Idő szinkron problémák Windows 2k rendszereknél
Készítő: Varga Zoltán (
[email protected]) Projekt: LDAP Dátum: 2002. 05. 08.
Budapesti Műszaki és Gazdaságtudományi Egyetem Schönherz Zoltán Kollégium Kollégiumi Számítástechnikai Kör http://kszk.sch.bme.hu
Tartalomjegyzék 1. A pontos idő fontossága.....................................................................................................................................3 1.1 A Kerberos-hitelesítés és az idő kapcsolata.............................................................................................3 1.2 A pontos idő mindenhol fontos ...............................................................................................................3 2. Hogyan szinkronizáljuk az időt egy W2k / XP számítógépen NT4.0 domainben?......................................3 2.1 A probléma...............................................................................................................................................3 2.2 A megoldás..............................................................................................................................................4 2.3 Figyelem!.................................................................................................................................................4 3. Active Directory replikáció meghiúsulása (W2k)............................................................................................4 3.1 A probléma...............................................................................................................................................4 3.2 A megoldás..............................................................................................................................................4 4. Windows NT alapú BDC W2k domainben......................................................................................................4 4.1 A W2k DC működési módjai...................................................................................................................4 4.2 Hibalehetőség...........................................................................................................................................5 5. A W32Time szolgáltatás registry-beállításai...................................................................................................5 6. Felhasznált segédanyagok, ajánlott irodalom..................................................................................................6
2/6
IDŐ SZINKRON PROBLÉMÁK
KSZK
: LDAP PROJEKT
1. A pontos idő fontossága Napjaink hatalmas számítógéphálózataiban egyre fontosabb szerephez jut a pontos idő. Néhány példa: w
Windows domainekben a Kerberos hitelesítéshez szükséges;
w
Meghiúsulhat az Active Directory replikáció;
w
Naplóbejegyzések, levelek, fájlok módosítási időpontjának ismerete biztonsági kérdés.
A számítógépek saját belső órával rendelkeznek, mely lehetővé teszi, hogy időzített alkalmazásokat futtassunk. Az órát bizonyos időközönként ajánlott a halózaton lévő többi órával szinkronizálni. Az időszinkronizációs szolgáltatás segítségével a számítógépek automatikusan igazodnak egy kitüntett gép órájához. Így elérhető, hogy a hálózat összes gépén pontos idő álljon rendelkezésre. A Windows XP hetente egyszer automatikusan megpróbál időt szinkronizálni a hálózaton keresztül. A Network Time Protocol (NTP) a legelterjedtebb idő-szinkronizációs protokoll (RFC 1305). Ennek egy egyszűbb változata az Simple Network Time Protocol (SNTP). Mindkettő a 123-as portot használja kommunikációra, ezért figyeljünk rá, hogy a tűzfalunkon ez engedélyezve legyen. Napjainkban rengeteg internetes időszerver áll rendelkezésünkre, melyeket felhaszálhatunk hitelesítesí célokra. Részletes lista a Q262680 cikkben található.
1.1 A Kerberos-hitelesítés és az idő kapcsolata A Windows 2k egy új idő-szinkronizációs szolgáltatást (W32Time) használ, mely a domainben futó Windows 2k szerverek dátum és idő szinkronizálásáért felel. Windows 2k domainek esetén kritikus a pontos idő, mert az elsődleges felhasználó hitelesítési protokoll a Kerberos 5-ös verziója. Ennek egyik jellemzője, hogy ticketeket használ, mely egy időbélyeget is tartalmaz. Az időbélyegek egyik célja, hogy megakadályozzák a 'replay támadásokat': ennek a lényege, hogy egy megszerzett (pl. snifferrel) ticketet újra elküldve be lehetne törni a rendszerbe. Ezt a hibát természetesen kivédi a Kerberos 5, a domain controllerek (továbbiakban DC) tárolják a már beérkezett ticketeket, és ha ugyanazt kapják meg, visszautasítják a kérést. Egy másik fontos biztonsági eljárás, hogy az időbélyegek csak rövid ideig érvényesek: ha 5 percnél nagyobb eltérés mutatkozik a kiszolgáló és munkaállomás órája között, a hitelesítés meghiúsul. Az 5 perc az alapbeállítás, ez megváltoztatható az alábbi helyen: Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy
1.2 A pontos idő mindenhol fontos A Kerberos előbb említett tulajdonságai miatt az Active Directory replikációhoz is elengedhetetlen az időszinkronizáció. Sok bosszúságtól kímélhetjük meg magunkat, ha bármiféle komolyabb hibakeresés előtt ellenőrzünk egy olyan banális dolgot, mint az időbeállítás. A naplózásnál, e-mail küldésnél elég kellemetlen lehet, ha a pontatlan időbeállítás miatt hibás adatok kerülnek a rendszerbe. Tehát látható, hogy igen fontos a hálózatba kötött gépeinken az idő szinkronizációja.
2. Hogyan szinkronizáljuk az időt egy W2k / XP számítógépen NT4.0 domainben? 2.1 A probléma Az eseménynapló Rendszer részében megjelenhet egy 64-es kódú W32Time figyelmeztetés. Ennek az oka, hogy egy W2k alapú hálózatban a Windows a W32Time szolgáltatást használja az idő és dátum szinkronizálására. W2k alapú gépeknek nincs szükségük szinkronizációs beállításokra, megpróbálnak alapból egy W2k alapú DC-ről hitelesíteni, ha pedig nem találnak ilyet a domainben, akkor ez meghiúsul.
3/6
IDŐ SZINKRON PROBLÉMÁK
KSZK
: LDAP PROJEKT
2.2 A megoldás Az NT4.0 alapú DC-en, mely a W32Time-ot futtatja, írjuk át a %SystemRoot%\W32time.ini fájlt, és állítsuk be a "LocalNTP=yes" értéket. Ugyanezen a számítógépen hajtsunk végre három parancssori utasítást: net stop w32time w32time -update net start w32time A W2k alapú gépen írjuk parancssorba az alábbi utasítást: net time /setsntp:
ahol értelemszerűn a a domain controllerünk neve. XP alapú gépeken az eljárás megegyezik a W2k-s megoldással.
2.3 Figyelem! A net time /setsntp: futtatása egy W2k gépen módosítja a W32Time paramétereit a registryben. Ha NT-ről W2k alapú domainre térünk át, feltétlen állítsuk vissza a W32Time szolgáltatást! Ehhez töröljük a az “ntpserver” értéket, és a “Type” értékét írjuk át “ntp”-ről “nt5DS”-re az alábbi helyen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
3. Active Directory replikáció meghiúsulása (W2k) 3.1 A probléma Előfordulhat, hogy két DC közti Active Directory replikáció a következő hibával zárul: The RPC server is unavailable. vagy The RPC server is too busy to complete this operation. Ennek egy lehetséges oka, hogy a két domain controller közti időeltérés miatt a Kerberos autentikáció nem valósul meg (lásd 1.1-es pont).
3.2 A megoldás Először is szerezzük meg, és telepítsük fel a legújabb W2k-s service packet. Az időszinkronizáció egyik módja, hogy a net time paranccsal az elsődleges domain controllerrel szinkronizálunk: net time \\PDC /set /y ahol a PDC az elsődleges (primary) DC. Ezen utasítás hatására a gépünk lekérdezi a PDC óráját, és a /set hatására beállítja a helyi gépen. A /y kapcsoló a megerősítést ugorja át (yes).
4. Windows NT alapú BDC W2k domainben 4.1 A W2k DC működési módjai Egy Windows 2000 Domain Controller kétféle üzemmódban használható: natív és mixed módban. Mixed módban megengedett, hogy W2k és NT alapú DC-k között SAM replikácó történjen. Natív módban ez nem lehetséges, csak W2k Domain Controllerek között lehetséges a replikáció. Figyelem! A Windows 2000 csak a mixedről a natív módra való átállást támogatja, fordítva nem működik!
4/6
IDŐ SZINKRON PROBLÉMÁK
KSZK
: LDAP PROJEKT
4.2 Hibalehetőség Ha a W2k Domain Controller native módba van állítva, az NT alapú BDC (Backup Domain Controller) nem tud szinkronizálni (ezt 5 percenként a naplófájlba is bejegyzi.) Mindenképpen figyeljünk rá, hogy a W2k DC-nk milyen módban fut!
5. A W32Time szolgáltatás registry-beállításai A kulcs: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters A módosítások után újra kell indítani a W32Time-ot, hogy életbe lépjenek az új beállítások. Néhány hasznos beállítás: Naplózás engedélyezése: Value name: Log Data type: REG_DWORD Value: 0x00000064 (Hex) Value name: WriteLog Data type: REG_SZ Value: True Az SNTP szerver elindítása: Value name: LocalNTP Data type: REG_DWORD Values:
0: alapértelmezett, csak akkor indul el, ha a gép a domain controller; 1: mindig elindul.
Hány perc után keresse újra a DC-t, ha az utolsó kísérlet sikertelen volt (opcionális): Value name: GetDcBackoffMinutes Data type: REG_DWORD Value: 15 (alapértelmezett) Milyen gyakran történjen időszinkronizáció: Value name: Period Data type: REG_DWORD vagy REG_SZ Values: Vagy duplaszót (REG_DWORD) vagy karakterláncot (REG_SZ) használunk: 0 = naponta; 65535, "BiDaily" = 2 naponta; 65534, "Tridaily" = 3 naponta; 65533, "Weekly" = hetente. A számítógép megbízható időforrás (opcionális): Value name: ReliableTimeSource Data type: REG_DWORD 5/6
IDŐ SZINKRON PROBLÉMÁK Values:
KSZK
: LDAP PROJEKT
0: alapértelmezett, a gépnek nincs megbízható ideje; 1: a gép ideje megbízható, DC-k esetén hasznos beállítás.
Hogyan szinkronizáljon a számítógép: Value name: Type Data type: REG_SZ Values:
Nt5DS: alapértelmezett, domainben lévő számítógépről; NTP: manuálisan beállított forrásból. NoSync: nem szinkronizál.
6. Felhasznált segédanyagok, ajánlott irodalom http://www.szgti.kando.hu/~mtoth/segedanyagok/A%20DES%20sztori/Cryptography/Crypto_compendiu m/~jsavard/crypto/mi060702.htm http://www.wsh.hu/cikk/timesync.htm http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/prodtechnol/acs/proddocs/ac2k/acjg ma_tdsync.asp http://www.microsoft.com/windows2000/docs/wintimeserv.doc Microsoft tudásbázis: Q258059: How to Synchronize the Time on a Windows 2000-Based Computer in a Windows NT 4.0 Domain Q314345: "Event ID:64" Error Message on a Windows XP-Based Computer in a Windows NT 4.0 Domain Q257187: RPC Error Messages Returned for Active Directory Replication When Time Is Out of Synchronization Q307937: Configuring the Time Service to Log When the Time Is Changed Q223184: Registry Entries for the W32Time Service Q262680: A List of the Simple Network Time Protocol Time Servers That Are Available on the Internet
6/6
