Posts

Time Server สามารถช่วยปกป้อง Microsoft Active Directory Infrastructure ให้ทนทานได้อย่างไร?

Microsoft Active Directory นับเป็นหนึ่่งในระบบที่ได้รับความนิยมสูงมากสำหรับระบบเครือข่ายและลูกข่ายระดับองค์กร ด้วยความสามารถในการยืนยันตัวตนและกำหนดสิทธิ์ระดับเครื่องลูกข่าย ทำให้สามารถบริหารจัดการเครื่องลูกข่ายและรักษาความปลอดภัยได้จากศูนย์กลาง แต่รู้หรือไม่ว่าการใช้งาน Microsoft Active Directory อย่างไม่ระวังนั้น ระบบทั้งหมดอาจไม่สามารถทำงานได้เพราะเครื่องลูกข่ายไม่สามารถทำการยืนยันตัวตนได้เลย

Active Directory ใช้งานระบบ Time Synchronization ตอนไหนบ้าง?
โดยทั่วไปแล้ว Active Directory จะใช้เวลาจากระบบ Time Server สำหรับอ้างอิงเป็น Timestamp และนำไปใช้เพื่อป้องกันการเกิด Conflict ในการทำ AD Replication และใช้เป็น Timestamp ในการทำ Kerberos Authentication เพือป้องกันการโจมตีแบบ Replay Attack ปลอมแปลงการยืนยันตัวตนนั่นเอง

การที่เครื่องในระบบ Active Directory เวลาไม่ตรงกันจะส่งผลกระทบอย่างไรบ้าง?
โดยทั่วไป Windows จะกำหนดค่า Default สำหรับ Maximum Time Difference ระหว่างเครื่องลูกข่ายที่มายืนยันตัวตน กับ Domain Controller เอาไว้ที่ 5 นาที ซึ่งถ้าเวลาของทั้งสองเครื่องต่างกันเกินกว่านั้น การยืนยันตัวตนก็จะไม่สำเร็จ เป็นจุดเริ่มต้นที่ทำให้ผู้ใช้งานไม่สามารถเข้าถึงระบบงานใดๆ ได้

นอกจากนี้หากมีการใช้งานระบบ Virtualization ในเครือข่าย การที่เครื่อง Guest Machine มีเวลาไม่ตรงกับ Host Machine ก็อาจะทำให้ไม่สามารถใช้งาน Resource บางส่วนในบางช่วงเวลาได้เช่นกัน

การแก้ปัญหาด้วยระบบ Stratum-1 Time Server หรือ Time Synchronization Appliance
ถึงแม้ว่าบริการ Public NTP จะมีให้ใช้อยู่มากมาย แต่การเลือกใช้ Time Source จากภายนอกเป็นหลักเองก็มีความเสี่ยงที่ไม่สามารถควบคุมความเสี่ยงหรือความเสียหายที่เกิดขึ้นกับระบบ Time Synchronization ได้ รวมถึงไม่รู้พฤติกรรมของระบบ Time Synchronization เมื่อเกิดเหตุการณ์ไม่คาดฝันต่างๆ อาจทำให้ระบบเวลาเดินหน้าเร็วเกินไป หรือย้อนเวลาไป ทำให้ระบบงานขององค์กรที่อ้างอิงกับเวลาเหล่านี้เสียหายได้

การลงทุน Time Server และ Time Synchronization Appliance เป็นการลดความเสี่ยง พร้อมทั้งควบคุมพฤติกรรมกรณีระบบ Time Server ล่มได้ รวมถึงยังออกแบบระดับของการทำ Redundancy เองได้ ทำให้ Uptime ของระบบยาวนานขึ้น เกิดความเสี่ยงที่จะมีปัญหาการ Login ใช้งานเครื่อง PC ทั้งองค์กรไม่ได้พร้อมๆ กัน รวมถึงระบบงานทั้งหมดยังมีเวลาใกล้เคียงกันด้วย Delay และ Latency ของระบบเครือข่ายภายในองค์กรที่มีน้อยกว่า Public Network อีกทั้งยังช่วยแก้ไขปัญหาอื่นๆ ของระบบเครือข่าย เช่น การติดตามข้อมูล Log ได้อีกด้วย

สำหรับผู้ที่สนใจระบบ Time Server หรือ Time Synchronization Appliance สามารถติดต่อทรูเวฟได้ที่ 02-210-0969

เกี่ยวกับ Wavify TimeNX

Wavify TimeNX เป็น Unified Time Synchronization Appliance ที่ทำการประสานเวลาจากดาวเทียมผ่านทางเสา GPS ที่ติดตั้งมากับตัว Appliance เพื่อให้บริการ Time Synchronization ที่ความแม่นยำระดับ Stratum-1 ตรงตามกฎหมายพรบ.ความผิดทางคอมพิวเตอร์ของประเทศไทย โดยในการใช้งานระดับองค์กรมักจะถูกใช้เพื่อตอบสนองต่อความต้องการดังต่อไปนี้

  • ปรับเวลาของระบบ Log บน Firewall, Switch และ Software ให้ตรงกันทั้งองค์กร เพื่อให้สามารถนำข้อมูล Log มาใช้ร่วมกันระหว่างหลายอุปกรณ์ได้อย่างถูกต้องแม่นยำ และถูกต้องตามกฎหมาย
  • ปรับเวลาของเครื่อง Server และ Client ทั้งหมดให้ตรงกัน เพื่อให้ Application ทั้งหมดทำงานอยู่บนฐานเวลาเดียวกัน
  • ปรับเวลาของเครื่องจักรในสายการผลิต และแล็บทดลองต่างๆ ให้ตรงกัน เพื่อให้การทำงานร่วมกันของเครื่องจักรเป็นไปได้อย่างถูกต้อง
  • ปรับเวลาของอุปกรณ์เครือข่ายในหน่วยงานสาขาต่างๆ ให้ตรงกัน เพื่อให้ระบบงานทำงานข้ามสาขาได้อย่างถูกต้อง

โดย Wavify TimeNX รุ่นที่แนะนำ มีดังนี้

  • NX-500: GPS-based Unified Time Synchronization Appliance รองรับการประสานเวลาให้อุปกรณ์อื่นๆ จากสัญญาณเวลา GPS สูงสุด 4,400 อุปกรณ์ต่อวินาที
  • NX-300: GPS-based Unified Time Synchronization Appliance รองรับการประสานเวลาให้อุปกรณ์อื่นๆ จากสัญญาณเวลา GPS สูงสุด 2,500 อุปกรณ์ต่อวินาที
  • NX-200: Peer-2 Unified Time Synchronization Appliance รองรับการประสานเวลาที่หน่วยงานสาขา จากสัญญาณเวลา NX-500 และ NX-300 สูงสุด 1,000 อุปกรณ์ต่อวินาที

ข้อมูลเพิ่มเติม: www.wavify.com