Я настроил свой DC (контроллер домена; Windows 2016), как описаноздесьчтобы получить его время от моего Sophos-UTM. Поэтому я настроил GPO, как описано там. Но после этого и перезапуска сервера я заметил, что когда я запускаю команду w32tm /query /status, в поле Источник указано Local CMOS Clock, но здесь должен быть указан IP от моего Sophos-UTM или я ошибаюсь? На скриншотах по моей ссылке выше, когда автор запускает ту же команду, указан правильный IP из его конфигурации. Так что же здесь не так?
Все необходимые порты (UDP 123) открыты и доступны. Я проверил это и посмотрел в конфигурации брандмауэра. Для тестирования я запускаю эту команду на DC:w32tm /stripchart /computer:IP-OF-SOPHOS-UTM /dataonly /samples:5
С помощью этой команды я получаю 5 Timestamp-Samples обратно от Sophos-UTM, так что мои Firewall-Rules работают и конфигурация там правильная. Я тоже видел это в логах.
Этот DC — это виртуальная машина, работающая в vSphere ESXi (бесплатная версия 7.0.1). Синхронизация времени между ESXi-Host и Guest отключена, как описано вофициальная документация vmWare.
Вот вывод командыw32tm /query /status
Jump indicator: 0 (no warning)
stratum: 1 (primary reference - synchron. via radio clock)
Precision: -6 (15.625ms per tick)
stem delay: 0.0000000s
stem deviation: 10.0000000s
Reference ID: 0x4C4F434C (source name: "LOCL")
Last successful synchronization time: 07.12.2020 15:04:23
Source: Local CMOS Clock
Polling interval: 6 (64s)
Вывод командыw32tm /query /configuration
[Configuration]
EventLogFlags: 2 (Lokal)
AnnounceFlags: 10 (Lokal)
TimeJumpAuditOffset: 28800 (Lokal)
MinPollInterval: 6 (Lokal)
MaxPollInterval: 10 (Lokal)
MaxNegPhaseCorrection: 172800 (Lokal)
MaxPosPhaseCorrection: 172800 (Lokal)
MaxAllowedPhaseOffset: 300 (Lokal)
FrequencyCorrectRate: 4 (Lokal)
PollAdjustFactor: 5 (Lokal)
LargePhaseOffset: 50000000 (Lokal)
SpikeWatchPeriod: 900 (Lokal)
LocalClockDispersion: 10 (Lokal)
HoldPeriod: 5 (Lokal)
PhaseCorrectRate: 7 (Lokal)
UpdateInterval: 100 (Lokal)
[Time-Provider]
NtpClient (Lokal)
DllName: C:\Windows\SYSTEM32\w32time.DLL (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
AllowNonstandardModeCombinations: 1 (Lokal)
ResolvePeerBackoffMinutes: 15 (Richtlinie)
ResolvePeerBackoffMaxTimes: 7 (Richtlinie)
CompatibilityFlags: 2147483648 (Lokal)
EventLogFlags: 0 (Richtlinie)
LargeSampleSkew: 3 (Lokal)
SpecialPollInterval: 900 (Richtlinie)
Type: NTP (Richtlinie)
NtpServer: MY-SOPHOS-UTM-IP,0x5 (Richtlinie)
NtpServer (Lokal)
DllName: C:\Windows\SYSTEM32\w32time.DLL (Lokal)
Enabled: 1 (Lokal)
InputProvider: 0 (Lokal)
AllowNonstandardModeCombinations: 1 (Lokal)
VMICTimeProvider (Lokal)
DllName: C:\Windows\System32\vmictimeprovider.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
Вывод командыw32tm /query /peers
Number Peers: 1
Peer: MY-SOPHOS-UTM-IP,0x5
Status: Active
Time remaining: 495.5965885s
Mode: 1 (Symmetrically active)
Stratum: 0 (not specified)
Peer Retrieval Interval: 0 (not specified)
Host polling interval: 4 (16s)
Вывод командыw32tm /resync /rediscover
Resynchronize command is sent to the local computer.
The computer was not synchronized because no time data was available.
Очень странное поведение. Есть кто-нибудь, кто знает решение этой проблемы?
решение1
Найденныйрешениедля решения проблемы, после многих часов исследований. В моем случае это был коммутатор Hewlett Packard HPE OfficeConnect 1820
Функция на более поздних моделях HP Procurve (серия 18xx, например, 1810G и т. д.) называется "Auto DoS". Вы можете найти ее в разделе "Безопасность", а затем "Расширенная безопасность".
Если вы включите функцию Auto DoS, трафик будет блокироваться на основании одного из следующих условий:
исходный порт (TCP / UDP) идентичен порту назначения (NTP, SYSLOG и т.д.)
порт источника (TCP / UDP) является «привилегированным», поэтому находится в диапазоне 1 -1023.
Это вызовет множество проблем, но сначала вот это: «Почему, черт возьми, устройство уровня 2 фильтрует уровень 3?». Это просто безумие.
NTP больше не работает. Трафик Syslog не будет приходить. Трафик VPN может не приходить.
Решение этой проблемы отняло у меня много времени. Сначала я обвинил наш брандмауэр, но реальный трафик пришел на помеченный порт транка на затронутом коммутаторе. Трафик каким-то образом не был отправлен на порт коммутатора, к которому было подключено устройство назначения.
Затронутые продукты:
HP ProCurve 1810G - J9449A (8 портов) и J9450A (24 порта)
Итак, после отключения функции Auto DoS Protection все работает как и ожидалось. Теперь в качестве источника в Windows указан правильный IP, а не локальные часы CMOS, и теперь я вижу трафик в tcpdump. Так что это может быть решением для других людей, если они используют коммутатор HP.
После дополнительных исследований выяснилось, что Prevent UDP Blat Attackнужно отключить только эту опцию. Как уже упоминалосьздесь, Prevent UDP Blat Attack – UDP Source and Destination Port match. Итак, заглянув в tcpdump, я увидел, что мой UTM и Windows Server используют порт 123, поэтому неудивительно, что эта опция блокирует трафик...
Вот скриншот окончательной конфигурации.
