forum/list_message/30080044#30080044 Fri, 16 May 2008 14:54:18 GMT Wijnands http://gathering.tweakers.net/forum/list_message/30080156?data%5Bsource%5D=rss#30080156 dummy@example.com (Wijnands) vrijdag 16 mei 2008 17:13 Met de DC's lijkt niets mis te zijn, de boel repliceert prima. De klantomgeving is een site en een enkel subnet. Ik kan niet bedenken waarom ze allemaal naar die oude dc kijken voor tijd. Net even gecheckt en het tijd verschil neemt netjes af, dat zal wel goed komen. Wat ik me alleen afvraag is welk mechanisme bepaald naar welke server er gekeken wordt voor tijd. Met de DC's lijkt niets mis te zijn, de boel repliceert prima. De klantomgeving is een site en een enkel subnet. Ik kan niet bedenken waarom ze allemaal naar die oude dc kijken voor tijd.

Net even gecheckt en het tijd verschil neemt netjes af, dat zal wel goed komen. Wat ik me alleen afvraag is welk mechanisme bepaald naar welke server er gekeken wordt voor tijd.]]> http://gathering.tweakers.net/forum/list_message/30080156#30080156 Fri, 16 May 2008 15:13:35 GMT sanfranjake http://gathering.tweakers.net/forum/list_message/30080295?data%5Bsource%5D=rss#30080295 dummy@example.com (sanfranjake) vrijdag 16 mei 2008 17:38 quote:Wijnands schreef op vrijdag 16 mei 2008 @ 17:13: Met de DC's lijkt niets mis te zijn, de boel repliceert prima. De klantomgeving is een site en een enkel subnet. Ik kan niet bedenken waarom ze allemaal naar die oude dc kijken voor tijd. Net even gecheckt en het tijd verschil neemt netjes af, dat zal wel goed komen. Wat ik me alleen afvraag is welk mechanisme bepaald naar welke server er gekeken wordt voor tijd.De pdc van het rootdomein, waar alle andere dc's weer mee syncen.

quote:
Wijnands schreef op vrijdag 16 mei 2008 @ 17:13:
Met de DC's lijkt niets mis te zijn, de boel repliceert prima. De klantomgeving is een site en een enkel subnet. Ik kan niet bedenken waarom ze allemaal naar die oude dc kijken voor tijd.

Net even gecheckt en het tijd verschil neemt netjes af, dat zal wel goed komen. Wat ik me alleen afvraag is welk mechanisme bepaald naar welke server er gekeken wordt voor tijd.

De pdc van het rootdomein, waar alle andere dc's weer mee syncen.]]> http://gathering.tweakers.net/forum/list_message/30080295#30080295 Fri, 16 May 2008 15:38:35 GMT Wijnands http://gathering.tweakers.net/forum/list_message/30080317?data%5Bsource%5D=rss#30080317 dummy@example.com (Wijnands) vrijdag 16 mei 2008 17:42 Ja, da's de theorie. Alleen, ik heb hier een enkel domein en, zoals aangeraden, heb ik daar de pdc emulator als reliable aangemerkt en van externe tijdsbron voorzien. Echter, het hele spul kijkt naar een oude dc. Ja, da's de theorie. Alleen, ik heb hier een enkel domein en, zoals aangeraden, heb ik daar de pdc emulator als reliable aangemerkt en van externe tijdsbron voorzien. Echter, het hele spul kijkt naar een oude dc.]]> http://gathering.tweakers.net/forum/list_message/30080317#30080317 Fri, 16 May 2008 15:42:15 GMT Question Mark http://gathering.tweakers.net/forum/list_message/30083224?data%5Bsource%5D=rss#30083224 dummy@example.com (Question Mark) zaterdag 17 mei 2008 12:58 quote:Wijnands schreef op vrijdag 16 mei 2008 @ 16:21: Op 2 van de member servers draait een applicatie waarvoor het belangrijk is dat de 2 servers het echt eens zijn over de tijd.Defineer echt eens? De standaard allowable time skew voor AD Member Servers is nl standaard vijf minuten. Dat betekend dat bij gebruik maken van de w32time service de klokken in het meest ergste geval 10 minuten van elkaar kunnen afwijken. Server A heeft bv een offset van +5 min tov een DC Server B heeft bv. een offset van -5 min tov een DC Bovenstaand voorbeeld resulteert dus in een tijdsverschil tussen de servers van 10 minuten. ('t is puur theoretisch, maar wel mogelijk). De W32time service is leuk waar het voor bedoeld is (om members van een domain redelijk met elkaar gelijk te laten lopen), maar niet voor time-sensitive applicaties. De W32time service maakt om deze reden ook gebruik van SNTP (Simple Network Time Protocol), ipv NTP.

quote:
Wijnands schreef op vrijdag 16 mei 2008 @ 16:21:
Op 2 van de member servers draait een applicatie waarvoor het belangrijk is dat de 2 servers het echt eens zijn over de tijd.

Defineer echt eens?
De standaard allowable time skew voor AD Member Servers is nl standaard vijf minuten. Dat betekend dat bij gebruik maken van de w32time service de klokken in het meest ergste geval 10 minuten van elkaar kunnen afwijken.

Server A heeft bv een offset van +5 min tov een DC
Server B heeft bv. een offset van -5 min tov een DC

Bovenstaand voorbeeld resulteert dus in een tijdsverschil tussen de servers van 10 minuten. ('t is puur theoretisch, maar wel mogelijk).

De W32time service is leuk waar het voor bedoeld is (om members van een domain redelijk met elkaar gelijk te laten lopen), maar niet voor time-sensitive applicaties. De W32time service maakt om deze reden ook gebruik van SNTP (Simple Network Time Protocol), ipv NTP.]]> http://gathering.tweakers.net/forum/list_message/30083224#30083224 Sat, 17 May 2008 10:58:06 GMT Wijnands http://gathering.tweakers.net/forum/list_message/30097938?data%5Bsource%5D=rss#30097938 dummy@example.com (Wijnands) dinsdag 20 mei 2008 10:33 Dat was inderdaad een onthutsende ontdekking. Ik nam aan dat dit proces betrouwbaar genoeg zou zijn. Diep in de technet site kwam ik inderdaad een artikel tegen waarin gesteld wordt dat dit mechanisme ontworpen is om betrouwbaar genoeg te zijn om kerberos te laten werken en niet meer dan dat. Voorlopig heb ik de situatie aardig onder controle door 4 keer per uur een sync af te dwingen. Wil de applicatie eigenaar nog meer dan zal men geld moeten uittrekken voor een paar klok kaarten. Dat was inderdaad een onthutsende ontdekking. Ik nam aan dat dit proces betrouwbaar genoeg zou zijn. Diep in de technet site kwam ik inderdaad een artikel tegen waarin gesteld wordt dat dit mechanisme ontworpen is om betrouwbaar genoeg te zijn om kerberos te laten werken en niet meer dan dat.

Voorlopig heb ik de situatie aardig onder controle door 4 keer per uur een sync af te dwingen. Wil de applicatie eigenaar nog meer dan zal men geld moeten uittrekken voor een paar klok kaarten.]]> http://gathering.tweakers.net/forum/list_message/30097938#30097938 Tue, 20 May 2008 08:33:47 GMT