我已按照所述配置了我的 DC(網域控制站;Windows 2016)這裡從我的 Sophos-UTM 取得他的時間。所以我按照那裡的描述配置了 GPO。但在那之後並重新啟動伺服器後,我注意到當我運行命令時,“w32tm /query /status來源”下列出了“本地 CMOS 時脈”,但這裡應該列出來自我的 Sophos-UTM 的 IP,還是我錯了?在我上面連結的螢幕截圖中,當它的作者運行相同的命令時,他的配置中列出了正確的 IP。那麼這裡出了什麼問題呢?
所有需要的連接埠(UDP 123)都是開放且可存取的。我已經對其進行了測試並查看了我的防火牆配置。出於測試目的,我在 DC 上運行此命令:w32tm /stripchart /computer:IP-OF-SOPHOS-UTM /dataonly /samples:5
透過該命令,我從 Sophos-UTM 獲取了 5 個時間戳樣本,因此我的防火牆規則正在運行,並且配置正確。我在日誌中也看到了這一點。
此 DC 是一個虛擬機,在 vSphere ESXi(免費版本 7.0.1)中運作。 ESXi 主機和來賓之間的時間同步已停用,如中所述官方 vmWare 文檔。
這是命令的輸出w32tm /query /status
Jump indicator: 0 (no warning)
stratum: 1 (primary reference - synchron. via radio clock)
Precision: -6 (15.625ms per tick)
stem delay: 0.0000000s
stem deviation: 10.0000000s
Reference ID: 0x4C4F434C (source name: "LOCL")
Last successful synchronization time: 07.12.2020 15:04:23
Source: Local CMOS Clock
Polling interval: 6 (64s)
命令的輸出w32tm /query /configuration
[Configuration]
EventLogFlags: 2 (Lokal)
AnnounceFlags: 10 (Lokal)
TimeJumpAuditOffset: 28800 (Lokal)
MinPollInterval: 6 (Lokal)
MaxPollInterval: 10 (Lokal)
MaxNegPhaseCorrection: 172800 (Lokal)
MaxPosPhaseCorrection: 172800 (Lokal)
MaxAllowedPhaseOffset: 300 (Lokal)
FrequencyCorrectRate: 4 (Lokal)
PollAdjustFactor: 5 (Lokal)
LargePhaseOffset: 50000000 (Lokal)
SpikeWatchPeriod: 900 (Lokal)
LocalClockDispersion: 10 (Lokal)
HoldPeriod: 5 (Lokal)
PhaseCorrectRate: 7 (Lokal)
UpdateInterval: 100 (Lokal)
[Time-Provider]
NtpClient (Lokal)
DllName: C:\Windows\SYSTEM32\w32time.DLL (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
AllowNonstandardModeCombinations: 1 (Lokal)
ResolvePeerBackoffMinutes: 15 (Richtlinie)
ResolvePeerBackoffMaxTimes: 7 (Richtlinie)
CompatibilityFlags: 2147483648 (Lokal)
EventLogFlags: 0 (Richtlinie)
LargeSampleSkew: 3 (Lokal)
SpecialPollInterval: 900 (Richtlinie)
Type: NTP (Richtlinie)
NtpServer: MY-SOPHOS-UTM-IP,0x5 (Richtlinie)
NtpServer (Lokal)
DllName: C:\Windows\SYSTEM32\w32time.DLL (Lokal)
Enabled: 1 (Lokal)
InputProvider: 0 (Lokal)
AllowNonstandardModeCombinations: 1 (Lokal)
VMICTimeProvider (Lokal)
DllName: C:\Windows\System32\vmictimeprovider.dll (Lokal)
Enabled: 1 (Lokal)
InputProvider: 1 (Lokal)
命令的輸出w32tm /query /peers
Number Peers: 1
Peer: MY-SOPHOS-UTM-IP,0x5
Status: Active
Time remaining: 495.5965885s
Mode: 1 (Symmetrically active)
Stratum: 0 (not specified)
Peer Retrieval Interval: 0 (not specified)
Host polling interval: 4 (16s)
命令輸出w32tm /resync /rediscover
Resynchronize command is sent to the local computer.
The computer was not synchronized because no time data was available.
非常奇怪的行為。有人有解決這個問題的方法嗎?
答案1
成立解決方案對於這個問題,經過大量的研究。
較新的 HP Procurve 型號(18xx 系列,例如 1810G 等)上的功能稱為「自動 DoS」。您可以在“安全”部分和“高級安全”部分中找到它。
如果啟用自動 DoS 功能,則會根據下列條件之一封鎖流量:
來源連接埠 (TCP / UDP) 與目標連接埠 (NTP、SYSLOG 等) 相同
來源連接埠 (TCP / UDP) 是「特權」端口,因此範圍為 1 -1023。
這會導致各種各樣的問題,但首先是這個:「到底為什麼第 2 層設備要在第 3 層上進行過濾?」。這太瘋狂了。
NTP 不再起作用。系統日誌流量將不會到達。 VPN 流量可能無法到達。
這個問題花了我很多時間才解決。我首先責怪我們的防火牆,但實際流量到達受影響交換器上的標記中繼埠。不知何故,流量未發送到連接目標設備的交換器連接埠。
受影響的產品:
HP ProCurve 1810G - J9449A(8 個連接埠)和 J9450A(24 個連接埠)
因此,在停用自動 DoS 保護功能後,它會按預期工作。由於 Windows 中的來源現在列出了正確的 IP,而不是本機 CMOS 時鐘,現在我在 tcpdump 中看到流量。因此,如果其他人使用 HP Switch,這可能是他們的解決方案。
經過更多研究後,似乎只有該選項Prevent UDP Blat Attack必須被停用。如上所述這裡, Prevent UDP Blat Attack – UDP Source and Destination Port match.因此,在查看 tcpdump 後,我發現我的 UTM 和 Windows Server 都使用連接埠 123,所以難怪為什麼這個選項會阻止流量...
這是最終配置的螢幕截圖。
