目前管综系统各服务器都纳入前置、FIPS域,接受前置、FIPS域管理服务器的管理。按照Windows操作系统的域管理策略,管综各服务器定期接收并跟随NTP时钟服务器发布的时钟。管综系统各服务器的接收时钟服务的方式采用了缺省配置,缺少自我保护机制,设置为直接跟随NTP时钟服务器的时钟,如果NTP时钟服务器时钟意外情况出现巨变,也会跟随,导致管综服务器时钟巨变。
SYN2101型 NTP时钟服务器
2016年1月20日管综系统域控虚拟机DC1的系统时间跟随了物理刀片硬件BIOS时间,发生了系统时间跳变。由于虚拟机DC1作为前置、FIPS域的域管理服务器,因此在虚拟机DC1的系统时间发生跳变后,部分管综系统的服务器由于时间同步的作用,也相继发生了系统时间跳变的故障。
将管综服务器的时钟服务配置为只接收域服务器提供的合理范围内的时钟变更要求(比如5秒-600秒内);如NTP时钟服务器出现时钟跳变,导致提供了超出合理范围的时钟变更要求,则拒绝跟随域服务器的时钟。保持原有的时钟以避免因域服务器的时钟跳变,影响该台管综服务器的时钟。对管综服务器的注册表的如下所示的注册表项进行设置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Config中的MaxNegPhaseCorrection、MaxPosPhaseCorrection将其值设定为600。(该设置以s为单位,如本地时钟与域服务器时钟误差在600s内,则本地时钟跟随域服务器时钟;如误差超过600s,则本地时钟不跟随NTP时钟服务器时钟)
将MaxAllowedPhaseOffset的值设定为5,(该配置以s为单位,如本地时钟与时钟服务器时钟误差在5s内,则本地时钟不按照时钟服务器时钟进行更新;如误差超过5s,则本地时钟跟随NTP时钟服务器时钟修改本地时间)
通过实验环境的验证,上述配置能够实现对管综服务器的时钟保护这一目标。通过对管综服务器的正确配置能够保护管综系统服务器在设定的范围内正常地跟随ntp时钟服务器的时钟;且在NTP时钟服务器出现时钟跳变超出设定范围时,能够保护管综系统服务器的时钟不跟随时钟源时钟跳变。