企业生产网计算机网络时间同步(NTP授时服务器)
企业生产网计算机网络时间同步(NTP授时服务器)
摘要:保持生产环境中全网计算机时间的同步是一件很重要且必须的事情,至少在我们的网络环境中就是这样。我们的网络由一个域和一个工作组组成,域主要是财务系统,而工作组是另一个管理系统,它们都要求计算机时间的一致性,大家都知道,在一个域中计算机时间都是自动同步的,但工作组却没那么简单。
保持生产环境中全网计算机时间的同步是一件很重要且必须的事情,至少在我们的网络环境中就是这样。我们的网络由一个域和一个工作组组成,域主要是财务系统,而工作组是另一个管理系统,它们都要求计算机时间的一致性,大家都知道,在一个域中计算机时间都是自动同步的,但工作组却没那么简单。
经过讨论,我们最后一致认为全网的计算机时间应该以工作组中的UNIX/MIS服务器为准,于是整个网络的时间同步要求就应该如图1所示,即域的PDC与UNIX/MIS服务器同步,然后域成员与域DC同步(这里DC与PDC是一台服务器),而工作组内的计算机则直接与UNIX/MIS服务器同步,下面就来看看怎样实现上述要求。
网络时间同步的相关背景知识
在网络中同步时间通常使用以下的两种协议中的一种:
◆1. SNTP,simple network time protocol,简单网络时间协议
◆2. 时间协议(Time Protocol)
SNTP是现在应用较多的一种网络时间协议, windows域内的时间同步就是使用的这种协议,那windows域内时间同步的层次是怎样的呢?森林中根域的PDC是整个森林的时间源,然后根域中其他DC和子域的PDC就与这个根PDC进行时间同步,再然后域成员就与自己域中的DC进行时间同步,也就是说DC与PDC进行时间同步,域成员与DC进行时间同步,当系统启动时将进行一次同步,后面每45分钟再进行周期性同步,使用UDP123端口进行通讯。
对于第二种时间协议(Time Protocol),这种方法虽然并不流行了,但在一定情况下还是很有用的,Time Protocol服务器在TCP/UDP 37端口上进行监听,它并不像上面一样给出特定时间,而是给出从1900年1月1日午夜到现在的秒数,由于时间是由32位表示,所以这种协议只能使用到2036年。
在这里我们将结合使用这两种协议。
具体步骤
◆1.实现PDC/DC与UNIX/MIS服务器的时间同步
由于这里MIS不是一台SNTP服务器,而且也不便将其配置成一台SNTP服务器,但发现其在监听37端口,可以判定它是一台Time Protocol服务器(Unix系统通常都是),于是可以在客户机上安装这种协议的客户端软件与其同步,于是在网上搜索到这样一种时间同步程序,名为NTPclock,既支持SNTP也支持Time Protocol,它是台湾海洋大学开发的,所以有些术语可能与我们常用的有所不同,不过这并不妨碍我们理解。NTPclock不需安装,为了让它随计算机一起启动,请把它放在启动菜单中。
首先双击运行它,它会在桌面显示一个浮动窗口,并显示当前系统时间,为了完成时间同步,右击此浮动窗口,然后选择“网络较时设定”项,弹出如图2 的窗口,
在“校时通讯协定”栏选择“Time/TCP”或“Time/UDP”,也就是使用Time Protocol,在“时间伺服器位址”栏填入MIS服务器的IP,然后点击下方的“立即查询主机时间”按钮,如果同步成功,你将会看到系统时间的改变,并且下方的 “时间校正讯息”栏也有相应信息提示。其他项保持默认设置,比如周期性的同步和同步后自动调整时间等,然后点击“结束设定”按钮退出配置。
◆2. 像上面一样同理在工作组内的客户机上进行相同的设置,使得工作组内的客户机与MIS服务器进行时间同步。
◆3. 域内的时间同步
Win2k/xp/2003域成员有个w32time时间服务,它会自动与域DC进行时间同步,无需人为干涉,保持域内时间的同步是kerberos认证协议的一个基本要求,也是为了防止重放攻击的一种手段,如果域成员客户机与DC的时间相差太大的话,它的登录将不能成功,这时你可以手动调整系统时间,通常情况下,只要通讯无阻碍,域成员将自动与DC保持时间同步,所以在这里我们无需进一步的设置,当然如果通讯要通过防火墙时,请记得打开外出的UDP123端口。
