none
NTP Server через ISA Server RRS feed

  • Вопрос

  • Добрый день! Подскажите пожалуйста, как правильно настроить NTP Server? В роли шлюза выступает ISA Server. Какие разрешающие правила надо создать на ISA Server?

    kana

    10 октября 2012 г. 4:54

Ответы

  • День добрый.

    Вам надо создать правило.

    Name:              NTP Access 
    Action:             Allow 
    Protocols:         NTP ( TCP 123 outbound and UDP 123 send/receive
    From/Listener:  Local Host 
    To:                   NTP (Domain Name Set, set to *.ntp.org ) 
    Condition:        All Users 

    Configuring the Windows Time Service for Windows Server

    Если вам требуется точная синхронизация времени, то лучше использовать решение не связное с локальными сетями.

    Пример.

    NTP сервер Little Time Server (LTS)


    MCITP. Знание - не уменьшает нашей глупости.

    • Изменено Oleg.Kovalenko 10 октября 2012 г. 5:52
    • Помечено в качестве ответа Yuriy Lenchenkov 23 октября 2012 г. 12:45
    10 октября 2012 г. 5:36

Все ответы

  • День добрый.

    Вам надо создать правило.

    Name:              NTP Access 
    Action:             Allow 
    Protocols:         NTP ( TCP 123 outbound and UDP 123 send/receive
    From/Listener:  Local Host 
    To:                   NTP (Domain Name Set, set to *.ntp.org ) 
    Condition:        All Users 

    Configuring the Windows Time Service for Windows Server

    Если вам требуется точная синхронизация времени, то лучше использовать решение не связное с локальными сетями.

    Пример.

    NTP сервер Little Time Server (LTS)


    MCITP. Знание - не уменьшает нашей глупости.

    • Изменено Oleg.Kovalenko 10 октября 2012 г. 5:52
    • Помечено в качестве ответа Yuriy Lenchenkov 23 октября 2012 г. 12:45
    10 октября 2012 г. 5:36
  • А если я хочу отдельный сервер NTP, получается домен контроллер обращается к NTP серверу , а NTP сервер через ISA Server в интернет???

    kana

    10 октября 2012 г. 5:48
  • А если я хочу отдельный сервер NTP, получается домен контроллер обращается к NTP серверу , а NTP сервер через ISA Server в интернет???

    Да, вы правильно понимаете. Сервер или оборудование поддерживающее роль NTP service будет синхронизироваться с внешним источником времени. Внешний источник может быть как в интернете, так и GPS устройство(спутник) или радиосигнал.


    MCITP. Знание - не уменьшает нашей глупости.

    10 октября 2012 г. 5:58
  • Я имею ввиду ваше правило которое вы мне посоветовали, 

    From/Listener:  Local Host----->в правиле должно быть указано сам ИСА сервер или же мой внутренний NTP сервер? 
    To:  NTP (Domain Name Set, set to *.ntp.org) 


    kana

    10 октября 2012 г. 7:16
  • тот сервер который будет забирать время с внешних источников. чаще всего это pdc, но может быть и выделенная железка/сервер

    10 октября 2012 г. 7:58
    Отвечающий
  • From/Listener:  Здесь вы указываете от куда будет приходить запрос NTP во вне (PDC FSMO или NTP Server) 


    MCITP. Знание - не уменьшает нашей глупости.

    10 октября 2012 г. 8:10
  • Правила создал на ISA Servere для Ntp Server(не прописан в домене). Теперь не получается произвести синхронизацию с внешними серверами времени, ошибка следующая An error occured while Windows was cynchronizing with time.windows.com!!!

    kana

    10 октября 2012 г. 8:24
  • а в правиле куда разрешен трафик?
    10 октября 2012 г. 8:31
    Отвечающий
  • System Policy Allowed Sites ---->   *.microsoft.com

                                                           *.windows.com

                                                           *.windowsupdate.com


    kana

    10 октября 2012 г. 8:34
  • System Policy Allowed Sites это политика, а не правило.

    MCITP. Знание - не уменьшает нашей глупости.

    10 октября 2012 г. 8:58
  • а в этой политике сайты!!! либо сайты мне отдельно создать?

    kana

    10 октября 2012 г. 9:01
  • а есть уверенность что tmg резолвит ip адрес хоста куда по ntp ломится сервер в *.windows.com? открой просто в external и все

    10 октября 2012 г. 11:07
    Отвечающий
  • не проходить синхронизация в интернет(сделал external)!!! в чем может быть проблема?  

    kana

    10 октября 2012 г. 11:20
  • лог что пишет? возможно расположение правил неверное
    11 октября 2012 г. 8:35
    Отвечающий
  • Созданное правило: Allow->UDP123(Send-Recieve),TCP123(Outbound)->IP Address NTP Server(моего внутренного)->External->All USers

    в Логах: Time provider NtpCLient is configured to acquire time one or more time sources,however none of the sources are currently accessible. No attempt to contact a source will be made 480 minutes.NtpClient has no source of accurate time


    kana

    11 октября 2012 г. 8:45
  • я про лог tmg, чтобы понять где запрет )
    11 октября 2012 г. 8:57
    Отвечающий
  • кстати, когда я пытаюсь с помощью LOGGING на ISA Server проверить что именно не проходить, запросы на ISA Server не идут(((

    kana

    11 октября 2012 г. 9:05
  • а лог вообще включен? сами файлы логов есть? может фильтр какой неправильный?
    11 октября 2012 г. 9:08
    Отвечающий
  • А про этот момент можно по конкретнее?

    kana

    11 октября 2012 г. 9:13
  • про который из них?
    11 октября 2012 г. 9:19
    Отвечающий
  • про логи на иса?

    kana

    11 октября 2012 г. 9:21
  • ну если подробнее то вот.

    http://technet.microsoft.com/en-us/library/bb794817.aspx

    11 октября 2012 г. 9:25
    Отвечающий
  • Еще один пример правила.

    Allow NTP Time Synchronization
       The local PDC Emulator and select other network devices must be able to reach an external time server to 
    properly synchronize time. Most network devices can be pointed to your domain controllers, as long as 
    the DCs are configured to use NTP protocol. Some network devices, however, can only obtain time from 
    well-known external time sources. Following a procedure similar to how DNS access was defined, we 
    need to create a Computer Set for “NTP Clients”, and a rule to “Permit NTP to External”.
        I won’t repeat the detailed instructions in detail in the following rule definitions unless there is a 
    significant change, or additional detail is required.
     - Define a Computer Set called “NTP Clients”
     - Add the PDC Emulator to this set

    Вопросы:

    На FW DC порт открыт TCP/UDP 123?

    ISA для DC есть FW по умолчанию?


    MCITP. Знание - не уменьшает нашей глупости.


    11 октября 2012 г. 12:30
  • FW DC-что это?

    kana

    12 октября 2012 г. 7:13
  • имелся ввиду встроенный firewall на ntp сервере, даже если он включен то ntp трафик должен быть разрешен по-умолчанию

    надо проверить шлюз по умолчанию и обязательно логи

    12 октября 2012 г. 10:28
    Отвечающий