Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

maandag 16 augustus 2010 16:41

Acties:
  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 15:11

Eagle Creek

Breathing security

Topicstarter
Howdy! :)

Basisnetwerk:
Win2kR2
7 cliënts

Eventueel:
Win2k3 SP2
XP

Ik vroeg me af wat jullie als de beste methode zien om de tijd gesynchroniseerd te hebben binnen een Windows-domein. Ik heb wel eens gehoord dat dit niet automatisch gaat, maar ik kan me dit ook weer niet goed voorstellen.

De reden dat ik het vraag is omdat ik een Windows 2008-server draai op een Hyper-V host. Nadat deze voor onderhoud even offline was geweest en resumde, bleek dat de tijd op de server 2 uur achterliep. Een cliënt die in het netwerk opstartte versprong -na aanmelding- ook opeens van tijd (en liep synch met de server).

Op dit moment heb ik op een Windows 2003-XP-netwerk het volgende in een startup script staan:
net time \\srv-01 /set /y
De server zelf syncht echter nergens mee. Dit terwijl hij toch wel af en toe uit de pas gaat lopen, en ik dit nu telkens maar handmatig instel.

Op een 2008R2-7-netwerk heb ik het volgende startup script:
w32tm /config /synchfromflags:DOMHIER /update >> c:\temp\startup.log
net time /DOMAIN:THUIS /SET /Y >> c:\temp\startup.log
Afgezien van het feit dat deze een foutmelding veroorzaakt in het log, betwijfel ik ook of dit de juiste manier is. Ik weet dat ik nu twee dingen doe: ik configureer de tijdsservice dat de domein-hierarchie moet worden gebruikt, en 2 ik vertel dat de tijd van het domein THUIS moet worden toegepast.

Ik heb echter niet het idee dat dit werkt. Én na aanmelding zag ik dat na +/- 30 seconden de tijd versprong, iets wat me zou doen denken dat dit automatisch gebeurt.

Verder wil ik de domeincontroller ook graag synched houden, met "time.nist.gov". De configuratie hiervan is nu als volgt:
C:\Users\adm>w32tm /query /computer:server01 /status
Leap Indicator: 0(no warning)
Stratum: 2 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.1415872s
Root Dispersion: 0.0487629s
ReferenceId: 0xC02BF412 (source IP: 192.43.244.18)
Last Successful Sync Time: 16-8-2010 16:22:05
Source: time.nist.gov
Poll Interval: 10 (1024s)
Zoals je ziet heb ik in zijn synch-lijst de nist.gov-server ingevoerd. Wat ik echter niet weet: syncht hij ook? En zoja hoe vaak? Én: waarom werd de tijd niet gesyncht toen de Hyper-V server de server resumde?

Op alle cliënts kan ik niet meer configureren met een internettijdsserver. Dit zal het gevolg zijn van de "domhier"-instelling vermoed ik, maar misschien ook simpelweg dat ze in een domein zitten.

Als laatste is de genoemde domeincontroller ook DHCP. In de DHCP-properties heb ik het volgende meegegeven:
004 - Time Server - 10.0.0.10

Gaarne uw heldere licht over deze duistere zaak ;). (Of wat advies is ook goed ;))

~ Information security professional & enthousiast ~ EC Twitter ~

maandag 16 augustus 2010 16:52

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 14:10

Duinkonijn

Huh?

Hoi

server01 synct gewoon gezien: "Last Successful Sync Time: 16-8-2010 16:22:05"

clients halen hun tijd van de DC met de pdc emulator.. de rede dat je niet voor een externe partij kan kiezen is omdat de client ideaal gezien alleen met z`n dc mag babbelen.. met oog op kerberos e.d.

default hoort een hyper-v client de tijd van de host te krijgen, mogelijk had hij het te druk? een probleem wat op kan lopen is als de host member is van de client, dan heb je een timeloop


1:host krijgt tijd van client --> veranderd tijd --> forceert tijd client
2:ga terug naar 1

[ Voor 69% gewijzigd door Duinkonijn op 16-08-2010 16:59 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

dinsdag 17 augustus 2010 08:24

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:48

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Duinkonijn schreef op maandag 16 augustus 2010 @ 16:52:
clients halen hun tijd van de DC met de pdc emulator..
Niet helemaal waar. Clients syncen hun tijd met de DC die hun geauthenticeerd heeft. De DC's in een domain syncen met de DC die de PDC emulator rol binnen dat domain host. De DC's met de PDC emulator rol syncen op hun beurt weer met de DC die de PDC Emulator rol host in het Forest root domain.
To guarantee appropriate common time usage, the Windows Time service uses a hierarchical relationship that controls authority, and the Windows Time service does not permit loops. By default, Windows-based computers use the following hierarchy:
  • All client desktop computers nominate the authenticating domain controller as their in-bound time partner.
  • All member servers follow the same process that client desktop computers follow.
  • All domain controllers in a domain nominate the primary domain controller (PDC) operations master as their in-bound time partner.
  • All PDC operations masters follow the hierarchy of domains in the selection of their in-bound time partner.
In this hierarchy, the PDC operations master at the root of the forest becomes authoritative for the organization.
[/nitpick]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 24 augustus 2010 00:39

Acties:
  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 15:11

Eagle Creek

Breathing security

Topicstarter
Duinkonijn reageert wat inhoudelijk.
server01 synct gewoon gezien
Dat was handmatig.

Mijn vraag is meer algemeen: hoe houd je je netwerk in synch?
De domeinen waar ik mee werk beschikken over 1 DC, die daarmee dus ook PDC is. In het geval van 2 DC's blijft er nog maar eentje PDC.

Voor wat ik begrijp hoef ik helemaal niets in opstartscripts op te nemen: Windows domeinpc's nemen automatisch de domhier over, en doen dit allemaal braaf zoals het hoort. Correct?

Wat betreft de Hyper-V bleek een eigen fout. De time synch service stond uit. Dit heb ik bewust gedaan, omdat ik de host nog niet liet sycnhen.

Blijft er één vraag: hoe houden jullie je servers in synch? De server is dé tijdsbron in het domein, maar ook die wil wel eens uit synch lopen. Deze (lees: Hyper-V host) wil ik synchen met time.nist.gov. Moet ik hiervoor handmatig een script maken? De Hyper-V host is een stand-alone.

~ Information security professional & enthousiast ~ EC Twitter ~

dinsdag 24 augustus 2010 07:45

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:48

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Eagle Creek schreef op dinsdag 24 augustus 2010 @ 00:39:
Voor wat ik begrijp hoef ik helemaal niets in opstartscripts op te nemen: Windows domeinpc's nemen automatisch de domhier over, en doen dit allemaal braaf zoals het hoort. Correct?
Klopt helemaal :)
Blijft er één vraag: hoe houden jullie je servers in synch?
Proxy-server haalt de tijd op via een time-source op het internet. De Forest Root PDC Emulator synced met de proxy-server en de rest van het Forest "hobbelt" wel achter de Forest Root PDC Emulator aan.

edit:
Met W32tm is een sync-partner aan te geven

[ Voor 4% gewijzigd door Question Mark op 24-08-2010 07:46 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq