排除不需要的 NTP 流量故障

排除不需要的 NTP 流量故障

运行 Windows Server 2012 的域控制器正在向从未配置为时间提供程序的地址发送 NTP 和 NETBIOS 流量。服务器日志未显示任何 NTP 流量失败的迹象。我看到此流量的唯一证据是在 pfSense 系统日志中:

(Blocked) Jun 9 08:48:50   DOMAIN   10.0.1.100:123   192.128.127.254:123   UDP
(Blocked) Jun 9 08:48:53   DOMAIN   10.0.1.100:137   192.128.127.254:137   UDP

据我所知,NTP 服务运行正常,否则:

DC2.domain.com[10.0.1.101:123]:
    ICMP: 0ms delay
    NTP: -0.0131705s offset from DC1.domain.com
        RefID: DC1.domain.com [10.0.1.100]
        Stratum: 3
DC1.domain.com *** PDC ***[10.0.1.100:123]:
    ICMP: 0ms delay
    NTP: +0.0000000s offset from DC1.domain.com
        RefID: clock1.albyny.inoc.net [64.246.132.14]
        Stratum: 2

The time provider NtpClient is currently receiving valid time data from 1.pool.ntp.org,0×1 (ntp.m|0x0|0.0.0.0:123->204.2.134.163:123).
The time provider NtpClient is currently receiving valid time data from 0.pool.ntp.org,0×1 (ntp.m|0x0|0.0.0.0:123->64.246.132.14:123).
The time service is now synchronizing the system time with the time source 0.pool.ntp.org,0×1 (ntp.m|0x0|0.0.0.0:123->64.246.132.14:123).

我检查了 NTP 配置,但找不到导致此流量的任何原因。反向 DNS 将目标地址指向nothing.attdns.comnothing.attdns.com从相关域控制器执行 ping 操作会导致来自环回 (127.0.0.2) 的响应,这让我很头疼。

有任何想法吗?

EDIT1:可能应该注意,在 DNS 刷新后,nslookup 192.128.127.254 返回 nothing.attdns.com。192.128.127.254 不存在于 domain.com DNS 记录中。attdns.com 域不存在于缓存查找中。127.in-addr.arpa 没有任何异常。

EDIT2:nothing.attdns.com 的环回 ping 响应可能无关。其他网络上的机器也显示此行为。

EDIT3:正如评论中提到的,我将问题网络适配器追溯到托管在 esxi 5.5 中的 pfSense VM(我知道虚拟化防火墙是一件丢脸的事)。pfSense 配置为使用 DC1.domain.com 作为其主要时间提供程序,但将其改回 pool.ntp.org 后问题仍然存在。pfSense 日志未显示 NTP 配置错误。我能想到的所有地方都显示该 VM 被标识为 10.0.1.253,所以我仍然不知道为什么它以 192.128 发送 NTP 请求……由于此防火墙是不再存在的问题的临时解决方案,因此我将停用它。

编辑 4:查询来自另一台与防火墙共享同一虚拟适配器的机器。该机器有两个本地适配器:一个用于 LAN,另一个用于使用以太网连接的连接硬件。该硬件位于神秘子网中,并且该机器正在通过两个适配器广播 NTP 请求。

答案1

服务器的 IP 是静态设置的还是通过 dhcp 设置的?这是一个疯狂的想法,但如果服务器使用 dhcp,是否会将错误的 ntp 服务器选项传递给服务器?我曾经遇到过服务器使用错误 ntp 源的问题,这是因为 dhcp 服务器配置为发送 ntp 选项,并且它发送了错误的服务器 ip 地址。

哦,还要检查服务器上的 hosts 文件是否存在一些奇怪的 DNS 主机设置。

答案2

微软 kb959119

当多个网络时间协议 (NTP) 客户端开始查找时间服务主机时,它可能会通过具有错误主机地址的接口发送 NTP 数据包。NTP 客户端可能会从 NIC #1 的主机地址通过 NIC #2 的子网发送 NTP 数据包。

当 Windows Server 2003 操作系统搜索时间服务主机时,Windows 时间服务会绑定到所有可用网络。找到主机后,它将停止在除找到时间服务主机的网络之外的所有网络上广播。

在我的情况下,Win XP VM 配置了两个 NIC。一个用于 LAN,另一个用于以太网上的第三方硬件。第三方硬件使用 192.128.xx 子网。我在 pfSense 中看到了流量,因为我的出站过滤阻止了 DC1 与该公共地址空间通信。

相关内容