Windows 10 Pro + kellonajan synkkaus + tupla-NAT = ongelma

[SamCer]

Olisi ongelma Windows 10 Pro kellonajan synkkauksessa NTP-palvelimen/-ien kanssa, kun se ei toimi tupla-NATin takaa.

Alla olevan kuvan mukaisesti, työasemat 1-3 eivät pysty synkkaamaan kellojaan yhdenkään NTP-palvelimen kanssa, oli se sitten netissä, tai meidän verkkossa kiinnitettynä reititin A:han, tai reititin B:hen. Työasema 4 pystyy synkkaamaan kellonajan, mikäli se on yhdistetty vain reititin A:han, mikäli Työasema 4:sen kytkee reititin B:hen, tai A:han ja B:hen synkkays ei onnistu.

Reititin B (Windows Server 2019) saa yhteyden NTP-palvelimiin ja pystyy synkkaamaan kellonsa ongelmitta.

Mitä kokeiltu:

• Useita eri NTP-palvelimia -- synkkaus epäonnistuu
• Pystyttää NTP-palvelin Reititin B:hen (HUOM!! Reititin B pystyy synkkaamaan kellonsa) -- synkkaus epäonnistuu
• Pystyttää NTP-palvelin Reititin A:n ja B:n väliin niin, että se on yhteydessä vain Reititin B:hen -- NTP-palvelin pystyy synkkamaan kellonsa, mutta Työasemat 1-3 eivät pysty synkkaamaan käyttämällä kyseistä NTP-palvelinta
• Pystyttää NTP-palvelin Reititin A:n ja B:n väliin niin, että se on yhteydessä Reititin A:han ja B:hen -- NTP-palvelin ei pysty synkkaamaan kelloansa, eikä Työasemat 1-3 sen paremmin
• Palomuurin asetuksia on väännelty joka suuntaan

Onko ideoita miten tuon ajan synkronoinnin voisi saada toimimaan?

Tupla-NATin purkaminen on toistaiseksi pois suljettu vaihtoehto, joten sitä ei kannata ehdottaa.

Alla kuva verkon perusrakeenteesta:

 

[dome]

Eikös tuosta yhtälöstä ole pääteltävissä että ongelma on nimenomaan reititin B:ssä? Winkkarista reitittimenä ei kokemusta eli tarkemmin en osaa vinkata oikeaan suuntaan, mutta palomuuria epäilisin jos ei ajan synkkaus onnistu edes reitittimessä itsessään olevasta NTP-palvelimesta. Jos DNS pauhaa ongelmitta niin ota mallia sen säännöistä, molemmat on UDP:tä.

 

[Obi-Lan]

Millä asetuksilla olet yrittänyt määrittää julkista NTP:tä Windowsiin? Se on mielestäni vähän ronkeli, voisi kokeilla:

w32tm.exe /config /syncfromflags:manual /manualpeerlist:time.mikes.fi,0x8 /reliable:yes /update
w32tm.exe /config /update

 

[SamCer]

Millä asetuksilla olet yrittänyt määrittää julkista NTP:tä Windowsiin? Se on mielestäni vähän ronkeli, voisi kokeilla:

w32tm.exe /config /syncfromflags:manual /manualpeerlist:time.mikes.fi,0x8 /reliable:yes /update
w32tm.exe /config /update

Oon yrittäny määrittää sitä Windowssin aika-asetusten kautta: Settings - Time & Language - Add clocks for different time zones - Internet Time - Change settings.

Oon myös kokeillu komentorivin kautta tuolla w32tm.exe käskyllä, mutta en muistaakseni ihan tismalleen noilla vivuilla.

Tuota pitää ehdottomasti testata kun oon takaisin töissä ensi viikolla .

@dome Palomuuria en oikein usko ongelmaksi (testaan vielä kunhan oon takaisin töissä), kun Reititin B itsessään pystyy synkkaamaan kellonsa ja jos Työasema 4 (Linuxilla) kytketään Reititin A:han ja kytkimeen, eli ohitetaan Reititin B, niin synkkaus lakkaa toimimasta vs. Työasema 4 (Linuxilla) on kytkettynä pelkästään Reititin A:han.

 

[Obi-Lan]

About noilla vivuilla olen määrittänyt PDC roolin omaan Domain Controllerin synkronoimaan aikansa. Jos koneet ovat domainissa niin nehän synkkaa aikansa sitten oletuksena siltä DC:ltä jolla on PDC rooli