Сервер времени + синхронизация компьютеров домена

В своей прошлой заметке “синхронизация компьютеров домена с контроллером домена” я синхронизировал контроллер домена через интернет, но бывают ситуации, когда данный способ не нельзя реализовать для всех наших потребностей по двум причинам:

1) В сети могут быть компьютеры/сервисы, которые не находятся в AD.

2) Доступ в интернет на контроллере домена (пусть даже на один порт) является небезопасным. Особенно, если у нас там находятся приложения, которые охраняются законом “О защите персональных данных“, в требованиях которого, лежит отсутствие интернета на машинах, имеющих персональные данные.

Выходом в данной ситуации стало реализация локального сервера времени (на отдельной машине, например – прокси), имеющего соотвествующий фаерволл. Сам сервер времени будет “крутиться на внутреннем интерфейсе” и все хосты и сервера в нашей сети могут брать точное время с него. Вся схема будет реализована в три шага:

Шаг первый. Настройка сервера времени на Gentoo Linux

Устанавливаем:

emerge -av net-misc/ntp

Настраиваем конфигурационный файл (/etc/ntp.conf):

# локальный сервер
server 192.168.232.2
# интернет-сервера
server 1.ru.pool.ntp.org
server 0.europe.pool.ntp.org
server 2.europe.pool.ntp.org

# файлы
driftfile /var/lib/ntp/ntp.drift
logfile /var/log/ntp

# по умолчанию игнорируем все
restrict default ignore
# локалхост без параметров – разрешено все. Параметры идут только на запреты.
restrict 127.0.0.1
# сервера с которых получаем данные. Разрешаем им все кроме трапов и запросов к нам
restrict 192.168.232.2 noquery notrap
restrict 1.ru.pool.ntp.org noquery notrap
# локалка
restrict 192.168.211.0 mask 255.255.255.0 nomodify notrap nopeer

# уровень доверия серверу (strata)
server 127.127.1.1
fudge 127.127.1.1 stratum 3

Для того, чтобы системные часы в BIOS меняли свое значение как у NTP-сервера, меняем следующую строку:

clock_systohc=”YES”

Затем, добавляем наш сервер в автозагрузку и стартуем приложение:

rc-update add ntpd default
/etc/init.d/ntpd start

Шаг второй. Настройка контроллера домена в качестве клиента нашего сервера времени.

На данном шаге не буду останавливаться, думаю разберетесь сами, к тому же я все подробно описал здесь.

Шаг третий. Настройка клиентов.

Основные трудности, которые могут у нас возникнуть это настройка клиентов домена. Сделать это лучше через групповые политики. Для этого идем в “Пуск – Администрирование – Active Directory – пользователи и компьютеры” на нашем контроллере домена. Кликаем правой кнопкой по названию папки со всеми пользователями домена, выбираем “Свойства – Групповая политика”. В появившемся окне создаем новую политику: “Конфигурация компьютера – Административные шаблоны – Система – Служба времени Windows – Поставщики времени”. Включаем Windows NTP клиента и настраиваем его. Очень важно ввести в качестве имени сервера не IP, а DNS-имя нашего сервера времени! Для этого необходимо чтобы другие машины “знали его” (т.е. его можно прописать в DNS Windows Server или же на всех клиентах он уже прописал в качестве альтернативного DNS-сервера, так как это сервер предоставляющий доступ в интернет). Если же по каким-либо причинам ваши групповые политики не применились, попробуйте изменить данный параметр: “Конфигурация компьютера – Административные шаблоны – Система – Вход в систему – Всегда ожидать инициализации сети при загрузке и входе в систему”

Все остальные сервера и сервисы в сети также можно настроить на наш NTP-сервер… Но это уже на ваше усмотрение:)

google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru

Похожие записи:

Comments are closed.