I den här artikeln kommer vi att titta på hur vi ställer in en NTP-klient.
Låt oss först titta på vilken tidszon vi har ställt in. För att göra detta använder vi kommandot.
# datum fre 8 mars 17:38:47 MSK 2019
Om tidszonen är felaktigt inställd, ställ in rätt tidszon. För att göra detta, skapa en fil /etc/localtime från motsvarande tidszon från katalogen /usr/share/zoneinfo/. Till exempel för Moskva.
Ln -sf /usr/share/zoneinfo/Europe/Moskva /etc/localtime
Installera ntp-paketet
Yum installera ntp
För att synkronisera en lokal klientdator på Linux med en NTP-server måste du redigera filen /etc/ntp.conf. Följande exempel specificerar flera tidsservrar, vilket är användbart om en av dem inte är tillgänglig. Eller så kan du registrera andra externa servrar, till exempel pool.ntp.org
Server 0.rhel.pool.ntp.org iburst server 1.rhel.pool.ntp.org iburst server 2.rhel.pool.ntp.org iburst server 3.rhel.pool.ntp.org iburst
iburst: Detta alternativ förbättrar synkroniseringsnoggrannheten istället för ett paket, åtta skickas. När servern inte svarar skickas paket var 16:e sekund när servern svarar, varannan sekund.
Server 192.168.1.1 föredrar
föredra: Om det här alternativet anges anses den angivna servern vara att föredra framför andra, men om svaret från den här servern skiljer sig väsentligt från svaren från andra servrar, kommer det att ignoreras. Istället för 192.168.1.1 anger du din servers IP-adress
Efter att ha ändrat ntp.conf och ställt in nödvändiga parametrar, starta NTP-tjänsten (demon). Beroende på inställningarna kan den fungera både som server och som klient.
Systemctl starta ntpd
och lägg till den vid start
Systemctl aktivera ntpd
för att kontrollera tiden, skriv kommandot
Du kan kontrollera NTP-statusen med kommandot ntpq. Om du får ett felmeddelande om att anslutningen nekades betyder det att tidsservern inte svarar, att NTP-tjänsten på klienten inte körs eller att porten är stängd.
Sudo ntpq –p remote refid st t när poll räckvidd fördröjning offset jitter ==================================== = ===================================== *elserver1 192.168.1.1 3 u 300 1024 377 1.225 - 0,071 4,606
avlägsen– namn eller adress till tidsservern. Den föregås av ett tjänstecken, i det här fallet "*", vilket betyder servern som används. "+" betyder att servern är lämplig för uppdatering, "-" - att den är olämplig, "x" - servern är otillgänglig;
refid– server högre upp i Stratum-hierarkin;
st– servernivå i Stratum-hierarkin;
t– anslutningstyp (u – unicast, enkel anslutning, b – broadcast, broadcast-anslutning, l – lokal klocka);
när– tid som har gått sedan det senaste svaret;
röstning– omröstningsperiod i sekunder;
nå– tillgänglighetsstatus (när representerad i binär form betyder 1 ett lyckat försök, 0 betyder misslyckande. Efter 8 lyckade försök sätts värdet till 377);
dröjsmål– tidpunkten för dubbel omsättning av paketet;
offset– aktuell tidsförskjutning i förhållande till servern;
skaka– standardavvikelse för tiden.
Menande skaka bör vara låg, om inte, kontrollera klockförskjutningen i driftfilen. Om den är för hög kan du behöva byta NTP-server. Följande kommando synkroniserar tiden manuellt med NTP-servern:
Använd kommandot för att fråga NTP-servern och ställa in datum och tid manuellt ntpdate. Detta krävs vanligtvis bara en gång.
Inaktivera först ntp-tjänsten
Systemctl stoppa ntpd
Starta synkroniseringen genom att ange från vilken server du vill synkronisera tiden
Ntpdate 192.168.1.1
Starta ntp-tjänsten
Systemctl starta ntpd
Efter denna första synkronisering kommer NTP-klienten regelbundet att polla NTP-servern för att säkerställa att den lokala tiden är korrekt.
Om du hittar ett fel, markera en text och klicka Ctrl+Enter.
God eftermiddag, gäster och vanliga läsare. Jag går gradvis från grunderna till en mer djupgående studie av Linux. Idag vill jag fundera drift av ntp-protokollet, samt inställning tidsserver på Linux(ntp-server). Så låt oss börja med teorin.
Network Time Protocol (NTP)- ett nätverksprotokoll för att synkronisera datorns interna klocka med hjälp av nätverk med variabel latens (läs "kanalbredd"/kvalitet).
NTP används för sitt arbete UDP-protokoll och port 123.
Aktuell protokollversion - NTP 4. NTP använder ett hierarkiskt system "timmesnivåer"(de kallas också Skikt). Nivå 0 (eller Stratum 0)- dessa är vanligtvis enheter som är atomklockor (molekylära, kvantklockor), GPS-klockor eller radioklockor. Dessa enheter publiceras vanligtvis inte på World Wide Web, utan är anslutna direkt till Nivå 1 tidsservrar via RS-232-protokollet (indikerat med gula pilar i illustrationen). Nivå 1 synkroniserad med högprecisionsklocka nivå 0, fungerar vanligtvis som källor för servrar nivå 2. Nivå 2 synkroniserad med en av maskinerna nivå 1, och synkronisering med servrar på din nivå är också möjlig. Nivå 3 fungerar på samma sätt som den andra. Vanligtvis publiceras servrar på nivå två och lägre på nätverket. NTP-protokoll stöder upp till 256 nivåer. Jag skulle också vilja notera att servrar på nivå 1 och 2, och ibland till och med 3, inte alltid är öppna för allmänheten. Ibland, för att synkronisera med dem, måste du skicka en förfrågan per post till domänadministratörer.
Varför finns det en begränsning för åtkomst till servrar? Med övergången till varje nivå ökar felet relativt den primära servern något, men det totala antalet servrar ökar och därför.
Varför kan vi behöva en NTP-server? Till exempel finns det tjänster i operativsystem som kan bero på synkroniserad tid. Det mest framträdande exemplet på sådana tjänster är Kerberos autentiseringsprotokoll. För att det ska fungera är det nödvändigt att på datorer som nås med detta protokoll, skiljer sig systemtiden med högst 5 minuter. Dessutom underlättar exakt tid på alla datorer avsevärt analysen av säkerhetsloggar vid undersökning av incidenter på det lokala nätverket.
Detta läge är överlägset det vanligaste på Internet. Arbetsschemat är klassiskt. Klienten skickar en begäran som servern skickar ett svar till inom en viss tid. Klienten konfigureras med hjälp av serverdirektivet i konfigurationsfilen, där DNS-namnet för tidsservern anges.
Detta läge används när tidssynkronisering utförs mellan ett stort antal peer-maskiner. Förutom det faktum att varje maskin synkroniserar med en extern källa, synkroniserar den också med sina grannar (peers), som fungerar som en klient och tidsserver för dem. Så även om en maskin "förlorar" en extern källa, kommer den fortfarande att kunna få korrekt tid från sina grannar. Grannar kan arbeta i två lägen – aktivt och passivt. Maskinen arbetar i aktivt läge och sänder sin tid till alla närliggande maskiner listade i peers-sektionen i ntp.conf-konfigurationsfilen. Om grannar inte anges i detta avsnitt, anses maskinen vara i passivt läge. För att förhindra en angripare från att äventyra andra maskiner genom att utge sig för att vara en aktiv källa, måste autentisering användas.
Det här läget rekommenderas för användning i fall där ett litet antal servrar betjänar ett stort antal klienter. När du arbetar i detta läge skickar servern med jämna mellanrum paket med hjälp av subnätets broadcast-adress. En klient konfigurerad att synkronisera på detta sätt tar emot serverns sändningspaket och synkroniserar med servern. En funktion i detta läge är att tiden levereras inom ett subnät (begränsande sändningspaket). Dessutom måste autentisering användas för att skydda mot angripare.
Detta läge liknar på många sätt broadcast. Skillnaden är att multicast-adresser för klass D-nätverk i IP-adressutrymmet används för att leverera paket. För klienter och servrar anges adressen till multicast-gruppen, som de använder för tidssynkronisering. Detta gör det möjligt att synkronisera grupper av maskiner som finns på olika subnät, förutsatt att routrarna som ansluter dem stöder IGMP-protokollet och är konfigurerade att överföra multicast-trafik.
Detta läge är en innovation i den fjärde versionen av NTP-protokollet. Det innebär att klienten söker efter Manycast-servrar bland sina nätverksgrannar, tar emot tidsprover från var och en av dem (med hjälp av kryptografi) och väljer, baserat på dessa data, de tre "bästa" Manycast-servrarna som klienten kommer att synkronisera med. Om en av servrarna misslyckas uppdaterar klienten automatiskt sin lista.
För att överföra tidsprover använder klienter och servrar som arbetar i multicast-läge multicast-gruppadresser (klass D-nätverk). Klienter och servrar som använder samma adress bildar samma association. Antalet associationer bestäms av antalet multicast-adresser som används.
Jag ska kort berätta vilken tid som finns i Linux och hur du ställer in den. I Linux, som i andra operativsystem, finns det 2 gånger. Den första - hårdvara , ibland kallad Realtidsklocka, förkortad ( RTC) (alias BIOS-klocka) de är vanligtvis förknippade med en oscillerande kvartskristall som är exakt flera sekunder per dag. Noggrannheten beror på olika fluktuationer, såsom omgivningstemperatur. Den andra klockan är intern programmera klockan , som sker kontinuerligt, även vid avbrott i systemdriften. De är föremål för variationer på grund av hög systembelastning och avbrottslatens. Systemet läser dock vanligtvis hårdvaruklockan vid start och använder sedan systemklockan.
Operativsystemets datum och tid ställs in vid start baserat på värde hårdvara klocka, liksom tidszonsinställningar. Tidszonsinställningar hämtas från filen /etc/localtime. Denna fil är en länk (men oftare en kopia) av en av filerna i katalogstrukturen /usr/share/zoneinfo/.
Linux hårdvaruklockor kan lagra tid i formatet UTC(analogt med GMT), eller den aktuella territoriella tiden. Den allmänna rekommendationen om vilken tid du ska ställa in (?) är följande: om flera operativsystem är installerade på datorn och ett av dem är Windows, måste du använda den aktuella tiden (eftersom Windows tar tiden från BIOS/CMOS och anser att det är lokalt). Om endast operativsystem i UNIX-familjen används, är det lämpligt att lagra tiden i BIOS i UTC-format.
När operativsystemet startar är operativsystemets klocka och BIOS-klockan helt oberoende. Systemkärnan synkroniserar systemklockan med hårdvaruklockan var 11:e sekund.
Efter en tid kan det finnas en skillnad på flera sekunder mellan hårdvaru- och mjukvaruklockorna. Vilka klockor håller rätt tid? Varken det ena eller det andra förrän vi satt upp det tidssynkronisering.
Notera:
Linuxkärnan lagrar och beräknar alltid tiden som antalet sekunder sedan midnatt 1 januari 1970 år, oavsett om din klocka är inställd på lokal eller universell tid. Konvertering till lokal tid görs under förfrågningsprocessen.
Eftersom antalet sekunder sedan 1 januari 1970 UTC lagras som ett signerat 32-bitars heltal (detta är sant på Linux/Intel-system), kommer din klocka att sluta fungera någon gång under 2038. Linux har inte ett år 2000-problem, men det har ett år 2038-problem. Lyckligtvis kommer alla Linux-system att köras på 64-bitars system Ett 64-bitars heltal kommer att innehålla vår klocka fram till ungefär det 292271-miljonte året.
Det finns många implementeringar för tidssynkronisering för Linux OS. De mest kända är Xntpd (NTP version 3), ntpd (NTP version 4), Crony och ClockSpeed. I vårt exempel kommer vi att använda ntpd-servern.
ntpd-demonen är både en tidsserver och en klient, beroende på inställningarna för konfigurationsfilen /etc/ntpd.conf (ibland /etc/ntp.conf), kan demonen "ta emot" tid från fjärrservrar och "distribuera" tid till andra värdar.
Allmän tidssynkroniseringskrets på det lokala nätverket är följande: du behöver ha 1 eller 2 servrar med tillgång till det globala nätverket, som kommer att få tid från Internet. Alla datorer i det lokala nätverket är synkroniserade med de angivna servrarna som tar emot tid från Internet.
Faktiskt, installerar demonen handlar om att installera följande paket: ntp(paket inklusive själva demonen), ntpdate(verktyget för manuell tidssynkronisering är föråldrat), ntp-doc(paketdokumentation), i vissa distributioner måste du installera detsamma ntp-utils(diagnostiska verktyg), i vissa ingår de i ntp-paketet. Jag beskrev hur man installerar program på Linux i. Efter installation av paketet, i de flesta distributioner, kommer demonen redan att vara konfigurerad som en ntp-klient (t.ex. var detta fallet i Debian). Följaktligen skapades de huvudsakliga konfigurationsfilerna automatiskt: /etc/ntp.conf och /var/lib/ntp/ntp.drift och demonen startades automatiskt.
Innan du ställer in demonen för att synkronisera med omvärlden, skulle jag rekommendera att ställa in det aktuella systemdatumet till ett värde så nära realtid som möjligt. Ställa in datumet i Linux produceras av kommandot: datum MMDDhhmmCCYY.ss, där MM - månad, DD - dag i månaden, hh - timmar, mm - minuter, CCYY - 4 siffror i året, ss - sekunder. Samtidigt värdena CCYY.ss det är inte nödvändigt att ange.
Som du kan se kommer det angivna kommandot att ställa in aktuellt datum och tid till 27 december 2010, 20:06:30. datum kommando utan parametrar, visa aktuell systemtid. Det här kommandot har ett gäng parametrar, som kan hittas i mandate.
Det är också nödvändigt att korrekt konfigurera hårdvaruklockan och tidszonen. Som nämnts ovan konfigureras tidszonen genom att kopiera den önskade zonfilen från katalogen /usr/share/zoneinfo/ att arkivera
/etc/localtime:
Ntp-server:~# cp /usr/share/zoneinfo/Europe/Moskva /etc/localtime
Hårdvara Jag ställde klockan på UTC:
# cat /etc/sysconfig/clock | grep UTC # UTC=true indikerar att klockan är inställd på UTC; UTC=true ntp2-server:~# cat /etc/default/rcS | grep UTC UTC=ja
Det första exemplet specificerar en konfigurationsfil som definierar användningen av UTC för RH, det andra för Deb-distributioner.
Förutom att ställa in inställningarna för att använda UTC-tid måste du ange hårdvarutid. (i de flesta fall är detta inte nödvändigt, eftersom den angivna systemtiden oundvikligen synkroniseras med hårdvaran av kärnan). Men ändå, om du har lust att göra det... hwclock kommando läser och ställer in hårdvaruklockan baserat på parametrarna som skickas till den. De tillgängliga alternativen beskrivs i kommandots manualsida. Här är några exempel på hur du använder hwclock:
Ntp-server# hwclock # läser tiden från hårdvaruklockan ntp-server# hwclock --systohc --utc # ställer hårdvaruklocktiden till # UTC baserat på systemtiden ntp-server# hwclock --systohc # ställer hårdvaruklocktiden # till lokal tid baserat på systemtiden ntp-server# hwclock --set --date "22 Mar 2002 13:17" # ställer in hårdvaruklocktiden # till den angivna strängen
Ett annat alternativ för att ändra tiden i hårdvaruklockan är att komma åt BIOS när systemet startar. Eftersom OS-tiden är oberoende av hårdvaruklockan, kommer alla ändringar i BIOS att beaktas nästa gång du startar.
Nu när vi har allt förberett och installerat, låt oss gå vidare till miljö.
Kontrollera ntpd-demon inte annorlunda än att kontrollera andra demoner. Starta eller starta om ntpd-tjänsten:
#/etc/init.d/ntp start #/etc/init.d/ntp omstart
Stopp:
#/etc/init.d/ntp stopp
#/bin/kill `cat /var/run/ntpd.pid`
Demonen har följande startparametrar:
P - PID-fil,
-g - tillåter övergång till big time jump
-c - konfigurationsfil
-q - tvinga fram manuell synkronisering
Först och främst rekommenderar jag dig att ändra demonens startparametrar i följande konfigurationsfil:
Ntp-server:~# cat /etc/default/ntp NTPD_OPTS="-g"
# cat /etc/sysconfig/ntpd # Parametrar för NTP-demon. # Se ntpd(8) för mer information. .... # Anger ytterligare parametrar för ntpd. NTPD_ARGS="-g"
Denna parameter gör att du kan synkronisera klockan, även om det är mycket stor tidsskillnad.
Så, som sagt, konfigurationsinformationen ntpd-demon finns i filen /etc/ntp.conf. Filsyntaxen är standard, som i många andra konfigurationer: tomma rader och rader som börjar med tecknet "#" ignoreras. Här är ett enkelt exempel:
Ntp-server:~# cat /etc/ntp.conf server ntplocal.example.com föredrar server timeserver.example.org server ntp2a.example.net driftfile /var/db/ntp.drift
Parameter server anger vilka servrar som ska användas för synkronisering, en på varje rad. Om servern ges med argument föredra, Hur ntplocal.example.com, då ges denna server företräde framför de andra. Svaret från den föredragna servern kommer att kasseras om det skiljer sig väsentligt från svaren från andra servrar, annars kommer det att användas utan hänsyn till andra svar. Argument föredra Används vanligtvis för NTP-servrar som är kända för att vara mycket exakta, till exempel de som använder dedikerad precisionstidsutrustning.
Parameter driftfil anger filen som används för att lagra systemets klockförskjutning. Så vitt jag förstår lagrar denna fil permanent något värde, som bildas baserat på analys av tidigare tidsjusteringar, och om externa tidskällor blir otillgängliga, så sker tidsjusteringen enligt värdet från filen drift. Den får inte modifieras av några andra processer. Och innan du anger den här filen i konfigurationen måste filen skapas.
Som standard kommer NTP-servern att vara tillgänglig för alla värdar på Internet. Parameter begränsa i filen /etc/ntp.conf låter dig styra vilka maskiner som kan komma åt din server. Om du vill hindra alla maskiner från att komma åt din NTP-server, lägg till följande rad i filen /etc/ntp.conf:
begränsa standard ignorera
Om du vill tillåta synkronisera din klocka endast med din server maskiner i ditt nätverk, Men förbjuda dem konfigurera servern eller vara lika deltagare i tidssynkronisering, lägg sedan till raden istället för ovanstående:
begränsa 192.168.1.0 mask 255.255.255.0 nomodify notrap
där 192.168.1.0 är ditt nätverks IP-adress och 255.255.255.0 är dess nätmask. /etc/ntp.conf kan innehålla flera begränsningsdirektiv.
För korrekt och mer exakt drift av demonen är det tillrådligt att välja servrar på nivån - från stratum 2 (du kan naturligtvis stratum1, men du måste slösa tid på att söka efter en sådan server) och från det valda stratumet 2 de till vilka det finns ett minimiavstånd. Vanligtvis kan sådana servrar tillhandahållas av din internetleverantör. Antalet utvalda servrar är önskvärt - fler än 2 till 3, ju fler desto bättre, men inom rimliga gränser. Om du är för lat för att välja de bästa servrarna kan du ta listan över öppna andranivåservrar härifrån: http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers.
Välja en lista över referens-NTP-servrar
Vi går till den angivna adressen (http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers) och väljer en lista med initiala servrar. Från den här listan väljer vi servrar som uppfyller våra krav genom att analysera kommandoutgången ntpdate. När du kör kommandot används följande syntax:
ntpdate-parametrar servers_separated by_space
För att säkerställa att vår fråga inte gör ändringar i systemet måste vi använda parametern -q, som specificerar användningen av frågan utan att göra ändringar. Det är också möjligt att använda -d-växeln, vilket indikerar att kommandot kommer att köras i felsökningsläge, med utmatning av ytterligare information, utan att göra riktiga ändringar (med den här växeln visas en massa annat skräp :), vilket vi behöver inte för tillfället). Andra parametrar finns i man 8 ntpdate. Från den angivna länken valde jag alla Open Access-servrar i Ryssland (RU) + den som tillhandahålls av leverantören och körde kommandot, det visade sig ungefär så här:
Ntp-server:~# ntpdate -q ntp2.ntp-servers.net ntp1.vniiftri.ru ntp2.vniiftri.ru ntp4.vniiftri.ru ntp0.ntp-servers.net ntp1.ntp-servers.v ntp.3.ru ntp.corbina.net server 88.147.255.85, stratum 1, offset 0.006494, fördröjning 0.09918 server 62.117.76.142, stratum 1, offset 0.002552, fördröjning 0.0620, 1 server 1,620. 0,0031 47, fördröjning 0,06918 server 62.117.76.140, stratum 1, offset 0.004823, fördröjning 0.07350 server 88.147.254.228, stratum 1, offset -0.002355, fördröjning 0.12030 server 88.147.254.229, stratum 1, 000 offset. 117.76.13 8, stratum 1, offset 0,005331, fördröjning 0,07401 server 195.14 .40.141, stratum 2, offset 0.002846, fördröjning 0.07188 13 jan 19:14:09 ntpdate: justera tid server 62.117.76.141 offset 0.003147 sek
I exemplet utfärdade våra servrar framgångsrikt stratum1-nivån, vilket är goda nyheter (förutom leverantörens server), offset är tidsskillnaden med denna server i sekunder, fördröjning är synkroniseringsfördröjningen i sekunder. Vanligtvis, b OM Större noggrannhet erhålls när man använder servrar som har låg latens vid överföring av paket över nätverket. För att identifiera detta kan du använda . Välj därför först de med kortare svarstider och bland dem de med färre hopp. För att inte slösa tid kommer jag att använda alla angivna servrar och lägga in dem i konfigurationsfilen. Totalt, med allt ovanstående, kommer jag att beskriva min resulterande fil /etc/ntp.conf:
Ntp-server:~# cat /etc/ntp.conf # Lokala nätverksservrar (kommenterade ut, används inte - det finns en server på nätverket) #server 192.168.0.2 #server 192.168.0.5 # Internetservrar server ntp2.ntp- servers.net server ntp1.vniiftri.ru server ntp2.vniiftri.ru server ntp4.vniiftri.ru server ntp0.ntp-servers.net server ntp1.ntp-servers.net server ntp3.vniiftri.ru server ntp.corbina.net # Serverfiler driftfil /var/lib/ntp/ntp.drift loggfil /var/log/ntpstats # begränsar åtkomst till servern: # som standard ignorerar vi allt begränsa standard ignorera # localhost utan parametrar - det betyder att allt är tillåtet. Parametrarna gäller endast förbud. limit 127.0.0.1 # Följande beskriver de servrar som vi synkroniserar med på det lokala nätverket. # Vi tillåter dem allt utom fällor och förfrågningar till oss begränsa 192.168.0.2 noquery notrap limit 192.168.0.5 noquery notrap # för lokala tillåter vi också allt utom traps och modifieringar begränsa 192.168.0.1 mask 255.255.255.0 nomodifiera externa tider ingen källa åtkomst: begränsa ntp2.ntp-servers.net begränsa ntp1.vniiftri.ru begränsa ntp2.vniiftri.ru begränsa ntp4.vniiftri.ru begränsa ntp0.ntp-servers.net begränsa ntp1.ntp-servers.net begränsa ntp3.vniiftri limit ntp.corbina.net # och detta är ett hack som ställer in förtroendenivån för servern (strata) till sig själv lika med 3 # i ett nötskal, ju högre nivå, desto lägre siffra. 0 är atomklockan, #1 är synkroniserad med den, 2 är med den första och så vidare. server 127.127.1.1 fudge 127.127.1.1 stratum 3
För en mer djupgående förståelse och konfiguration av servern kommer jag att beskriva några ntpd-konfigurationsparametrar som jag inte nämnde::
Så vi fick ntpd-server, som synkroniserar med omvärlden, låter dig ta emot tid för klienter från det lokala nätverket 192.168.0.1 med en mask på 255.255.255.0, och kan även synkroniseras med den lokala servern (om du avkommenterar flera rader). Allt vi behöver göra är att konfigurera klienter och lära oss hur vi övervakar vår server.
När du har allt inrättat. NTP kommer att hålla tiden synkroniserad. Denna process kan observeras med kommandot NTP Query (ntpq):
Ntp-server:~# ntpq -p remote refid st t när poll räckvidd fördröjning offset jitter ============================== ================================================== ============ -n3 tid1.d6.hsd.PPS. 1 u 34 64 177 70.162 2.375 8.618 +ntp1.vniiftri.r .PPS. 1 u 33 64 177 43.479 -0.020 10.198 *ntp2.vniiftri.r .PPS. 1 u 6 64 177 43,616 -0,192 0,688 +ntp4.vniiftri.r .PPS. 1 u 4 64 177 43.623 0.440 0.546 -n1.time1.d6.hsd .PPS. 1 u 53 64 77 92.865 -11.358 38.346 -ns1.hsdn.org .GPS. 1 u 40 64 177 78.057 -3.292 35.083 -ntp3.vniiftri.r .PPS. 1 u 44 64 77 47.667 2.292 2.611 -scylla-l0.msk.c 192.43.244.18 2 u 62 64 77 41.565 -1.564 28.914
Detta kommando med -p-omkopplaren skriver ut till standardutmatning en lista över tidskällor med deras egenskaper (de återstående kommandoparametrarna är i man ntpq). Betydelsen av varje kolumn är följande:
Namnet på den fjärranslutna NTP-servern. Om du anger -n-växeln får du serverns IP-adresser istället för namn.
Indikerar var varje server för närvarande får sin tid ifrån. Detta kan vara ett värdnamn eller något som .GPS., som anger källan till Global Positioning System.
Stratum (nivå) är ett tal från 1 till 16 som indikerar serverns noggrannhet. En betyder maximal noggrannhet, 16 betyder att servern inte är tillgänglig. Din nivå kommer att vara lika med nivån på den minst exakta fjärrservern plus 1.
Intervall mellan omröstningar (i sekunder). Värdet kommer att ändras mellan lägsta och högsta pollingfrekvens. I början kommer intervallet att vara litet så att synkronisering sker snabbt. När klockorna väl är synkroniserade börjar intervallet öka för att minska trafiken och belastningen på populära tidsservrar.
En oktal representation av en 8-bitars array som återspeglar resultaten av de senaste åtta försöken att ansluta till servern. Biten ställs in om fjärrservern svarade.
Hur lång tid (i sekunder) som krävs för att få svar på frågan "vad är klockan?"
Det viktigaste fältet. Skillnad mellan lokal och fjärrservertid. Allt eftersom synkroniseringen fortskrider bör detta värde minska (närmare noll), vilket indikerar att den lokala maskinens klocka blir mer exakt.
Dispersion (Jitter) är ett mått på statistiska avvikelser från offsetvärdet (offsetfältet) över flera framgångsrika begäran-svarspar. Ett lägre spridningsvärde är att föredra eftersom det möjliggör mer exakt tidssynkronisering.
Betydelsen av tecken före servernamn
x - falsk källa enligt korsningsalgoritmen;
. - exkluderas från kandidatlistan på grund av långa avstånd;
- - borttagen från listan över kandidater av klustringsalgoritmen;
+ - ingår i den slutliga listan över kandidater;
# - valts för synkronisering, men det finns 6 bästa kandidater;
* - vald för synkronisering;
o - vald för synkronisering, men PPS används;
utrymme - för stor nivå, en slinga eller ett uppenbart fel;
ntpd-tjänst"smart" och själv rensar bort tidskällor som ligger för utanför förnuftets gränser. En tid efter start kommer ntpd att välja de mest tillförlitliga datakällorna och synkronisera med dem. Listan över referens-NTP-servrar vi presenterar granskas regelbundet av tjänsten.
Du kan kontrollera möjligheten till synkronisering lokalt på servern med kommandot:
Ntp-server:~# ntpdate -q localhost server 127.0.0.1, stratum 2, offset -0.000053, fördröjning 0.02573 server::1, stratum 2, offset -0.000048, fördröjning 0.02571 14 jan 5:14 justering: nt 514 tid server: nt ::1 offset -0,000048 sek
Från kommandoutgången är det tydligt att vår server redan har nått stratum 2-nivå. Det kommer att ta lite tid att nå denna nivå. Kanske kommer servernivån att vara högre under de första 10-15 minuterna.
Den korrekta driften av ntp-servern kan också bedömas från loggarna för ntpd-demonen:
Ntp-server:~# cat /var/log/ntpstats/ntp 13 Jan 20:13:16 ntpd: Lyssnar på gränssnitt #5 eth0, fe80::a00:27ff:fec1:8059#123 Aktiverad 13 Jan 20:13: 16 ntpd: Lyssna på gränssnitt #6 eth0, 192.168.0.8#123 Aktiverad 14 jan 14:31:00 ntpd: synkroniserad till 62.117.76.142, stratum 1 14 jan 14:31:10 1 jan 14:31:10 1 resnt 1:31:10 4 :31:10 ntpd: ändring av status för kärnans tidsynkronisering 0001 14 jan 14:34:31 ntpd: synkroniserad till 88.147.255.85, stratum 1 14 jan 14:36:04 ntpd: synkroniserad till 62.114 jan 62.141 .76.117 .4117 . 04:36 ntpd: synkroniserad till 62.117.76.142, stratum 1 14 jan 15:10:58 ntpd: synkroniserad till 62.117.76.140, stratum 1 14 jan 15:17:54 4 jan 3d ntpd1: 3d ntpd : synkroniserad till 62.117.76.140, stratum 1 14 jan 15:32:14 ntpd: tidsåterställning +13.139105 s
Efter att ha konfigurerat servern skulle det vara en bra idé att skydda den. Vi vet att servern körs på port 123/udp, och förfrågningar skickas också från port 123/udp. Efter att ha läst artikeln och bekantat dig med de praktiska kan du skapa regler för filtrering av nätverkstrafik:
Ntp ~ # iptables-save # typiska iptables-regler för DNS *filter:INPUT DROP :FORWARD DROP :OUTPUT DROP -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -m conntrack --ctstate INVALID -j DROP # tillåt lokal nätverksåtkomst till NTP-servern: -A INPUT -s 192.168.1.1/24 -d 192.168.1.1/32 -p udp -m udp --dport 123 -m conntrack - -ctstate NEW -j ACCEPTERA -A OUTPUT -o lo -j ACCEPTERA -A OUTPUT -p icmp -j ACCEPT -A OUTPUT -p udp -m udp --sport 32768:61000 -j ACCEPT -A OUTPUT -p tcp - m tcp --sport 32768:61000 -j ACCEPT -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # tillåt NTP-serveråtkomst för att göra utgående förfrågningar -A OUTPUT -p udp -m udp --sport 123 -- dport 123 -m conntrack --ctstate NYTT -j ACCEPTERA COMMIT
Detta är ett typiskt exempel! För att ställa in iptables-regler som passar dina uppgifter och nätverkskonfiguration måste du förstå hur nätfilter fungerar i Linux genom att läsa ovanstående artiklar.
För att synkronisera tid på UNIX-maskiner lokalt nätverk, är det lämpligt att använda ntpdate-verktyget, köra det flera gånger om dagen, till exempel varje timme. För att göra detta måste du lägga till följande rad:
0 * * * * /usr/sbin/ntpdate -s
Omkopplaren -s styr utmatningen av kommandot. Om klientdatorer har ett par extra megabyte RAM, så kan du köra ntpd-demonen, precis som på servern med följande konfiguration:
Server
Jag tror att allt är klart i den här konfigurationen: tidskällan (servern) är den lokala ntpd-servern, neka åtkomst för alla, tillåt endast den lokala ntpd-servern.
På klienter är det också nödvändigt att korrekt ange i vilket format som ska lagras tid och välja rätt tidszon.
För att konfigurera Windows NTP-klienten måste du köra följande kommandon i konsolen:
C:\>nettotid /setsntp:
Tja, det är det! Volymen på artikeln visade sig vara enorm... Jag förväntade mig inte ens det. Låt mig sammanfatta ovanstående. I den här artikeln hoppas jag att det blev tydligt för oss vad som är och hur en NTP-server fungerar. Vi lärde oss hur man konfigurerar en server och klienter på UNIX- och Windows-maskiner. Med några få ord är strukturen för tidssynkronisering i ett lokalt nätverk som följer: Det finns 1,2 eller fler tidsservrar i det lokala nätverket, de synkroniserar sin tid med externa källor i det globala nätverket. Server- och klientinställningar är baserade på filerna /etc/ntp.conf (huvudkonfigurationsfilen för ntpd-demonen), /etc/localtime (den aktuella tidszonsfilen), samt /etc/sysconfig/ntp (för RH) ) och /etc/default /ntp (för Deb) - demonstartparameterfiler. För en lokal ntp-server specificerar konfigurationsfilen externa servrar för att erhålla tid och tillåter åtkomst för dessa servrar med hjälp av parametern restrict, såväl som för lokala nätverksdatorer, för klienter är tidskällan specificerad - lokala servrar på det lokala nätverket, och åtkomst nekas också för alla, utom för tidskällan på det lokala nätverket. Alla. Tack alla för er uppmärksamhet! Jag kommer gärna att kommentera!
Applikationsexempel
08.12.2014NetPing-enheter använder NTP-protokollet för att synkronisera tid. Med detta protokoll justerar alla enheter i nätverket sin tid enligt den angivna servern. NetPing-enheter som är anslutna till Internet kan använda en offentlig NTP-server, som rekommenderas i artikel. Om det inte finns någon tillgång till Internet kan du ställa in en lokal NTP-server. En sådan server kan vara vilken dator som helst som kör Windows OS med en konfigurerad tjänst W32 Tid (« Windows tidstjänst "). Den här tjänsten har inget grafiskt gränssnitt och konfigureras antingen via kommandoraden eller genom att redigera registernycklar.
Låt oss titta på att ställa in en tidstjänst genom att redigera registret. Inställningen är densamma för versioner av Windows 7/8, Windows Server 2008, Windows Server 2012.
För den här inställningen måste du ha administratörsrättigheter för Windows OS.
Öppna registerredigeraren antingen genom dialogrutan " Utföra", orsakad av tangentkombinationen" Vinna» + « R", eller genom sökformuläret, där vi skriver " regedit».
I redigeraren som öppnas, i den vänstra trädmenyn, öppna "grenen" " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\TimeProviders\NtpServer", där vi letar efter nyckeln med namnet " Aktivera" Högerklicka och välj "Redigera". Ändra nyckelvärdet från 0 på 1 .
Genom att ändra denna parameter indikerade vi att den här datorn fungerar som en NTP-server. Datorn förblir samtidigt en klient och kan synkronisera sin tid med andra servrar på Internet eller lokala nätverk. Om du vill att den interna hårdvaruklockan ska fungera som en datakälla, ändra värdet på nyckelparameternTillkännageFlaggor på 5 i tråden" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config».
För att ändringarna ska träda i kraft måste vi starta om tjänsten. Tjänsterna nås via " Kontrollpanelen» från menyn « Start» -> « Kontrollpanelen» -> « Administration» -> « Tjänster" Den finns även i sökformuläret när du anger " tjänster.msc" I listan över tjänster som visas hittar vi den vi är intresserade av " Windows tidstjänst" och genom menyn som öppnas med höger musknapp, välj objektet " Starta om».
I Windows operativsystem ansvarar Windows Time Service, även känd som w32time, för tidssynkronisering. Denna tjänst säkerställer driften av servern och klientdelarna. Med andra ord kan samma dator fungera som en server och en klient samtidigt.
Tjänsten Windows Time har inget GUI. Konfiguration görs via CMD med hjälp av verktyget w32tm, manuell redigering av registret eller genom grupppolicyer.
Verktyget w32tm ändrar parametrarna i avsnittet
HKLM\SYSTEM\CurrentControlSet\Services\W32Time
Grupppolicyer skapar en partition i
HKLM\SOFTWARE\Policies\Microsoft\W32Time
Inställningar som skapas av grupppolicyer har företräde och åsidosätter standardinställningarna.
Låt oss titta på innehållet i undersektionen Parametrar för en dator som finns i en arbetsgrupp
och för en domändator
NtpServer-nyckeln definierar listan över tidsservrar med vilka synkronisering kommer att ske. Standardadressen är time.windows.com,0x9. När du anger mer än en tidsserver måste adresserna separeras med mellanslag.
Parameter 0x9 är summan av 0x1 och 0x8.
0x1 – SpecialInterval, användning av ett speciellt pollingintervall.
0x2 – UseAsFallbackOnly-läge.
0x4 – SymmetricActive, symmetriskt aktivt läge.
0x8 – Klient, skickar en begäran i klientläge.
Det speciella avfrågningsintervallet anges i nyckeln
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
och är 3600 sekunder. Det vill säga synkronisering sker varje timme.
Typnyckeln bestämmer typen av synkronisering och har följande värden:
NoSync - Tidstjänsten är inte synkroniserad med andra källor.
NTP-tidstjänsten synkroniseras med servrar som anges i NtpServer-registerposten.
Tidstjänsten NT5DS utför synkronisering baserat på domänhierarkin.
AllSync - Tidstjänsten använder alla tillgängliga synkroniseringsmekanismer.
I fallet med en dator från en arbetsgrupp används NTP-typen, det vill säga tidssynkronisering sker med time.windows.com-servern som anges i NtpServer-nyckeln.
Domändatorn använder typen NT5DS. I det här fallet sker tidssynkronisering med den domänkontrollant som datorn är auktoriserad till. Styrenheter synkroniserar sin tid med styrenheten som är ägare till PDC-emulatorrollen. Ägaren av PDC-emulatorrollen använder också typen NT5DS och synkroniserar sin tid med en lokal klocka som tar emot tid från CMOS-kretsen som finns på moderkortet. Nackdelen är att tiden som tas emot från CMOS-kretsen hela tiden "rör sig" i förhållande till den verkliga. För att förhindra att detta händer, på rotkontrollern med PDC-emulatorrollen, ändra typen till NTP och ange en lista över externa tidsservrar i NtpServer.
På rotdomänkontrollanten, med rollen PDC Emulator, öppna CMD och kör kommandot
C:\>w32tm /config /manualpeerlist:"0.ru.pool.ntp.org,0x9 1.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool. ntp.org,0x9" /syncfromflags:MANUAL /update
/manualpeerlist - anger en lista över tidskälladresser. Denna lista kommer att läggas till värdet på den redan kända NtpServer-nyckeln.
/syncfromflags - definierar synkroniseringskällan. Denna parameter ändrar värdet på Type-nyckeln. Möjliga alternativ:
MANUELL - synkronisering med noder från en manuellt specificerad lista. Samma som NTP-värde.
DOMHIER - synkronisering med Active Directory-domänkontrollanten i domänhierarkin. Samma som NT5DS-värde.
NEJ - ingen synkronisering. Samma som NoSync.
ALL - synkronisering med både manuellt angivna noder och domännoder. Samma som AllSync.
/update - meddelar tidstjänsten att konfigurationen har ändrats så att ändringarna träder i kraft.
Huruvida en dator kan fungera som en tidsserver avgörs av följande nyckel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled
För en kontroller har denna nyckel värdet 1, för en dator 0. Med andra ord fungerar vilken domänkontroller som helst som en tidsserver.
Hur tidstjänsten kommer att justera tiden på klienten bestäms av nyckeln
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxAllowedPhaseOffset
För en dator som finns i en arbetsgrupp är värdet på MaxAllowedPhaseOffset-nyckeln lika med 1 sekund. Domändatorn har 300 sekunder. Om tidsskillnaden mellan klienten och tidsservern är större än värdet på MaxAllowedPhaseOffset-nyckeln kommer tidstjänsten omedelbart att ändra tiden på klienten till den tid som är inställd på tidsservern. Om tidsskillnaden är mindre kommer klockan att justeras gradvis. Detta görs för att förhindra att tidskänsliga tjänster kraschar. Å andra sidan är 300 sekunder 5 minuter, eller den maximala tidsskillnaden som tillåts för Kerberos-protokollet.
För att ändra tidstjänstinställningarna genom grupppolicyer måste du skapa ett WMI-filter för att rikta policyn mot rotdomänkontrollanten med PDC-emulatorrollen. För att göra detta, öppna snapin-modulen "Grupppolicyhantering", högerklicka på avsnittet "WMI-filter" och välj "Ny". I namnfältet måste du skriva namnet på filtret, till exempel "PDC Emulator". Därefter måste du klicka på knappen "Lägg till" och infoga en WMI-förfrågan
Välj * från Win32_ComputerSystem där DomainRole = 5
Låt oss skapa en policy, högerklicka på avsnittet "Domänkontrollanter" och välj "Skapa ett grupprincipobjekt ...", kalla det "PDC Emulator Time Sources". Högerklicka på det skapade objektet och välj "Redigera". Öppna avsnittet "Datorkonfiguration->Policyer->Administrativa mallar->System->Windows Time Service->Tidsleverantörer". Välj alternativet "Konfigurera Windows NTP-klient". I fältet NtpServer, infoga adresserna till tidsservrar
0.ru.pool.ntp.org,0x9 1.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool.ntp.org,0x9
I fältet Typ, välj värdet "NTP", klicka sedan på "Ok" och stäng fönstret "Group Policy Management Editor".
Efter detta måste du välja den skapade policyn för "PDC Emulator Time Sources" och i fältet "WMI Filter" välj det tidigare skapade filtret "PDC Emulator"
Diagnostik
Du kan tvinga fram tidssynkronisering med kommandot
C:\>w32tm /resync
Du kan se den aktuella tidskällan med kommandot
C:\>w32tm /query /källa
Detta kommando visar aktuell tidskälla, synkroniseringstid och annan information
C:\>w32tm /query /status
Detta kommando visar data om alla tidskällor
C:\>w32tm /query /peers
Tidsskillnaden mellan datorn och tidskällan kan ses med kommandot
C:\>w32tm/monitor
Använd kommandot för att se den aktuella konfigurationen
C:\>w32tm /query /configuration
Du kan starta om tidstjänsten med kommandot
C:\>net stop w32time && net start w32time
Om något går fel kan du registrera om tidstjänsten. Detta kommer att skapa på nytt hela registergrenen relaterad till tidstjänsten.
C:\>nätstopp w32time c:\>w32tm /avregistrera c:\>w32tm /register c:\>nätstart w32time
För att snabbt synkronisera tid med en specifik värd kan du använda kommandot
C:\>NETTID \\DC1.4SKILL.LOC /SET /Y
Om du kör kommandot på en domändator utan att ange den värd som du vill synkronisera tiden med, kommer synkroniseringen att ske med domäntidsservern.
Windows Time-tjänsten är, trots sin uppenbara enkelhet, en av grunderna som krävs för att en Active Directory-domän ska fungera normalt. I en korrekt konfigurerad AD-miljö fungerar tidstjänsten så här: Användarnas datorer får korrekt tid från närmaste domänkontrollant som de är registrerade på. Alla domänkontrollanter får i sin tur exakt tid från DC med " PDC-emulator", och PDC-styrenheten synkroniserar sin tid med en viss . Den externa tidskällan kan vara en eller flera NTP-servrar, till exempel time.windows.com eller din Internetleverantörs NTP-server. Det bör också noteras att som standard synkroniserar klienter i en domän tid med hjälp av Windows Time-tjänsten snarare än NTP.
Om du står inför en situation där tiden på klienter och domänkontrollanter är olika, kan din domän ha tidssynkroniseringsproblem och den här artikeln kommer att vara användbar för dig.
Först av allt, välj en lämplig NTP-server som du kan använda. En lista över offentliga NTP-servrar finns på http://ntp.org. I vårt exempel kommer vi att använda NTP-servrar från poolen ru.pool.ntp.org:
Att konfigurera tidssynkronisering i en domän med hjälp av grupppolicyer består av två steg:
1) Skapa ett GPO för en domänkontrollant med PDC-rollen
2) Skapa GPO för kunder (valfritt)
Detta steg innebär att konfigurera en domänkontrollant med PDC-emulatorrollen för att synkronisera tid med en extern NTP-server. Därför att I teorin kan PDC-emulatorrollen flytta mellan domänkontrollanter, vi måste göra en policy som endast gäller den nuvarande ägaren av PDC-rollen. För att göra detta, i hanteringskonsolen Group Policy Management Console(GPMC.msc), låt oss skapa en ny . För att göra detta, i avsnittet WMI-filter skapa ett filter och namn PDC emulator och WMI-fråga: Välj * från Win32_ComputerSystem där DomainRole = 5
Skapa sedan ett nytt GPO och tilldela det till behållaren för domänkontrollanter.
Gå till policyredigeringsläge och expandera följande policyavsnitt: Datorkonfiguration->Administrativa mallar->System->Windows Tidstjänst->Tidsleverantörer
Vi är intresserade av tre policyer:
I policyinställningar Konfigurera Windows NTP-klient ange följande parametrar:
Råd. Glöm inte att konfigurera brandväggen så att PDC-servern kan komma åt externa NTP-servrar med hjälp av NTP-protokollet (UDP-port 123).
Notera. Notera syntaxen i fältet NtpServer. Formatet för att ange flera NTP-servrar är följande: ntsrv1.org,0x1 ntpsrv2.org,0x1(mellanslagsavgränsare). Skärmdumpen innehåller felaktig information!
Använd filtret du skapade tidigare PDC emulator till denna policy.
Råd. Du kan hitta namnet på servern med PDC-rollen med kommandot: netdom query fsmo
Det återstår att uppdatera policyerna på PDC-styrenheten:
gpupdate /force
Starta tidssynkronisering manuellt:
w32tm/resync
Kontrollera dina nuvarande NTP-inställningar:
w32tm /query /status
Råd. Om tiden inte är synkroniserad, starta om Windows Time-tjänsten och återställ de aktuella inställningarna:
nätstopp w32time
w32tm.exe /avregistrera
w32tm.exe /register
nettostart w32time
I en Active Directory-miljö synkroniserar domänklienter som standard sin tid med domänkontrollanter (valfritt Nt5DS– synkronisera tid enligt domänhierarkin). Som regel fungerar detta schema och kräver ingen omkonfigurering. Men om du har problem med tidssynkronisering på domänklienter kan du försöka tvinga fram en tidsserver för klienter som använder en GPO.
För att göra detta, skapa en ny GPO och tilldela den till behållare (OU) med datorer. I GPO-redigeraren, gå till Datorkonfiguration -> Administrativa mallar -> System -> Windows Time Service -> Tidsleverantörer och aktivera policyn Konfigurera Windows NTP-klient.
Ange namnet eller IP-adressen för PDC som NTP-server, till exempel msk-dc1.site,0x9 och NT5DS som synkroniseringstyp
Uppdatera grupprincipinställningar på klienter och verifiera att klienter har lyckats synkronisera sin tid med PDC.
Råd. Detta schema är endast tillämpligt på små domäner. För stora distribuerade domäner med många DC:er och webbplatser måste du skapa en separat policy för varje webbplats för att säkerställa att klienter synkroniserar sin tid med DC:erna på webbplatsen.
