NTP synchronization failed

[PrestigeNT]

Hallo. wir haben an verschiedenen Doremi Servern plötzlich die Fehlermeldung "NTP synchronization failed".

Wie bekomme ich diesen wieder weg?

 

Server sind online, Uhrzeit stimmt, alles läuft normal.

Eventuell muss ein neuer Zeitgeber ausgewählt werden. Aber wie?

 

FW 2.4.2

 

LG

[marktgerecht]

Habt ihr die Doremis direkt am Internet oder über eine Firewall?

 

Firewall neu booten?

[dYna]

Den "Zeitgeber" kannst du über das Controlpanel neu einstellen und auch testen.

Bei ShowVaults muss das/der(?) IMB an sein, damit das ganze funktioniert.

[PrestigeNT]

Habt ihr die Doremis direkt am Internet oder über eine Firewall?

 

Firewall neu booten?

keine Firewall. Direkt.

[HaraldSchaefer]

keine Firewall. Direkt.

 

Hallo

 

Ist zwar jetzt ein wenig OT aber:

 

Das ist keine wirklich gute Idee. Die Doremis sind nicht dafür ausgelegt direkt am Internet zu hängen. Die Standardpasswörter sind alle bekannt und soweit ich weiß gibt es auch keinerlei Sicherheitsupdates für das eingesetzte Debian. So ganz unbegründet ist die Forderung der DCI nicht, dass die Kinotechnik eben nicht direkt am Internet hängen darf.

 

Die Konfig Datei für die NTP Server liegt in /doremi/etc

 

Gruß Harald

[UlliTD]

es kann sich aber auch nich jeder n zeitgeber leisten... die kosten nämlich leider :(

 

ich habs bei meinem dolby mal mit nem zeitgeber über nen windowsrechner versucht.... hat aber nich geklappt. von daher bleibt einem fast nichts anderes übrig, als den ans internet zu hängen, wenn mann nich bald 10 min. zeitversatz habe möchte...

[Media-Pro]

Kauft euch eine vernünftige Firewall, die richtig administrierbar ist und gut ist.

Und nicht den üblichen AVM oder Netgear- Schrott...

[carstenk]

Ich denke, dass es Schlimmeres gibt als eine FritzBox im Kino und die Technik direkt dahinter. Immerhin werden die in riesigen Stückzahlen verkauft und unterliegen dauernd heftigen Angriffen bei einer riesigen Menge von Anwendern, Probleme werden daher schnell erkannt und behoben, da kann man bei AVM ja nun wirklich nicht meckern.

 

'Irgendeine vernünftige Firewall' macht wenig Sinn, die kann ein Kino nicht selber administrieren. Natürlich kann man einen Dienstleister damit beauftragen. Bei einer FireWall, die ich nicht selber verstehe und administrieren kann, kann ich aber auch nicht beurteilen, ob ich 'sicher' bin.

 

Im Zweifelsfalle kann es sogar 'sicherer' sein, eine 'Heimanwendersignatur' nach aussen zu liefern als eine 'professionelle'.

Alles eine Frage der Sichtweise und des persönlichen Sicherheitsgefühls. Mehr kriegt man als Betreiber eines Kinos eh nicht.

 

- Carsten

[Chrissi]

Mir wurde bei der Installation erklärt, der zweite Netzwerkanschluss am Doremi sei extra für das Internet. An dem anderen Anschluss ist das 'Kinonetzwerk'.

 

Zwar wahrscheinlich bekannt: Die genannte Fehlermeldung kommt auch wenn Projektor nicht oder später eingeschaltet wird.

[carstenk]

Fürs 'Internet' im strengen Sinne ist der zweite nicht. Der erste ist üblicherweise nur mit dem Projektor verbunden, für Steuerung und Verschlüsselung.

 

Der zweite ist für das eigentliche 'Kinonetzwerk', also zur Verbindung mit anderen Rechnern/Servern, Audioprozessoren, TMS, und eben auch dem Internetrouter im Kino.

 

'Direkt' ans Internet angeschlossen wird der Server da nicht. Nun ist ja jeder übliche Router heutzutage auch eine 'Firewall', alleine schon durch seine NAT Funktionalität, die die internen Geräte gegenüber der 'Aussenwelt' zumindest verbirgt bzw. nicht direkt erreichbar macht.

 

Nur halt mit reduzierter Funktionalität und etwas geringerem Anspruch gegenüber professionell genutzten Firewalls.

 

- Carsten

[stefan2]

Eine Verständnisfrage stellt sich mir dabei.

Ich ging davon aus, daß die Referenzuhr im Server eigentlich "hochgenau" ausgeführt ist, und nur einer sehr seltenen Synchronisierung bedarf, letzendlich nicht auf dem Zeitchip des Computerboards beruht.

In professionellen Umgebungen ist eigentlich ein direkter Anschluß an das "Internet" unüblich, wenn dann sind Systeme zwar über "Internet" (d.h. öffentlich verfüggbare Netzwerke) verbunden, aber immer durch geschützte VPN Systeme.

Auch D-Kino Systeme machen da m.E. keinen Unterschied. Die Nachsynchronisation der sicheren Uhr sollte sich eigentlich auf Zeiten eines jährlichen Service beschränken, und der Fehler unter den zulässigen 6 Minuten liegen. Eine permanente NTP Verbindung kann nur im Falle eines VPN Wartungssystems zu ueinem Dienstleister möglich sein, ansonsten aber nicht notwendig sein.

Wie auch beim Filmbandsystem, Internetanbindungen sind m.W. nicht für digitale Kinoabspielstätten gefordert, wäre ja auch in vielen Fällen gar nicht möglich. Hierbei nicht an multiplexumgebungen oder Großstädte in "zivilisierten Ländern" denken.

 

Oder liege ich da falsch?

 

 

Stefan

[tomas katz]

Ich glaube, du denkst von der Sony-Seite her, wo sich die Server-Uhr mit der Real-Time-Clock synchronisieren kann. Ich weiß aber nicht, ob das die anderen Server von Doremi etc. auch können.

[carstenk]

Bei den meisten PC basierten Servern ist die 'ShowClock' von der guten alten BIOS Uhr abgeleitet. Die sind ja notorisch ungenau. Die Dolbys sind da wohl besonders heftig mit den Abweichungen. Das kümmert Dolby aber wohl auch nicht besonders, weil sie in ihren TMS Umgebungen denken und da eben standardmäßig NTP verwendet wird.

 

Die secure Clocks 'SOLLEN' zwar sehr genau sein, aber streng genommen müssen sie das ja eigentlich auch nicht, weil die KDMs ja auch nicht sekundengenau zugeteilt werden. Nunja, in der Praxis werden auf den MediaBlocks eben dann doch sehr präzise Uhrenschaltkreise eingesetzt. Auf die Qualität der BIOS Uhren auf SuperMicro&Co Mainboards haben die Server-Hersteller da aber eben wenig Einfluss.

 

Was Dolby nun allerdings davon abhält, die ShowClock einfach über die Oberfläche einstellbar zu machen, das versteht wohl kein Mensch. Da ist keinerlei Sicherheit oder DCI Vorgabe von berührt.

 

 

Insofern ist die Auswahl der Synchronisationsoptionen beim Sony im Vergleich zu den anderen Servern schon luxuriös, allemale weil sie sehr einfach über das GUI gesetzt werden können.

 

Ich weiss nicht, wie man bei Dolby ins BIOS kommt, aber da könnte man die ShowClock wohl anpassen. Ein täglicher NTP Sync ist auch sicher nicht notwendig. Aber was man von den Dolbys so hört könnte alle paar Wochen wohl schon nötig sein. Die meisten kleineren Kinos würden sicher auch nicht unbedingt NTP benötigen, wenn Dolby wenigstens eine einfache Möglichkeit anböte, die Uhr in der Oberfläche zu korrigieren. Die Doremis machen auch einen Sync mit der SecureClock, bieten aber ohnehin sehr einfache Möglichkeiten, sowohl die Uhrzeit einzustellen als auch die NTP Server zu konfigurieren. Dolby denkt da eher Integrator-zentriert, während Doremi den Endbenutzern generell mehr Freiheiten zugesteht.

 

- Carsten

[stefan2]

Danke.

 

Hast Recht damit, als Sony user bin ich da etwas verwöhnt. Aber prinzipiell scheinen die Systeme ja auf Steuerung per TMS ausgelegt zu sein, welches dann als NTP Server fungiert.

Mit "Dolby Show Stoppern" habe ich da wenig Erfahrung... und beim Doremi bin ich ja immer wieder neu überrascht, wie liberal und einfach da alles mögliche zu konfigurieren ist.

Mein prinzipieller Einwand, keine professinelle Technik an öffentlichen Netzen, ist ja doch nicht falsch.

 

Stefan

[rufio]

Wir nutzen aktuell einen NTP Server auf den Netbooks, welche wir zum steuern unserer Projektoren verwenden. Dieser holt sich aus dem Netz die Zeitdaten und der Doremiserver holt sich diese von den Netbooks, so das der Doremi nicht im Internet hängt.

[PrestigeNT]

Lange Rede kurzer Sinn.

1. Ich kann, wenn ich den NTP Server als Referenz für den Doremi lösche die Fehlermeldung weg bekommen. Habe gemerkt, dass an den Servern die die Fehlermeldung nicht bringen kein NTP Server vermerkt ist. Uhrzeiten stimmen trotzdem.

 

2. Bin kein Netzwerker, jedoch hängen die Doremis nicht ganz im offenen Internet. Unser Router und Netzwerk wurde von einem Computerfachmann angeschlossen. Nur bestimmte Ports freigeschalten. Jedoch haben wir keine seperate Firewall. Meiner Meinung nach auch nicht notwendig. Die NSA kommt überall rein, wenn sie will ;-)

Spaß beiseite. Auf den Servern sind jetzt keine Staatsgeheimnisse drauf, hier muss man einfach die Verhältnismäßigkeit sehen. Wichtiger ist es, dass mein Bürorechner save ist!

[dYna]

Irgendwann mach dann jemand mal aus Spaß ein rm -rf / auf deinen Doremis.... ;-)

[marktgerecht]

Aber nur als su......

[carstenk]

Die relevanten Logins sind an verschiedenen Stellen im Netz dokumentiert.

 

Realistischer dürften da schon Spielerein durch ex-Mitarbeiter oder ins Bild gesetzte 'Bekannte' sein, VNC auf die Server, Tonprozessoren, etc. pp.

 

- Carsten

[drmedner]

Ich kenne Niemanden, der mal eben durch die Firewall eines normalen Routers kommt.

 

Nichtsdestotrotz sollten die Uhren der Mediablöcke synchronisiert werden.

[PrestigeNT]

Ich finde auch, dass die Uhren synchron sein sollen. Bei der nächsten Wartung darf der Techniker sich darum kümmern. Habe ja auch anderen Kram zu erledigen als immer nur so Firlefanz. Der muss ja auch was für sein Geld tun. Sonst kann ich gleich alles alleine machen ;-)