自宅では Airtel (ISP) ブロードバンドを使用しています。同じ ISP がモバイル ネットワーク プロバイダーでもあります。DIR 615 ルーターを Airtel ブロードバンド、Windows 10 デスクトップ、ラップトップに接続しています。
Airtel ブロードバンドを使用している場合、両方の Windows 10 PC がさまざまなインターネット NTP サーバーと時刻を同期できません。タイムアウトが返されます。10 ~ 12 台の NTP サーバーを試しました。ただし、Linux VM や DIR 615 ルーターなどの他のデバイスは、同じブロードバンドで同じ NTP サーバーと時刻を適切に同期できます。ただし、Windows 10 で VPN に切り替えて ISP をバイパスすると、Windows 10 PC はさまざまな NTP サーバーと時刻を正常に同期できます。
また、Nistime32bit.exe などのサードパーティ製アプリケーションを使用すると、Airtel ブロードバンド上の同じ Windows 10 PC 上の NTP サーバーと時刻が正常に同期されます。TCP 13 ポートと UDP 123 ポートの両方で試しました。現在、Airtel モバイル ホットスポットにいるとき、両方の Windows 10 PC はタイムアウト エラーを出さずに時刻を適切に同期しています。ルーターと Linux VM は同じネットワーク上で正しく同期し、Windows 10 PC 上のサードパーティ製アプリも同期しているため、ISP が送信ポートをブロックしているとは信じられません。しかし、Windows 10 の組み込みプロセスを搭載した Windows 10 PC ではエラーが発生します。モバイル ホットスポットでは正しく同期されるため、両方の Windows 10 OS に問題があるとは信じられません。W32time サービスは両方の PC で正常に実行されています。
ISP に助けを求めましたが、応答がありません。
ここで実際に何が起こっているのか知っている人はいますか? 他にトラブルシューティングを試みることはできますか? 問題はどこにありますか? イベント ビューアーを確認しましたが、イベントはたくさんありましたが、意味のあるものは何も見つかりませんでした。
ルーターと Windows 10 のファイアウォールは完全にオフになっています。ルーターをバイパスして PC から ISP に直接 PPPoE 接続した場合も同じ結果になります。
コメントを見て編集し、回答します。
私の国内にあるサーバーも含め、いくつかのサーバーを試しましたが、動作は一貫しています。ブロードバンド - 失敗、VPN - 成功、モバイル ホットスポット - 成功。ブロードバンド上のルーター - 成功、ブロードバンド上の Linux VM - 成功。
詳しい回答をくださった@user1686さん、ありがとうございます。それがパズルの欠けている部分でした。
私の国のすべての ISP は、同じように動作し、動作します。それらはすべて、1024 未満の着信ポートをブロックします。NTP 同期はクライアントからサーバーへのものであるという印象を持っていましたが、Windows の対称 123 < -- > 123 については認識していませんでした。そのため、着信 123 も重要になります。
ISP がマジック パケットを送信して PC をリモートで起動することで、UDP 123 の受信をブロックしていることをテストしました。モバイル インターネット経由でブロードバンド パブリック IP に UDP 4000 (ルーターで UDP 9 にルーティング) を送信すると起動しますが、UDP 123 (UDP 9 にルーティング) では失敗します。また、SimplePort Tester (PCWinTech.com) という小さなユーティリティを使用して、UDP 123 の受信がアクセスできないことを再確認しました。
古い NTPv3 を使用している可能性があると想定して、Windows XP VM で時刻同期を試みましたが、ブロードバンドでも時刻同期に失敗しました。つまり、当時の XP でも 123 < -- > 123 を使用していたようです。
私はテストのために少なくともしばらくの間、受信 UDP 123 を開くように ISP を説得するつもりですが、彼らが私の要求をまったく考慮してくれる可能性は非常に低いです。
答え1
ほとんどの NTP および SNTP クライアントは、「クライアント/サーバー」モードで動作します。これは他の UDP クライアントと同じです。コンピューターは一時ポートからサーバーの NTP ポート 123 に NTP クエリを送信し、ポート 123 からその一時ポートに応答が返されます。これは、Linux NTP クライアントの動作である可能性が最も高いです。
しかし、Windowsの組み込みNTPクライアントは「対称」モードを使用しており、パケットはローカルポート123からサーバーのポート 123 に送信されます。同様に、応答はリモート ポート 123 からローカル ポート 123 に到着します。
(この対称ポートの使用は NTP に特有のものであり、2 つの NTP サーバーが相互に同期するピアツーピアの状況でよく見られます。Windows がなぜこれを実行するのかはわかりませんが、Windows Server が AD DC 機能の一部として実際の NTP サーバーとして機能できるためである可能性があります。)
しかし、「対称」モードの問題はネットワークファイアウォールにポート123へのこれらの受信応答は、受信応答と完全に区別がつきません1リクエストポート123へ。
多くの ISP は、ネットワーク レベルのファイアウォールを導入して、特定の「危険な」プロトコル (DDoS 増幅に悪用されやすいものなど) をブロックしていますが、残念ながら NTP もその 1 つです。そのため、予防措置として、ISP は顧客のポート 123 へのすべての UDP パケットの受信をブロックすることがあります。これは、顧客が NTP サーバーを実行できないようにするためだけであると誤って考えられているためです。
あるいは、ISP は、すべての顧客が NAT を備えた個人用ルーターを持っているという前提でこれを実行している可能性があり、多くのルーターは実際に送信パケットのローカル ポートを再割り当てします。そのため、コンピューターがパケット 123→123 を送信しても、ルーターはそれを 61473→123 に変換し、問題は発生しません。ただし、すべてのルーターがそのような再マッピングを行うわけではありません (このタイプの NAT は、多くの場合、ゲームに干渉します)。
提案:
ルーターで「Cone NAT」と「Symmetric NAT」のどちらかを選択できる場合は、後者に切り替えてみて、効果があるかどうかを確認してください (この用語は実際には対称 NTP とはまったく関係ありません)。
それ以外の場合は、クライアント モードで動作し、この問題が発生しないサードパーティの NTP クライアントを引き続き使用する必要があります。
マイクロソフトにはKB記事どのモードを使用するかを指定することについてですが、NTPヘッダーのモードビットに影響しますが、ない実際には、Windows が別のソース ポートを使用するようになります。残念です。
(NTPv3では、送信元ポートはないクライアント モードでは 123 になりますが、NTPv4 ではこれが禁止されなくなったため、NTP ヘッダーで指定されているモード フラグに関係なく、Windows が 123→123 を使用するのはそのためかもしれません。
1自宅のルーターに搭載されているようなステートフルファイアウォールは、できる以前に見た送信パケットを追跡することで、クエリと応答を区別します。しかし、ステートフルファイアウォールは小規模なネットワーク境界では一般的ですが、各パケットの状態を調べるとパフォーマンスが低下するため、「ISP全体」レベルに簡単に拡張できないのではないかと思います。そのため、ISPがステートレスファイアウォールの場合も、この記述は当てはまります。対称モードでは、2 種類の NTP パケットは区別できなくなります。