Cto-nk.ru

О Автосервисе доступно
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как синхронизация времени стала безопасной

Как синхронизация времени стала безопасной

Как сделать так, чтобы время per se не врало, если у вас есть миллион больших и малых устройств, взаимодействующих по TCP/IP? Ведь на каждом из них есть часы, а время должно быть верным на всех. Эту проблему без ntp невозможно обойти.

Представим себе на одну минуту, что в одном сегменте промышленной ИТ инфраструктуры возникли трудности с синхронизацией сервисов по времени. Немедленно начинает сбоить кластерный стек Enterprise ПО, распадаются домены, мастера и Standby узлы безуспешно стремятся восстановить status quo.

Возможна также ситуация, когда злоумышленник намеренно старается сбить время через MiTM, или DDOS атаку. В такой ситуации может произойти все что угодно:

  • истечет срок действия паролей учетных записей пользователей;
  • истечет срок действия X.509 сертификатов;
  • двухфакторная аутентификация TOTP перестанет работать;
  • бэкапы «устареют» и система удалит их;
  • сломается DNSSec.

Сломать NTP за 25 минут

Сетевые протоколы — милленниалы имеют одну особенность, они давно устарели и никуда уже не годятся, но заменить их не так-то легко даже тогда, когда набирается критическая масса энтузиастов и финансирования.

Основная претензия к классическому NTP в отсутствии надежных механизмов защиты от атак злоумышленников. Предпринимались разнообразные попытки решить эту проблему. Для этого сначала внедрили механизм заранее установленных ключей (PSK) для обмена симметричными ключами.

К сожалению этот способ себя не оправдал в виду простой причины — он плохо масштабируется. Нужна ручная настройка на стороне клиента в зависимости от сервера. Это значит, что вот так вот просто нельзя добавить еще одного клиента. Если на сервере NTP что-то меняется, надо перенастраивать все клиенты.

Тогда придумали AutoKey, но сразу же в нем обнаружили ряд серьезных уязвимостей в самом дизайне алгоритма и от него пришлось отказаться. Все дело в том, что начальное число (seed) содержит всего лишь 32-бита, оно слишком мало и не содержит достаточно вычислительной сложности для лобовой атаки.

  • Key ID — симметричный 32-битный ключ;
  • MAC (message authentication code) — контрольная сумма NTP пакета;

Где H() — криптографическая хэш функция.

Для расчета контрольной суммы пакеты используется та же функция.

Так получается, что вся целостность проверок пакетов держится на аутентичности кукис. Завладев ими, можно восстановить autokey и затем подделать MAC. Однако сервер NTP при их генерации использует начальное число (seed). Именно тут кроется подвох.

Функция MSB_32 отрезает от результата вычисления md5 хэша 32 старших бита. Клиентский куки не меняется до тех пор, пока параметры сервера неизменны. Дальше злоумышленнику остается лишь восстановить начальное число и получить возможность самостоятельно генерить куки.

Для начала следует подключиться к серверу NTP в качестве клиента и получить куки. После этого методом перебора злоумышленник восстанавливает начальное число следуя простому алгоритму.

Алгоритм атаки на вычисление начального числа методом перебора.

IP адреса известны, так что остается лишь создать 2^32 хэша до тех пор пока созданный куки не совпадет с тем, что получен от NTP сервера. На обычной домашней станции с Intel Core i5 на это уйдет 25 мин.

NTS — новый Autokey

Мириться с такими дырами в безопасности Autokey было невозможно и в 2012 г. появилась новая версия протокола. В целях скомпрометированного названия решили провести ребрендинг, так Autokey v.2 окрестили Network Time Security.

Протокол NTS является расширением безопасности NTP и в настоящее время поддерживает лишь одноадресный режим (unicast). Он дает надежную криптографическую защиту от манипуляций пакетами, предотвращает отслеживание, хорошо масштабируется, устойчив к потере сетевых пакетов и приводит к наименьшим потерям точности, возникающим в процессе защиты соединения.

NTS соединение состоит из двух этапов, в которых используются протоколы нижнего уровня. На первом этапе клиент и сервер договариваются о различных параметрах соединения и обмениваются куки, содержащими ключи со всем сопутствующим набором данных. На втором этапе происходит собственно защищенный NTS сеанс между клиентом и сервером NTP.

NTS состоит из двух протоколов нижнего уровня: Network Time Security Key Exchange (NTS-KE), инициализация безопасного соединения поверх TLS, и NTPv4 — последней инкарнации протокола NTP. Чуть подробнее об этом ниже.

Первый этап — NTS KE

На данном этапе NTP клиент инициирует TLS 1.2/1.3 сеанс по отдельному TCP соединению с сервером NTS KE. Во время этой сессии происходит следующее.

  • Стороны определяют параметры AEAD алгоритма для второго этапа.
  • Стороны определяют второй протокол нижнего уровня, но на данный момент лишь NTPv4поддерживается.
  • Стороны определяют IP адрес и порт NTP сервера.
  • NTS KE сервер выдает куки под NTPv4.
  • Стороны извлекают из материала куки пару симметричных ключей (C2S и S2C).
Читайте так же:
Как отрегулировать парсун лодочный мотор

Второй этап — NTP под защитой NTS

На втором этапе клиент безопасно синхронизирует время с NTP сервером. Для этой цели он передает четыре специальных расширения (extension field) в структуре NTPv4 пакета.

  • Unique Identifier Extension содержит случайный nonce для предотвращения атак путем повтора.
  • NTS Cookie Extension содержит один из имеющихся в наличие у клиента NTP куки. Поскольку только клиент располагает симметричными AAED ключами C2S и S2C, сервер NTP должен извлечь их из материала куки.
  • NTS Cookie Placeholder Extension способ для клиента запросить дополнительные куки с сервера. Это расширение необходимо, чтобы ответ сервера NTP не был намного длиннее, чем запрос. Это позволяет предотвратить атаки усиления.
  • NTS Authenticator and Encrypted Extension Fields Extension содержит шифр алгоритма AAED с C2S ключем, заголовком NTP, временными отметками, и упомянутыми выше EF в качестве сопутствующих данных. Без этого расширения возможно подделать временные отметки.

Получив запрос от клиента, сервер проверяет подлинность NTP пакета. Для этого он должен расшифровать куки, извлечь алгоритм AAED и ключи. После успешной проверки NTP пакета на валидность сервер отвечает клиенту в следующем формате.

  • Unique Identifier Extension зеркальная копия клиентского запроса, мера против атак путем повтора.
  • NTS Cookie Extension больше куки для продолжения сеанса.
  • NTS Authenticator and Encrypted Extension Fields Extension содержит шифр AEAD с S2C ключем.

NTPSec

В чем особенность NTP? Несмотря на то, что автор проекта Dave Mills старался как можно лучше документировать свой код, редкий программист сумеет разобраться в хитросплетениях алгоритмов синхронизации времени 35-детней давности. Часть кода написана до эпохи POSIX, а Unix API тогда сильно отличался от того, что используется в наши дни. Кроме того, нужны знания по статистике, чтобы очистить сигнала от помех на шумных линиях.

NTS была не первой попыткой починить NTP. После того, как злоумышленники научились использовать уязвимости NTP для усиления DDoS атак, стало ясно, что нужны радикальные перемены. И пока готовились и доводились до ума черновики NTS, National Science Foundation США в конце 2014 г. срочно выделил грант на модернизацию NTP.

Рабочую группу возглавил не абы кто, а Эрик Стивен Реймонд — один из основателей и столпов сообщества Open Source и автор книги Собор и Базар. Первым делом Эрик со товарищи попробовали перенести код NTP из платформы BitKeeper на git, но не тут-то было. Лидер проекта Harlan Stenn был против этого решения и переговоры зашли в тупик. Тогда было решено форкнуть код проекта, так возник NTPSec.

Солидный опыт, в том числе работа над GPSD, математический бэкграунд и магический навык чтения древнего кода — Эрик Реймонд был именно тем хакером, который мог вытащить такой проект. В команде нашелся специалист по миграции кода и всего за 10 недель NTP обосновалсяна GitLab-е. Работа закипела.

Команда Эрика Раймонда взялась за дело так же, как Огюст Роден при работе с глыбой камня. Удалив 175 KLOC старого кода, им удалось значительно сократить площадь атаки, закрыв множество дыр безопасности.

Вот неполный список попавших под раздачу:

  • Недокументированные, устаревшие, устаревшие или сломанные refclock.
  • Неиспользуемая библиотека ICS.
  • libopts/autogen.
  • Старый код для Windows.
  • ntpdc.
  • Autokey.
  • C код ntpq переписан на Python.
  • C код sntp/ntpdig переписан на Python.
  • Значительно усилена защита кода от переполнения буфера. Чтобы предотвратить переполнение буфера, все небезопасные строковые функции (strcpy / strcat / strtok / sprintf / vsprintf / gets) заменили безопасными версиями, которые реализуют ограничение размера буфера.
  • Добавлена поддержка NTS.
  • Десятикратно повысили точность временного шага с помощью привязки физического оборудования. Это связано с тем, что современные компьютерные часы стали гораздо точнее тех, что были в момент зарождения NTP. Больше всех от этого выиграли GPSDO и выделенные радиостанции времени.
  • Количество языков программирования сократилось до двух. Вместо скриптов Perl, awk и даже S, теперь сплошной Python. За счет этого больше возможностей повторного использования кода.
  • Вместо лапши скриптов autotools проект стал использовать систему сборки программного обеспечения waf.
  • Обновили и реорганизовали документацию проекта. Из противоречивой, и местами архаичной коллекции документов создали вполне сносную документацию. Каждый ключ командной строки и каждая сущность конфигурации теперь имеют единую версию правды. Кроме того, страницы руководства и веб документация теперь создаются из одних и тех же основных файлов.
Читайте так же:
Регулировка топливной аппаратуры ямз 240

Chrony

Была еще одна попытка заменить старый NTP более безопасный аналог. Chrony в отличие от NTPSec написан с нуля и предназначен для надежной работы в широком диапазоне условий, включая нестабильные сетевые соединения, частичная доступность или перегрузки сети и изменения температуры. Кроме того chrony обладает и другими преимуществами:

  • chrony может быстрее синхронизировать системные часы с большей точностью;
  • chrony меньше, потребляет меньше памяти и обращается к процессору только тогда, когда это необходимо. Для экономии ресурсов и энергии это большой плюc;
  • chrony поддерживает метки времени на аппаратном уровне в Linux, что обеспечивает чрезвычайно точную синхронизацию в локальных сетях.

Для отключения функциональности сервера и NTP запросов к процессу chronyd достаточно прописать port 0 в файл chrony.conf. Это делается в тех случаях, когда нет нужды обслуживать время для NTP клиентов или одноранговых узлов. Начиная с версии 2.0, порт сервера NTP открыт только в тех случаях, когда доступ разрешен директивой allow или соответствующей командой, либо же настроен одноранговый узел NTP, или используется директива broadcast.

Программа состоит из двух модулей.

  • chronyd — сервис, работающий в фоновом режиме. Он получает информацию о разнице системных часов с внешним сервером времени и корректирует локальное время. Он также реализует протокол NTP и может выступать в качестве клиента или сервера.
  • chronyc — утилита командной строки для мониторинга и контроля программы. Используется для тонкой настройки различных параметров сервиса, например позволяет добавлять или удалять серверы NTP в то время, как chronyd продолжает работать.

Как настроить собственный удаленный сервер chrony в интернете для синхронизации времени в офисной сети. Далее пример настройки на VPS.

Пример настройки Chrony на RHEL / CentOS на VPS

Давайте теперь немного потренируемся и поднимем свой собственный NTP сервер на VPS. Это очень просто, достаточно выбрать подходящий тариф на сайте RuVDS, получить готовый сервер и набрать с десяток несложных команд. Для наших целей вполне подойдет такой вариант.

Переходим к настройке сервиса и первым делом ставим пакет chrony.

RHEL 8 / CentOS 8 используют другой пакетный менеджер.

После установки chrony нужно запустить и активировать сервис.

При желании можно внести правки в /etc/chrony.conf, заменив сервера NPT на ближайшие локальные для сокращения времени отклика.

Далее настраиваем синхронизацию NTP сервера с узлами из указанного пула.

Необходимо также открыть наружу NTP порт, иначе межсетевой экран будет блокировать входящие соединения от клиентских узлов.

На стороне клиента достаточно правильно выставить часовой пояс.

В файле /etc/chrony.conf указывает IP или название хоста нашего VPS сервера, на котором запущен NTP server chrony.

И наконец запуск синхронизации времени на клиенте.

В следующий раз расскажу, какие есть варианты синхронизации времени без интернета.

Как настроить надежную синхронизацию времени Windows?

У меня неправильное время на моей машине с Windows. Я не уверен, как указать правильный часовой пояс и настроить синхронизацию NTP. Когда я использую конфигурацию с двойной загрузкой в Linux (Ubuntu), мое время уменьшается на два часа при каждой загрузке Windows.

Как настроить надежную синхронизацию времени в моей ОС Windows 8?

2 ответа 2

Ответ на самом деле разница часовых поясов — смотрите это:

  1. редактировать /etc /default /rcS
  2. добавить или изменить следующий раздел

Это руководство предоставит вам надежную синхронизацию времени в Windows 8 и Windows 7. Также это позволит вам преодолеть некоторые трудности при использовании двойной загрузки с Linux.

Обратите внимание: вам понадобятся административные привилегии для завершения этой настройки.

Если у вас возникли проблемы, вопросы, идеи — оставьте комментарий.

Выберите правильный часовой пояс

Прежде всего, вам нужно открыть окно настройки Date and Time . Вы можете сделать это, щелкнув правой кнопкой мыши на виджете времени на панели инструментов и выбрав « Adjust date/time . Затем вы должны нажать кнопку Change time zone. Теперь убедитесь, что ваш часовой пояс настроен правильно. Если нет, выберите нужный из выпадающего меню.

Если вы не знаете свой часовой пояс в стандарте UTC, вы можете найти его здесь. Просто выберите вашу страну и город в левом меню. Ваш часовой пояс будет записан под текущим временем: например, по московскому времени (MSK) +0400 UTC

Теперь закройте окно, нажав кнопку OK .

Читайте так же:
Регулировка тнвд ямз 238 угол опережения зажигания

Выберите NTP-сервер

Откройте вкладку « Internet Time и нажмите кнопку « Change settings. (вам потребуются права администратора). Убедитесь, что в открывшемся окне установлен флажок.

Теперь мы хотим указать действительный NTP-сервер. Это позволит вашему компьютеру автоматически синхронизировать время с удаленного сервера. Я бы порекомендовал вам использовать сервер с ntp.org. Просто откройте веб-сайт, выберите нужный регион в правом меню (например, Европа), выберите свою страну на следующей странице. Теперь вы должны увидеть в заголовке адрес соответствующего NTP-сервера для вашей страны, например: Российская Федерация — ru.pool.ntp.org. Скопируйте этот адрес и вставьте его в текстовое поле « Server диалогового окна « Internet Time Settings . Нажмите OK .

Теперь вы можете закрыть окно « Date and Time .

Время обновления при загрузке

Следующее, что мы должны сделать, это настроить Task Scheduler чтобы он обновлял наше время в процессе загрузки.

Откройте Control Panel . Найдите Administrative Tools и откройте его. Теперь откройте Task Scheduler из списка инструментов администрирования.

Нажмите Actions > Create Task.

На вкладке General :

  • Укажите имя, например: Синхронизировать время
  • Установите флажок Run whether user is logged on or not
  • Tick Run with highest privileges
  • Убедитесь, что выбран правильный пользователь (он должен иметь права администратора). Вы можете изменить пользователя, нажав Change user or Group

На вкладке Triggers :

Нажмите кнопку New.

Выберите At startup из выпадающего меню Begin the task .

Вы также можете создать другие триггеры, если хотите. Например, вы можете запускать эту задачу каждый час, чтобы убедиться, что у вас есть точное время

Нажмите кнопку OK .

На вкладке Actions :

Нажмите кнопку New.

Заполните форму согласно этим значениям:

Программа / скрипт: schtasks

Добавьте аргументы (необязательно):

/Run /I /TN «MicrosoftWindowsTime SynchronizationForceSynchronizeTime»

Мы используем консольную утилиту schtasks для запуска специальной задачи Microsoft, которая поставляется вместе с Windows под названием ForceSynchronizeTime, которая используется для принудительного обновления даты и времени.

Нажмите кнопку OK .

На вкладке Conditions :

  • Снимите флажок Start the task only if the computer is on AC power

На вкладке « Settings »:

Отметьте галочкой Run task as soon as possible after a scheduled start is missed

Отметьте, If the task fails, restart every и выберите 1 minute , а также укажите 15 times чтобы Attempt to restart up to .

Установите флажок Stop the task if it runs longer than и укажите 5 minutes .

Нажмите кнопку OK .

Введите пароль для выбранного пользователя, когда будет предложено.

Тест (необязательно)

Отрегулируйте время вручную, чтобы оно стало неправильным. Щелкните правой кнопкой мыши по созданной задаче в списке задач и выберите « Выполнить». Если все настроено правильно, ваше время будет обновлено с выбранного NTP-сервера.

Служба времени в Windows 2000

Часы и календарь для персональных компьютеров всегда были камнем преткновения. В эпоху ранних версий DOS время и дату приходилось вводить каждый раз при запуске системы. Так было до тех пор, пока на ПК не начали использовать батарейки питания для часов и календаря. Материнские платы со встроенными часами и календарем были запущены в производство в 1984 г.

Однако эти встроенные элементы не очень точны. Обследование нескольких дюжин компьютеров в любом офисе покажет, что время на разных машинах может отличаться более чем на час, и на всех оно не соответствует реальному времени. Поэтому разработчики стали искать более точные источники времени.

Очевидно, что таким централизованным источником времени в сети могут служить серверы. В то время как серверы Novell NetWare уже несколько лет могли автоматически синхронизировать время на всех компьютерах сети при регистрации с них на сервере, продукты Microsoft подобные функции не поддерживали. Зная несколько хитростей, о которых я расскажу позже, можно было синхронизировать время рабочих станций Windows NT со временем сервера NT, но эта методика не очень широко известна. Кроме того, нельзя синхронизировать время рабочей станции NT со временем сервера, не изменяя прав пользователя, заданных по умолчанию.

Windows 2000 упрощает процесс синхронизации времени в NT с помощью новой встроенной службы Windows Time Service. Эта системная служба почти не требует администрирования. Компьютеры, на которых установлена система Windows 2000 Professional, и серверы с любой версией Windows 2000 Server сверяют свое системное время и дату со временем и датой контроллера домена (DC), обеспечивающего аутентификацию данной рабочей станции или автономного сервера. Но компьютер или сервер синхронизирует свое время со временем DC не только в процессе аутентификации: синхронизация времени производится приблизительно каждые 8 ч или каждый раз при регистрации пользователя.

Читайте так же:
Регулировка тока зарядки по первичной обмотке

Со своей стороны, контроллеры домена синхронизируют свое время с одним конкретным контроллером в домене — мастером операций, который играет роль эмулятора PDC. По умолчанию, эмулятором PDC становится первый контроллер, устанавливаемый в домене. Но с чем каждый PDC-эмулятор домена синхронизирует свое время? С эмулятором PDC первого домена, который был создан (т. е. с тем DC, который используется в качестве эмулятора в корневом домене леса). Таким образом этот компьютер в корне леса играет роль главных часов и календаря для целого леса Active Direc-tory (AD). Кроме того, основной хронометрист различает временные зоны.

Теперь поясню, как установить синхронизацию основного компьютера времени, т. е. корневого PDC-эмулятора леса, с реальным временем. Для этого следует ввести команду

Параметр /setsntp команды Net Time показывает, что используется Simple Network Time Protocol (SNTP), стандартный протокол Internet. Internet Engineering Task Force (IETF) Request for Comments (RFC-2030), датированный октябрем 1996 г., определяет SNTP. Можно указать любой сервер времени SNTP в Internet для корневого PDC-эмулятора леса и заставить его синхронизировать свое время с временем этого сервера. Многие брандмауэры включают сервер времени, так что для конкретного контроллера — эмулятора PDC — нет нужды обращаться куда-либо из своей внутренней сети для синхронизации с SNTP-сервером. Но если брандмауэр требуется настраивать, то нужно иметь в виду, что SNTP использует 123-й порт UDP.

В поисках времени

Где найти SNTP-серверы? В Соединенных Штатах существует лаборатория военно-морского флота, которая поддерживает ряд серверов времени, включая tick.usno.navy.mil и tock.usno.navy .mil. По своему опыту могу сказать, что большинство DNS-серверов провайдеров IS также могут быть SNTP-серверами. Так, если один из DNS-серверов называется ns2.bigisp.com, можно набрать команду

для синхронизации мастера операций с DNS-сервером.

В документации Microsoft по команде Net Time /setsntp сказано, что в команде можно указать и список серверов. Да, но есть одна тонкость: список нужно заключить в кавычки, а имена серверов разделить пробелами. Например, для того, чтобы сервер осуществлял поиск времени сначала на www.acme.com, а затем, в случае необходимости, на www.apex.com, нужно набрать

Если требуется использовать внешний источник времени, то нужно сначала удостовериться, что подобный сервер времени существует. В документации Microsoft сообщается, что достаточно ввести только Net Time для определения времени на SNTP-сервере, но этот способ мне не подходит. Убедиться, что Windows Time Service действительно работает, можно с помощью средства командной строки W32tm. Но для начала наберите команду

чтобы остановить Windows Time Service. Затем можно проверить время источника, для чего следует ввести

чтобы установить время от источника времени однократно (по умолчанию W32tm обновляет время периодически). Система выдает страницу запутанной информации; в случае успешного выполнения команды в одной из строк появится Recv`ed from server 48 Bytes. Далее необходимо набрать

чтобы снова запустить службу времени.

После первоначальной синхронизации с сервером времени компьютер снова сверяет с ним свое время через 45 мин. Если выясняется, что разница между показаниями часов сервера времени и системных часов компьютера не превышает 2 с, интервал ожидания следующей сверки с сервером времени удваивается. Если через полтора часа разница во времени остается в пределах 2 с, компьютер продолжает удваивать интервал синхронизации и проверять точность времени и, наконец, останавливается на интервале приблизительно 8 ч.

Если неизвестно, с каким SNTP-сервером синхронизируется система, в командной строке следует ввести:

Правда, эта команда работает только на PDC-эмуляторе в корне леса. Как для других компьютеров сети определить их источник времени, мне неизвестно. Поэтому даже если другой PDC-эмулятор этого леса указывает на корневой PDC-эмулятор, очевидно, что нельзя получить информацию о компьютере, который находится не в корне леса.

Windows Time Service особенно пригодиться тем, кто использует Windows 2000, но еще не перешел к AD. Как я уже сказал, можно дать корневому PDC-эмулятору леса команду сверять свои часы с SNTP-сервером, но можно также использовать команду Net Time /setsntp, чтобы любой компьютер синхронизировал время с SNTP-источником. Если задать команду Set Time на компьютере, который не является членом домена Windows 2000, может обнаружиться, что Windows Time Service не устанавливает на нем время. Мой опыт показывает, что Windows Time Service для систем, не являющихся членами домена, запускается вручную. Поэтому если есть «одинокий» компьютер и нужно автоматически синхронизировать его системное время и дату с SNTP-источником, следует установить службу Win-dows Time Service в режим автоматического запуска.

Читайте так же:
Зил 130 сцепление как отрегулировать лапки сцепления

Хранение времени на клиенте NT

А как устанавливается время на компьютерах с NT 4.0 и Windows 9x? Чтобы использовать SNTP-сервер для установки времени на одной из таких систем, необходима лишь часть программного обеспечения SNTP-клиента, чтобы сыграть роль, которую Windows Time Service выполняет в Windows 2000. Существуют различные SNTP-клиенты для систем Windows, их можно поискать на любом сайте со свободно распространяемым программным обеспечением SNTP или Tardis (Tardis — популярный SNTP-клиент для UNIX). В Microsoft Windows NT Resource Kit имеется утилита W32time, которую можно использовать в качестве клиента для NT, обеспечивающего поддержку SNTP. Его можно загрузить по адресу: ftp://ftp.microsoft.com/reskit/y2kfix .

Можно внести изменение в реестр, чтобы превратить системы Windows 2000 в SNTP-сервер. В HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesW32 TimePara-meters найдите параметр LocalNTP типа REG_DWORD. Измените его значение с 0 на 1. После перезагрузки Windows Time Service, данный ком-пьютер с системой Windows 2000 будет функционировать как SNTP-сервер.

Таким образом, если в организации совместно используются Windows 2000, NT и Windows 9x, то можно установить одну систему Windows 2000 для синхронизации времени с Internet и для обслуживания оставшейся части машин рабочей группы. Затем следует установить программное обеспечение клиента SNTP на всех других машинах и определить систему с Windows 2000 как SNTP-сервер. Тогда все машины смогут синхронизировать время даже без использования AD.

Пример настройки локального NTP сервера для работы с устройствами NetPing

Для синхронизации времени устройства NetPing используют протокол NTP. При помощи этого протокола все устройства в сети корректируют своё время по указанному серверу. Устройства NetPing, подключенные к Internet, могут использовать публичный NTP сервер, как рекомендовано в статье. Если доступа к сети Internet нет, то можно настроить локальный NTP сервер. Таким сервером может являться любой компьютер с ОС Windows с настроенной службой W32TimeСлужба времени Windows»). Данная служба не имеет графического интерфейса и настраивается либо через командную строку либо путём правки ключей реестра.

Инструкция по настройке сервера NTP на ОС Windows 7/8/2008/2012

Рассмотрим настройку службы времени через редактирование реестра. Настройка происходит одинаково для версий Windows 7/8, Windows Server 2008, Windows Server 2012.

Для данной настройки необходимо обладать правами администратора ОС Windows

Открываем редактор реестра либо через диалоговое окно «Выполнить», вызванное комбинацией клавиш «Win» + «R», либо через форму поиска, где набираем «regedit».

Пример настройки локального NTP сервера для работы с устройствами NetPing

В открывшемся редакторе в левом древовидном меню открываем «ветвь» «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesW32TimeTimeProvidersNtpServer», где ищем ключ с названием «Enable». Нажимаем правой кнопкой мыши и выбираем «Изменить». Меняем значение ключа с на 1.

Пример настройки локального NTP сервера для работы с устройствами NetPing

Изменив данный параметр, мы указали, что данный компьютер выступает в роли сервера NTP. Компьютер одновременно остаётся клиентом и может синхронизировать своё время по другим серверам в Internet или локальной сети. Если вы хотите, чтобы в качестве источника данных выступали внутренние аппаратные часы, то измените значение параметра ключа AnnounceFlags на 5 в ветке « HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig ».

Пример настройки локального NTP сервера для работы с устройствами NetPing

Для вступления изменений в силу нам необходимо перезапустить службу. Доступ к службам осуществляется через «Панель управления» из меню «Пуск» -> «Панель управления» -> «Администрирование» -> «Службы». Также она находится в форме поиска при вводе «services.msc». В появившемся списке служб находим интересующую нас «Служба времени Windows» и через меню, вызванное правой кнопкой мыши, выбираем пункт «Перезапустить».

Пример настройки локального NTP сервера для работы с устройствами NetPing

Для использования компьютера в качестве сетевого сервера времени для всех устройств локальной сети необходимо разрешить в настройках межсетевого экрана входящий и исходящий трафик по протоколу UDP на порт 123 .

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector