直流NTP不同步与本地CMOS时钟问题
我已经配置了我的DC (域控制器;Windows2016),如描述的这里,以获得他的时间从我的索福斯-UTM。因此,我按照这里的描述配置了GPO。但是在此之后,以及服务器的重新启动之后,我注意到当我运行命令w32tm /query /status时,在Source下面列出了Local时钟,但是这里应该列出我的SO磷-UTM的IP,还是我错了?在上面链接的屏幕截图中,当作者运行相同的命令时,他的配置中列出了正确的ip。那么这里出了什么问题?
所有需要的端口(UDP 123)都是开放的和可访问的。我对它进行了测试,并查看了我的防火墙配置。出于测试目的,我在DC:w32tm /stripchart /computer:IP-OF-SOPHOS-UTM /dataonly /samples:5上运行以下命令
使用该命令,我可以从SO磷-UTM获得5个时间戳样本,因此我的防火墙规则是有效的,并且在那里的造型是正确的。我也在日志里看到了这个。
这个DC是一个虚拟机,运行在vSphere ESXi (免费版本7.0.1)中。ESXi-主机和客人之间的时间同步被禁用,如官方vmWare文档所述。
下面是命令w32tm /query /status的输出
Jump indicator: 0 (no warning)
stratum: 1 (primary reference - synchron. via radio clock)
Precision: -6 (15.625ms per tick)
stem delay: 0.0000000s
stem deviation: 10.0000000s
Reference ID: 0x4C4F434C (source name: "LOCL")
Last successful synchronization time: 07.12.2020 15:04:23
Source: Local CMOS Clock
Polling interval: 6 (64s)命令w32tm /query /configuration的输出
[Configuration]
EventLogFlags: 2 (Lokal)
AnnounceFlags: 10 (Lokal)
TimeJumpAuditOffset: 28800 (Lokal)
MinPollInterval: 6 (Lokal)
MaxPollInterval: 10 (Lokal)
MaxNegPhaseCorrection: 172800 (Lokal)
MaxPosPhaseCorrection: 172800 (Lokal)
MaxAllowedPhaseOffset: 300 (Lokal)
FrequencyCorrectRate: 4 (Lokal)
PollAdjustFactor: 5 (Lokal)
LargePhaseOffset: 50000000 (Lokal)
SpikeWatchPeriod: 900 (Lokal)
LocalClockDispersion: 10 (Lokal)
HoldPeriod: 5 (Lokal)
PhaseCorrectRate: 7 (Lokal)
UpdateInterval: 100 (Lokal)
[Time-Provider]
NtpClient (Lokal)
DllName: C:\Windows\SYSTEM32\w32time.DLL (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
AllowNonstandardModeCombinations: 1 (Lokal)
ResolvePeerBackoffMinutes: 15 (Richtlinie)
ResolvePeerBackoffMaxTimes: 7 (Richtlinie)
CompatibilityFlags: 2147483648 (Lokal)
EventLogFlags: 0 (Richtlinie)
LargeSampleSkew: 3 (Lokal)
SpecialPollInterval: 900 (Richtlinie)
Type: NTP (Richtlinie)
NtpServer: MY-SOPHOS-UTM-IP,0x5 (Richtlinie)
NtpServer (Lokal)
DllName: C:\Windows\SYSTEM32\w32time.DLL (Lokal)
Enabled: 1 (Lokal)
InputProvider: 0 (Lokal)
AllowNonstandardModeCombinations: 1 (Lokal)
VMICTimeProvider (Lokal)
DllName: C:\Windows\System32\vmictimeprovider.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)命令w32tm /query /peers的输出
Number Peers: 1
Peer: MY-SOPHOS-UTM-IP,0x5
Status: Active
Time remaining: 495.5965885s
Mode: 1 (Symmetrically active)
Stratum: 0 (not specified)
Peer Retrieval Interval: 0 (not specified)
Host polling interval: 4 (16s)命令w32tm /resync /rediscover输出
Resynchronize command is sent to the local computer.
The computer was not synchronized because no time data was available.非常奇怪的行为。有谁有办法解决这个问题?
回答 1
Server Fault用户
发布于 2020-12-08 10:23:20
找到了解决方案的问题,经过了很多小时的研究..在我的例子中,是惠普的开关HPE OfficeConnect 1820。
最新的惠普产品的一个特性(18xx系列,如1810 G.)叫做“汽车DoS”。您可以在“安全性”和“高级安全性”部分找到它。如果启用自动DoS功能,通信将根据以下条件之一被阻塞:源端口(TCP / UDP)与目标端口(NTP、SYSLOG等)相同-源端口(TCP / UDP)是“特权”的,因此在1-1023范围内。这将导致各种问题,但首先:“为什么第三层是第二层设备过滤?”这简直是疯了。NTP不再工作了。Syslog的流量是不会变化的。VPN通信量可能不会到达。这个问题花了我很多时间来解决。我第一次指责我们的防火墙,但实际的流量到达标记的主干端口,在受影响的交换机。通信量不知何故没有发送到连接目标设备的交换机端口。受影响产品: HP ProCurve 1810G - J9449A (8个端口)和J9450A (24个端口)
因此,在禁用自动DoS保护功能后,它将按预期工作。因为Windows中的Source现在是正确的IP列表,而不是本地CMOS时钟,现在我看到了tcpdump中的流量。因此,如果其他人使用惠普交换机,这可能是解决方案。
经过更多的研究,似乎只有选项Prevent UDP Blat Attack必须被禁用。如前所述,这里,Prevent UDP Blat Attack – UDP Source and Destination Port match。因此,在查看tcpdump之后,我发现我的UTM和Windows Server都使用端口123,所以难怪这个选项会阻塞流量.
这里是最后配置的截图。
https://serverfault.com/questions/1045300
复制相似问题
腾讯云开发者
