Hallo,
nach den Ferien ging, aus bisher unerklärlichem Grund, die Uhrzeit von Clients und Server jeweils um 20 Minuten nach. Ich hatte bisher keine Zeit, das zu korrigieren. Am Wochenende habe ich das auf dem Server kurz gerade gezogen. Habe es an einem virtuellen Client von zu Hause aus überprüft - Uhrzeit passt, keine Probleme festgestellt.
Heute komme ich in die Schule - die Clients spucken nach dem Login so ne GPO-Fehlermeldung aus (blabla…GPO konnten nicht geladen werden… blabla… Shares nicht da, Internet funktioniert nicht…).
Die Clients dürfen wohl nicht die Zeit vom Server ziehen.
Nach bissel Suchen, habe ich den Layer3 Switch als mögliches Problem ausgemacht. Der Lässt die NTP anfragen der Clients nicht durch…kann das sein?!
Der Virtuelle Client hängt direkt am Server im 0er Netz, deshalb hat er wohl die korrekte Zeit vom Server erhalten…
Weiß jemand, wo ich im Cisco-Switch etwas einstellen muss, damit der die NTP-Anfragen durch lässt?!
erhält denn Dein Server aktuell alle NTP-Aktualisierungen und hat die korrekt Zeit ?
Falls ja, kannst Du die Clients mit NTP auf den Server zeigen lassen, dann holen diese sich dort die korrekte Zeit.
Falls nicht, müsstest Du ACLs für den oder die Switche definieren (für die jeweiligen VLANs, falls eingerichtet), die UDP - Pakete für NTP (Port 123) ein- und ausgehend zulassen.
Für Cisco-Switche sieht dies dann so ähnlich aus: ntp server y.y.y.y ntp server x.x.x.x prefer interface Vlan20 ip address x.x.x.w 255.255.255.240 ip access-group VLAN_20_out out Extended IP access list VLAN_20_out
10 permit udp any host x.x.x.x eq ntp*
20 permit udp any host y.y.y.y eq ntp*
Danke für die Antwort und Kommando zurück. Es war doch nicht der L3 sondern tatsächlich der Server, der nur ntp Anfragen aus 10.0.0.x erlaubt hat.
Um das zu ändern haben wir das ganze auf 10.0.x.x erweitert, damit auch aus den Subnetzen ntp Anfragen akzeptiert werden.
Vermutlich besteht das Problem schon seit langem, ist bisher aber nicht aufgefallen, da die Uhrzeiten von Client und Server bisher nie großartig abgewichen sind.
LG
Daniel
wurden die Subnetze mit dem dafür bestimmten lmn-Script angelegt?
Wenn ja, dann sollte der betreffende Namensraum für den Dienst NTP mit überprüft/gesetzt werden. @thomas soll ich ein Issue aufmachen, oder sehe ich das falsch.
wir synchronisieren die Zeit bereits in Linbo. Meine Vermutung ist, dass das auf Grund der limited mssntp nicht geht.
Ich kann es aber leider wenn die Zeit zu weit auseinander liegt nicht nach der Anmeldung am Client machen, da auf Grund der Zeitdifferenz die Anmeldung nur teilweise gelingt und dann die Synchronisierung offensichtlich auch nicht geht.
Fakt ist, nachdem ich den genannten Eintrag hinzugefügt habe, war die Synchronisierung der Zeit aus Linbo heraus möglich, davor leider nicht.
Tatsächlich habe ich noch eine weitere Fehlerquelle ausgemacht, deren Grund ich aber nicht ausfindig machen konnte:
Sep 18 18:25:38 server.linuxmuster.lan ntpd[31534]: MS-SNTP signd operations currently block ntpd degrading service to all clients.
Vielleicht wäre es auch gelaufen wenn man diesen Fehler behebt. Leider ist mir weder die Quelle des Fehler klar, noch wie ich diesen beheben kann.
Lautet das ntp signd socket directory auf /run/samba/ntp_signd/? testparm -lsv --section-name=global | grep ntp_signd
Gehört das Verzeichnis der Gruppe ntp?
nein tut es nicht. In meiner Config steht folgendes drin:
# /etc/ntp.conf
#
# Don't edit this file!!!
# Add your stuff in /etc/ntp.conf.admin.
#
# thomas@linuxmuster.net
# 20200818
#
# configuration for ntpd; see ntp.conf(5) for help
driftfile /var/lib/ntp/ntp.drift
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
server 10.0.0.254 iburst prefer
restrict -4 default kod notrap nomodify nopeer noquery limited mssntp
restrict -6 default kod notrap nomodify nopeer noquery limited mssntp
restrict 127.0.0.1
restrict ::1
restrict source notrap nomodify noquery
ntpsigndsocket /var/lib/samba/ntp_signd/
includefile /etc/ntp.conf.admin
Die Rechte sind wie folgt gesetzt: drwxr-x--- 2 root ntp 4,0K Sep 17 12:24 ntp_signd
root@server:/var/lib/samba# testparm -lsv --section-name=global | grep ntp_signd
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[netlogon]"
Processing section "[sysvol]"
Processing section "[printers]"
Processing section "[print$]"
Processing section "[default-school]"
Processing section "[linuxmuster-global]"
Loaded services file OK.
WARNING: You have some share names that are longer than 12 characters.
These may not be accessible to some older clients.
(Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.)
ntp signd socket directory = /var/lib/samba/ntp_signd
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns
root@server:/var/lib/samba#
Das ist noch eine alte Version der ntp.conf. includefile funktioniert IMO nicht mehr. ntpsigndsocket /var/lib/samba/ntp_signd/ sollte auch funktionieren, wenn es in smb.conf und ntp.conf identisch ist, die Gruppe ntp zugreifen darf und die permissions 750 sind.