Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Amenda viteza - Germania

Adeverinta de reparatie de la pol...

Brd doreste date despre transferu...

Panouri fotovoltaice cu sprijin d...
 Unde pot vedea un film ratat la U...

Klarna

domeniul Public sau Domeniul Priv...

Adeziv policarbonat
 Consumul de curent al imprimantei...

MacBook Air 15.3-inch

Biocombustibil in benzina si moto...

Spor de putere energie electrica ...
 Pot face rost de inca un IP la Di...

ax modificat reteta noua

Fabricatie implant dentar

Ce material este recomandat sa fo...
 

Server timp - Domeniu

- - - - -
  • Please log in to reply
31 replies to this topic

#1
xtrip19

xtrip19

    Junior Member

  • Grup: Members
  • Posts: 122
  • Înscris: 14.08.2003
Administrez un domeniu cu 2 controlere de domeniu,unul - primary  Dc iar celalalt - backup DC . Problema este ca timpul domeniului este dat de cel de al doilea, si nu de primary Dc cum cred ca ar fi normal. Am tot incercat cu "net time" o sincronizare dar nu cred ca de acolo se poate rezolva problema iar din cate am citit prin help si docs inca nu mi-am dat seama. Tot de problema asta de sincronizare cred ca este si mesajul de warning care imi apare mereu in event viewer pe primary dc:

"Because of repeated network problems, the time service has not been able to find a domain controller to synchronize with for a long time. To reduce network traffic, the time service will wait 960 minutes before trying again. No synchronization will take place during this interval, even if network connectivity is restored. Accumulated time errors may cause certain network operations to fail. To tell the time service that network connectivity has been restored and that it should resynchronize, execute "w32tm /s" from the command line. "

pe unde as putea umbla/documenta sa rezolv prb?

#2
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,315
  • Înscris: 29.11.2001
asta nu te ajuta? un script-batch (vezi comanda AT) ...

Quote

w32tm [/? | /register | /unregister ]
 ? - this help screen.
 register - register to run as a service and add default
   configuration to the registry.
 unregister - unregister service and remove all configuration
   information from the registry.

w32tm /monitor [/domain:]
              [/computers:[,[,...]]]
              [/threads:]
 domain - specifies which domain to monitor. If no domain name
   is given, or neither the domain nor computers option is
   specified, the default domain is used. This option may be
   used more than once.
 computers - monitors the given list of computers. Computer
   names are separated by commas, with no spaces. If a name is
   prefixed with a '*', it is treated as a PDC. This option
   may be used more than once.
 threads - how many computers to analyze simultaneously. The
   default value is 3. Allowed range is 1-50.

w32tm /ntte
 Convert a NT system time, in (10^-7)s intervals from 0h 1-Jan 1601,
 into a readable format.

w32tm /ntpte
 Convert an NTP time, in (2^-32)s intervals from 0h 1-Jan 1900, into
 a readable format.

w32tm /resync [/computer:] [/nowait] [/rediscover] [/soft]
 Tell a computer that it should resynchronize its clock as soon
 as possible, throwing out all accumulated error statistics.
 computer: - computer that should resync. If not
   specified, the local computer will resync.
 nowait - do not wait for the resync to occur;
   return immediately. Otherwise, wait for the resync to
   complete before returning.
 rediscover - redetect the network configuration and rediscover
   network sources, then resynchronize.
 soft - resync utilizing existing error statistics. Not useful,
   provided for compatibility.

w32tm /stripchart /computer: [/period:]
   [/dataonly] [/samples:]
 Display a strip chart of the offset between this computer and
 another computer.
 computer: - the computer to measure the offset against.
 period: - the time between samples, in seconds. The
   default is 2s
 dataonly - display only the data, no graphics.
 samples: - collect samples, then stop. If not
   specified, samples will be collected until Ctrl-C is pressed.

w32tm /config [/computer:] [/update]
   [/manualpeerlist:] [/syncfromflags:]
   [/LocalClockDispersion:]
 computer: - adjusts the configuration of . If not
   specified, the default is the local computer.
 update - notifies the time service that the configuration has
   changed, causing the changes to take effect.
 manualpeerlist: - sets the manual peer list to ,
   which is a space-delimited list of DNS and/or IP addresses.
   When specifying multiple peers, this switch must be enclosed in
   quotes.
 syncfromflags: - sets what sources the NTP client should
   sync from. should be a comma separated list of
   these keywords (not case sensitive):
     MANUAL - include peers from the manual peer list
     DOMHIER - sync from a DC in the domain hierarchy

in rest - nu shtiu - nu m-am jucat cu tmerele ... imi tzin serveele up-to-date cu PTBSync (Atomic clock syncronization) - vezi ca-l gaseshti pe softpedia ...

are o singura buba - poate au rezolvat-o intre timp - pe win2000 s-a sincronizat la ora de iarna cu o luna mai devreme - dar cred ca e din cauza OSului ... pe XP a mers corect, pe win2k si win98 nu ...

Spor!

#3
xtrip19

xtrip19

    Junior Member

  • Grup: Members
  • Posts: 122
  • Înscris: 14.08.2003
w32tm este pentru a semnala sistemului ca am rezolvat problema. Eu nu problema sincronizarii serverului o am, ci a domeniului dupa server si nu stiu de unde setez asta; repet momentan este sincronizat cu back up domain controleru; dupa ce reusesc sa sincronizez domeniul cu serverul, dupa aia voi sincroniza si serverul; sau le face pe amandoua programelu pomenit mai sus?

#4
klaszlo

klaszlo

    Junior Member

  • Grup: Members
  • Posts: 141
  • Înscris: 11.07.2003
Exista posibilitatea declararii unui DC W2K ca si sursa reliable de timp cu  o cheie in registru:

ReliableTimeSource REG_DWORD pe 1.

Pentru detalii citeste docul cu numele "The Windows Time Service" de la Microsoft, articole tehnice.

Interesant ceea ce spui, fiindca tocmai am creat al doilea DC in domeniu si primul (cu rol de PDC) a ramas sursa de timp. E drept ca se sincronizeaza de afara.

Succes.

#5
xtrip19

xtrip19

    Junior Member

  • Grup: Members
  • Posts: 122
  • Înscris: 14.08.2003
klaszlo ce inseamna "din afara"? sa inteleg ca PDC este sincronizat din ext (banuiesc internet) si la randul sursa de timp a domeniului este serverul sincronizat?  

Credeti ca daca as incerca sincronizarea serverului  PDC in mod asemantor la o sursa de timp exterior, domeniul se va "acomoda" singur la noua situatie si il va lua pe acesta drept sursa?

#6
klaszlo

klaszlo

    Junior Member

  • Grup: Members
  • Posts: 141
  • Înscris: 11.07.2003
Exact, DC-ul cu rol de PDC din domeniu (sau alt server desemnat) se poate sincroniza cu o sursa externa de timp (Internet).
Statiile cu W2k (sau mai nou) din domeniu vor lua timpul de la  serverul de timp al domeniului (DC-ul cu rol de PDC din domeniu sau alt server desemnat). In docul amintit este o diagrama care te poate lamuri deplin.

#7
xtrip19

xtrip19

    Junior Member

  • Grup: Members
  • Posts: 122
  • Înscris: 14.08.2003
Am incercat o sincronizare a PDC-ului cu un server care il da microsoftu(ntp2.usno.navy.mil at 192.5.41.209) insa nu a mers ("The Ntp server din not respond"); cred ca e din cauza ca serverul meu 2k este in spatele unui proxy pe linux. Ma pot totusi sincroniza cu vreun server de pe net prin proxy?? ce nu inteleg e ca nici backup DC nu este sincronizat, si de ce totusi domeniu sincronizeaza dupa el?

#8
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,315
  • Înscris: 29.11.2001
trebuie deschis portul UDP remote 123 pentru ntp ...

#9
xtrip19

xtrip19

    Junior Member

  • Grup: Members
  • Posts: 122
  • Înscris: 14.08.2003
si merge prin proxy daca deschid acest port?

#10
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,315
  • Înscris: 29.11.2001
da,  teoretic da ...

#11
xtrip19

xtrip19

    Junior Member

  • Grup: Members
  • Posts: 122
  • Înscris: 14.08.2003
hmm..daca tot suntem pe aici...cum se deschide acest port?...stiam o data, am cautat prin helpuri..insa nimic...
oricum...
thnks again tiby, este..."meserias";)

#12
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,315
  • Înscris: 29.11.2001
asta depinde de softul / sistemul de operare folosit pe router ...

#13
z0z

z0z

    Member

  • Grup: Members
  • Posts: 626
  • Înscris: 05.05.2003
Domain-ul respectiv este Active Directory ? In Active Directory exista un asa-numit PDC Emulator (default primul Domain Controller instalat), tocmai pentru rolul asta. Acesta este de regula (dar nu intotdeauna) si Global Catalog.
Fara sincronizare de timp practic domain-ul Active Directory se transforma intr-un NT Domain, si ala vai-steaua-lui.
Ce anume trebuie sa faci gasesti aici: http://www.microsoft...e_upnt_tnko.asp
Pentru a te putea sincroniza la servere de NTP din exterior trebuie sa ai vizibil dinspre internet portul UDP 123. Daca nu vrei sa iti expui domain controller-ul la treaba asta, poti sa pui o masina linux, ieftina pe post de NTP server, si pe astuia sa ii expui portul respectiv, urmand ca tu sa iti faci sincronizarea serverului de 2000 pe linuxul respectiv. Personal iti recomand sa adopti metoda asta, datorita faptului ca ntpd-ul este extrem de bine pus la punct pe linux, si il poti configura/securiza lejer.

Sfat: acorda mare atentie NTP-ului si pe linux dar in special pe Win2k, un atac pe NTP poate sa aiba consecinte fatale.

#14
xtrip19

xtrip19

    Junior Member

  • Grup: Members
  • Posts: 122
  • Înscris: 14.08.2003
zOz Da , Domeniul este Active Directory, Serverul 2k nu are iesire direct in internet; serverul linux exista deja - proxy si mail; revenind la problema cu 2k server eu am declarat in registrii PDC-ului ca este o sursa reliable de timp, si ca NTP server - serverul insusi; partial problema pare rezolvata in sensul ca nu mai am nici un mesaj de eroare W32tm insa timpul domeniului tot de backup dc imi este dat; oricum acest fapt nu ma deranjeaza prea mult si nu cred ca constuie o problema dar daca stie cineva cum pot semnaliza domeniului ca sa treaca pe PDC ca sursa de timp va rog...luminati-ma si pe mine;
in ceea ce priveste securizarea..cred ca un atac prin masina linux spre domain controller este mai putin probabil; oricum de administrarea serverului linux care imi face internetu si mailu se ocupa deocamdata altcineva; cunostintele mele linux fiind sumare

#15
z0z

z0z

    Member

  • Grup: Members
  • Posts: 626
  • Înscris: 05.05.2003
cum ti-ai dat seama ca timpul este dat de BDC ?
In alta ordine de idei ... nu mi-ai spus daca rulezi Active Directory in Native Mode ...
Inca ceva, pe PDC Emulator NU seta un NTP din domain (deci nici pe el) ci NUMAI un server extern. De aceea iti recomand sa vorbesti cu adminul masinii linux, sa instaleze ntpd-ul pe linux si sa lase deschis portul 123 UDP pe masina linux (sa fie vizibil din internet). Dupa ce face toate astea (roaga-l sa ruleze ntptrace si sa verifice ca NTP-ul de pe linux are stratum mai mic de 16, ideal 2 sau 3 in functie de serverul de NTP la care se sincronizeaza) seteaza PDC-ul sa il foloseasca pe rol de NTP.
Atacurile pe NTP sunt extrem de periculoase, ele nu pot decat sa iti produca un "time skew" periculos in Active Directory unde autentificarea se face pe Kerberos (protocol dependent de timp). Oricum este de tinut minte ca Win32tm nu sincronizeaza masina daca diferenta de timp este mai mare de 30 min !

#16
klaszlo

klaszlo

    Junior Member

  • Grup: Members
  • Posts: 141
  • Înscris: 11.07.2003
Buna intrebarea lui z0z, chiar cum ti-ai dat seama ?
Sper ca nu ai in login script o linie cu NET TIME ... /SET.

Pentru a testa functionarea serviciului de timp propun:

- pe DC-uri: DCDIAG /v (se poate instala cu Support tools de pe CD-ul W2K Server)
Cauta orice eroare referitoare la serviciul de timp. La mine ambele DC-uri fac Advertising ca Time server si nu sunt erori in output.

- pe statii: W32TM -test -once -v
Produce un output detaliat din care vezi exact cu care DC se sincronizeaza statia.
Statia trebuie sa fie in domeniul AD.

Daca nici astea nu ajuta, atunci poate spui putin despre istoria domeniului (care DC a fost primul creat, a fost un upgrade sau reinstalare, etc), fiindca tot nu pricep de ce nu este PDC-ul domeniului tau sursa principala de timp...

#17
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
sincronizarea de timp are loc cu DC-ul care face autentificarea .. in cazul tau, probabil autentificarea este facuta de celalalt DC shi nu de PDC Emulator.

DC-ul ales pentru autentificare poate depinde de multzi factori: tipul de request, topologia AD din punct de vedere al site-urilor definite, modul de operare al domeniului (nativ sau mixed), OS-ul clientului, etc ...

schema de sincronizare a timpului folosita:
http://support.micro...kb;en-us;224799

detalii de configurare ai aici:
http://support.micro...kb;EN-US;216734

in concluzie, nu este important daca timpul este luat de pe celalalt DC; atata vreme cat PDC are ca sursa NTP un server extern este totul ok.

bafta!

#18
xtrip19

xtrip19

    Junior Member

  • Grup: Members
  • Posts: 122
  • Înscris: 14.08.2003
ZoZ: am sa iti urmez sfatul, in sensul ca deja am vb cu cel care se ocupa de administrarea serverului Linux sa imi configureze Ntp pe acea masina astfel incat sa ma pot sincroniza cu serverul PDC care dupa cum am zis l-am declarat sursa reliable de timp si Ntp server si nu mai am nici o eroare de timo; totusi o intrebare pt ca ai pomenit de atacurile pe Ntp: Serverele 2000 care sunt in spatele masinii Linux si deci nu au iesire directa in internet sunt vulnerabile in fata unor eventuale atacuri?

klaszlo: ti-am urmat instructiunile si atasat ai exact ce mi-a dat in urma lui dcdiag; unde: "server"- PDC; "Fileserver"- BDC
iar pe statii incercasem aceasta comanda initial si cum am zis imi arata ca timpul domeniului este dat de Fileserver.
Despre sisteme: Serverul PDC binenteles ca a fost primul creat si este un Compaq Proliant 2XPIII la 800 cu 1Gb ram; al doilea a fost instalat Fileserverul, care cu o placa obisnuita Intel bonanza PIV 2.6 cu FSB 800 si un 1 Gb ram si acesta a fost instalat din start cu dcpromo ca BDC.

PreTXT: sa inteleg din ceea ce imi spui intr-un fel sau altul se face o analiza si cel cu parametrii cei mai buni este luat drept sursa de timp?

Attached Files



Anunturi

Chirurgia spinală minim invazivă Chirurgia spinală minim invazivă

Chirurgia spinală minim invazivă oferă pacienților oportunitatea unui tratament eficient, permițându-le o recuperare ultra rapidă și nu în ultimul rând minimizând leziunile induse chirurgical.

Echipa noastră utilizează un spectru larg de tehnici minim invazive, din care enumerăm câteva: endoscopia cu variantele ei (transnazală, transtoracică, transmusculară, etc), microscopul operator, abordurile trans tubulare și nu în ultimul rând infiltrațiile la toate nivelurile coloanei vertebrale.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate