Multiple Domain Controllers NTP Sync

In een netwerk wil je natuurlijk graag dat alle servers op tijd staan, en belangrijker nog : synchroon met elkaar lopen.

Normaal gesproken zal elke Domain Controller syncen via NTP met een externe NTP Server zoals bijvoorbeeld nl.pool.ntp.org
Deze externe server is eigenlijk een loadbalancer welke je verzoek doorstuurt naar 1 van de endpoints in het NTP cluster.
Het kan zijn dat enkele NTP servers tienden, honderden of duizendsten van secondes voor of achter lopen en als je 4 Domain Controllers hebt die elk met een andere NTP server syncen kan dit voor een kleine onderlinge afwijking zorgen.

Normaliter is het zo dat dit niet snel een probleem zal opleveren, maar als een systeem wordt gebruikt waarbij honderden berichten per seconde worden afgehandeld en aan de hand van de timestamp van dat bericht gekoppeld moet worden aan een procedure, dan heb je wel een probleem als je servers niet exact synchroon lopen.

Een 100% Fail-Safe oplossing durf ik nog niet te beweren aangezien dit nog getest wordt, maar hier een mogelijke oplossing :

Situatie :
Er zijn 4 Domain Controllers, waarvan 1 PDC is. Deze Domain Controllers dienen allemaal qua tijd synchroon te lopen, zo nauwkeurig mogelijk.

Wat we willen :
We willen dat de PDC Synct met een externe NTP Server zoals nl.pool.ntp.org
De 3 andere DC’s moeten syncen met de PDC. Hiermee bereiken we dat de 4 DC’s synchroon lopen.
Overigens staan de DC’s op 3 verschillende sites, onderling gekoppeld met Dark Fiber.

Onderstaand de situatie die we willen bereiken :
ntp-sync-pdc

Werkwijze :
Als eerste moeten we ervoor zorgen dat SVR-DC01 gaat NTP Syncen met nl.pool.ntp.org en dat deze een Reliable NTP Server wordt voor het netwerk zodat clients deze server “vertrouwen” als NTP server.
Dit doen we op SVR-DC01 met het commando :
w32tm /config /manualpeerlist:nl.pool.ntp.org /syncfromflags:manual /reliable:yes /update
Doel : hiermee geven we aan dat SVR-DC01 moet NTP Syncen met nl.pool.ntp.org

Vervolgens voeren we op de overige DC’s de volgende commando’s uit :
w32tm /config /syncfromflags:DOMHIER /update
w32tm /resync /nowait /rediscover

Met /syncfromflags:DOMHIER geven we aan dat de DC zijn tijd moet syncen met een NTP server in het Domein.

Dat is eigenlijk al alles !
Je kunt nu met het commando “w32tm /monitor” controleren of alles in orde is :

w32tm-config

Je ziet dat DC01 extern synct en de secondary DC’s weer met DC01.
Zo hou je de onderlinge tijdsverschillen minimaal.

Cheers !

Reageer !

reacties