Ntp server po defaultu. Instaliranje ntp-a na Ubuntu

O konfiguriranju i upravljanju NTP serverom u Windows serveru

Svi Windows OS-ovi počev od Windows 2000 imaju vremensku uslugu W32Time... Ova usluga je dizajnirana za sinhronizaciju sistemskog vremena unutar organizacije. W32Time usluga odgovorna je za rad i klijentskog i poslužiteljskog dijela vremenske usluge, dok isto računalo može biti i klijent i NTP (Network Time Protocol) poslužitelj.

Podrazumijevano je Windows Time Service konfiguriran na sljedeći način:

Prilikom instaliranja operativni sistem Windows pokreće NTP klijent i sinhronizira se s vanjskim izvorom vremena;
Kada se računaru doda domena, vrsta sinhronizacije se mijenja. Svi klijentski računari i serveri članova u domeni koriste kontroler domene za sinhronizaciju svog vremena;
Kada se poslužitelj člana unaprijedi u kontroler domene, na njemu se pokreće NTP poslužitelj koji koristi kontroler s ulogom PDC emulatora kao izvor vremena;
PDC emulator, smješten u korijenskoj domeni šume, primarni je vremenski poslužitelj za cijelu organizaciju. U isto vrijeme, on sam je također sinhroniziran s vanjskim vremenskim izvorom.

Ova shema djeluje u većini slučajeva i ne zahtijeva intervenciju. Međutim, struktura vremenske usluge u sustavu Windows možda neće slijediti hijerarhiju domene i bilo koji računar može se odrediti kao pouzdan izvor vremena. Kao primjer, opisat ću postavljanje NTP servera u sustavu Windows Server 2008 R2, iako se procedura nije puno promijenila od Windowsa 2000.

Pokretanje NTP servera

Odmah napominjem da vremenska usluga u Windows serveru (od 2000. do 2012.) nema grafički interfejs i može se konfigurirati iz bilo kojeg naredbeni redak, ili direktnim uređivanjem sistemski registar... Meni je lično bliža druga metoda, pa idemo u registar.

Dakle, prva stvar koju moramo učiniti je pokrenuti NTP server. Otvorite granu registra
HKLM \ System \ CurrentControlSet \ services \ W32Time \ TimeProviders \ NtpServer.
Ovdje se omogućava parametar NTP poslužitelja Omogućeno treba postaviti vrijednost 1 .

Nakon ponovnog pokretanja NTP usluge, poslužitelj je već aktivan i može opsluživati klijente. To možemo provjeriti pomoću naredbe w32tm / query / configuration. Ova naredba prikazuje kompletnu listu parametara usluge. Ako odjeljak NtpServer sadrži niz Omogućeno: 1, tada je sve u redu, poslužitelj vremena radi.

Da bi NTP poslužitelj služio klijentima, ne zaboravite otvoriti UDP port 123 za dolazni i odlazni promet na vatrozidu (firewall).

Osnovne postavke NTP servera

NTP poslužitelj je uključen, sada ga morate konfigurirati. Otvorite granu registra HKLM \ System \ CurrentControlSet \ services \ W32Time \ Parameters. Ovdje nas primarno zanima parametar Tip koja specificira vrstu sinhronizacije. Može poprimiti sljedeće vrijednosti:

NoSync - NTP poslužitelj nije sinkroniziran s bilo kojim vanjskim izvorom vremena. Koristi se sat ugrađen u sopstveni CMOS čip servera;
NTP - NTP poslužitelj se sinkronizira s vanjskim vremenskim serverima, koji su navedeni u parametru registra NtpServer;
NT5DS - NTP poslužitelj vrši sinkronizaciju prema hijerarhiji domene;
AllSync - NTP server koristi sve dostupne izvore za sinhronizaciju.

Zadana vrijednost za računar koji je član domene je NT5DS, za odvojeno stojeći računar - NTP.

I parametar NtpServer, koji specificira NTP servere s kojima će se vrijeme sinkronizirati ovaj server... Prema zadanim postavkama ovaj parametar sadrži Microsoft NTP poslužitelj (time.windows.com, 0x1); ako je potrebno, možete dodati još nekoliko NTP poslužitelja unosom njihovih DNS imena ili IP adresa odvojenih razmakom. Na primjer, možete pogledati listu dostupnih vremenskih servera.

Možete dodati zastavicu na kraj svakog imena (npr. , 0x1) koji definira način sinhronizacije s vremenskim serverom. Dopuštene su sljedeće vrijednosti:

0x1- SpecialInterval, koristeći poseban interval glasanja;
0x2- UseAsFallbackOnly način;
0x4- SymmetricActive, simetrični aktivni način;
0x8- Klijent, šalje zahtjev u režimu klijenta.

Kada koristite zastavicu SpecialInterval, u ključu morate postaviti vrijednost intervala SpecialPollInterval... Ako je postavljena oznaka UseAsFallbackOnly, vremenska usluga se obavještava da će se ovaj poslužitelj koristiti kao rezervni poslužitelj i pozivi na druge poslužitelje s popisa bit će izvršeni prije sinkronizacije s njim. Simetrični aktivni način rada NTP poslužitelji koriste po defaultu, a klijentski način rada može se omogućiti u slučaju problema sa sinkronizacijom. Microsoft preporučuje da parametar = stavite svuda 0x1.

Važan parametar AnnounceFlags nalazi se u ključu registra HKLM \ System \ CurrentControlSet \ services \ W32Time \ Config. Odgovorna je za to kako NTP server tvrdi da može biti i može poprimiti sljedeće vrijednosti:

0x0 ( Nije vremenski poslužitelj) - server se ne oglašava putem NetLogona kao izvor vremena. Može odgovoriti na NTP zahtjeve, ali susjedi ga neće moći prepoznati kao izvor vremena;
0x1(Uvijek vremenski poslužitelj) - server će se uvijek oglasiti bez obzira na svoj status;
0x2(Automatski vremenski server) - server će se oglašavati samo ako primi pouzdano vrijeme od drugog susjeda (NTP ili NT5DS);
0x4(Uvijek pouzdani vremenski poslužitelj) - poslužitelj će se uvijek deklarirati kao pouzdan izvor vremena;
0x8(Automatski pouzdani vremenski poslužitelj) - Kontroler domene automatski se proglašava pouzdanim ako je PDC emulator korijenske domene šume. Ova zastava omogućava glavnom PDC-u šume da tvrdi da je autorizirani izvor vremena za cijelu šumu, čak i ako nema veze s uzvodnim NTP poslužiteljima. Nijedan drugi kontroler ili poslužitelj člana (sa zadanom zastavicom 0x2) ne može se izjasniti kao pouzdan izvor vremena ako ne može pronaći izvor vremena za sebe.

Vrijednost AnnounceFlags je zbroj njegovih sastavnica, na primjer:

10 = 2 + 8 - NTP poslužitelj tvrdi da je pouzdan izvor vremena, pod uvjetom da vrijeme prima iz pouzdanog izvora ili je PDC korijenske domene. Flag 10 je zadani za članove domene i za samostalne poslužitelje.

5 = 1 + 4 - NTP poslužitelj uvijek tvrdi da je pouzdan izvor vremena. Na primjer, zastava 5 potrebna je za deklariranje člana poslužitelja (a ne za kontroler domene) kao pouzdanog izvora vremena.

Pa, postavimo interval između ažuriranja. Za to je odgovoran već gore spomenuti ključ. SpecialPollInterval, nalazi se u grani registra HKLM \ System \ CurrentControlSet \ services \ W32Time \ TimeProviders \ NtpClient. Postavlja se u sekundama, a zadana vrijednost je 604800, što je 1 tjedan. To je puno, pa vrijedi smanjiti vrijednost SpecialPollInterval na razumnu vrijednost, recimo, 1 sat (3600).

Naredbe kontrole vremenske službe W32Time:

w32tm / config / update - ažuriranje konfiguracije usluge.

w32tm / monitor - saznajte koliko je sistemsko vrijeme ovaj računar različito od vremena na kontroleru domene ili drugim računarima. Na primjer: w32tm / monitor /computers:time.nist.gov
w32tm / resync - prisilna sinhronizacija s korištenim vremenskim serverom.
w32tm / stripchart - prikazuje vremensku razliku između trenutne i udaljeni računar, a rezultat može prikazati u grafičkom obliku. Na primjer, naredba w32tm / stripchart /computer:time.nist.gov / sample: 5 / dataonly napravit će 5 usporedbi s navedenim izvorom i prikazati rezultat u obliku teksta.

w32tm / config je naredba koja se koristi za konfiguriranje NTP usluge. Pomoću nje možete postaviti listu korištenih vremenskih servera, vrstu sinhronizacije i još mnogo toga. Na primjer, da biste poništili zadane vrijednosti i konfigurirali vremensku sinkronizaciju s vanjskim izvorom, možete upotrijebiti naredbu w32tm / config / syncfromflags: manual /manualpeerlist:time.nist.gov / update
w32tm / upit - prikazuje trenutne postavke usluge. Na primjer, naredba w32tm / query / source prikazat će trenutni izvor vremena, a w32tm / query / configuration prikazat će sve parametre usluge.
w32tm / odjavi se - uklanja vremensku uslugu sa računara
w32tm / register - registrira vremensku uslugu na računaru, cijela grana parametara je ponovno kreirana u registru.

U kontaktu sa

Windows vremenska usluga, uprkos svojoj prividnoj jednostavnosti, jedan je od temelja neophodnih za normalno funkcioniranje domene. Aktivni direktorij... U ispravno konfiguriranom AD okruženju, vremenska usluga radi ovako: Korisnički računari dobivaju tačno vrijeme od najbližeg kontrolera domene kod kojeg su se registrirali. Svi kontrolori domene zauzvrat dobivaju tačno vrijeme od DC sa " PDC emulator”, A PDC kontroler sinkronizira svoje vrijeme s nekim. Jedan ili više NTP poslužitelja mogu djelovati kao vanjski izvor vremena, na primjer time.windows.com ili NTP poslužitelj vašeg Internet provajdera. Takođe treba imati na umu da klijenti u domeni sinhroniziraju svoje vrijeme koristeći uslugu Windows Time, a ne NTP.

Ako ste suočeni sa situacijom u kojoj se vrijeme na klijentima i kontrolorima domene razlikuje, moguće je da vaša domena ima problema s vremenskom sinkronizacijom i ovaj će vam članak biti koristan.

Prvo odaberite odgovarajući NTP server koji možete koristiti. Spisak javno dostupnih NTP servera dostupan je na http://ntp.org. U našem primjeru koristit ćemo NTP servere iz spremišta ru.pool.ntp.org:

0.ru.pool.ntp.org
1.ru.pool.ntp.org
2.ru.pool.ntp.org
3.ru.pool.ntp.org

Konfiguriranje sinhronizacije vremena domene pomoću pravila grupe sastoji se od dva koraka:

1) Stvorite GPO za kontroler domene s PDC ulogom
2) Napravite GPO za klijente (opcionalno)

Konfiguriranje NTP politike sinkronizacije na PDC kontroloru domene

Ovaj korak uključuje konfiguriranje kontrolera domene s ulogom PDC emulatora da sinhronizira svoje vrijeme s vanjskim NTP serverom. Jer u teoriji se uloga PDC emulatora može premještati između kontrolera domene, moramo napraviti politiku koja se odnosi samo na trenutnog vlasnika uloge PDC-a. Da biste to učinili, u upravljačkoj konzoli Konzola upravljanja grupnim politikama(GPMC.msc), kreirajte novi. Da biste to učinili, u odjeljku WMI filtri kreirajte filter i ime PDC emulator i WMI upit: Odaberite * iz Win32_ComputerSystem gdje je DomainRole = 5

Zatim stvorite novi GPO i dodijelite ga spremniku Kontrolera domene.

Prebacite se u način uređivanja pravila i proširite sljedeći odjeljak pravila: Konfiguracija računara-> Administrativni predlošci-> Sistem-> Windows vremenska usluga-> Dobavljači vremena

Zanimaju nas tri političara:

Konfigurirajte Windows NTP klijenta: Omogućeno (postavke pravila su opisane u nastavku)
Omogućite Windows NTP klijent: Omogućeno
Omogućite Windows NTP server: Omogućeno

U postavkama politike Konfigurirajte Windows NTP klijenta navedite sljedeće parametre:

NtpServer: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.ntp.org, 0x1
Tip: NTP
CrossSiteSyncFlags: 2
ResolvePeerBackoffMinutes: 15
Riješite peer BAckoffMaxTimes: 7
SpecilalPoolInterval: 3600
EventLogFlags: 0

Savet... Ne zaboravite prilagoditi firewall tako da PDC poslužitelj može pristupiti vanjskim NTP poslužiteljima pomoću NTP protokola (UDP port 123).

Bilješka... Obratite pažnju na sintaksu u polju NtpServer. Format za specificiranje više NTP poslužitelja je sljedeći: ntsrv1.org, 0x1 ntpsrv2.org, 0x1(razdjelnik prostora). Snimak zaslona sadrži pogrešne podatke!

Primijenite prethodno kreirani filter PDC emulator ovoj politici.

Savet... Ime poslužitelja s PDC ulogom možete pronaći pomoću naredbe: netdom query fsmo

Preostaje ažuriranje politika na PDC kontroleru:
gpupdate / force

Ručno pokretanje sinhronizacije vremena:
w32tm / resync

Provjerite trenutne NTP postavke:
w32tm / upit / status

Savet... U slučaju da vrijeme nije sinkronizirano, ponovo pokrenite Windows Time uslugu i resetirajte trenutne postavke:
neto zaustavljanje w32time
w32tm.exe / poništi registraciju
w32tm.exe / registar
neto početak w32time

Konfiguriranje sinhronizacije vremena na klijentima domene

U Active Directory okruženju, klijenti domene prema zadanim postavkama sinhroniziraju svoje vrijeme s kontrolerima domene (opcija Nt5DS- sinhronizirati vrijeme prema hijerarhiji domene). Ova shema u pravilu radi i ne zahtijeva rekonfiguraciju. Međutim, ako imate problema s vremenskom sinkronizacijom na klijentima domene, možete pokušati prisiliti vremenski poslužitelj za klijente pomoću GPO-a.

Da biste to učinili, stvorite novi GPO i dodijelite ga spremnicima (OU) s računalima. U uređivaču GPO-a idite na odjeljak Konfiguracija računara -> Administrativni predlošci -> Sistem -> Windows usluga vremena -> Davatelji vremena i omogućiti politiku Konfigurirajte Windows NTP klijenta.

Navedite ime ili ip adresu PDC-a kao NTP poslužitelj, na primjer, msk-dc1.site, 0x9 i kao tip sinkronizacije, NT5DS

Ažurirajte postavke smernica grupe na klijentima i provjerite jesu li klijenti uspješno sinhronizirali svoje vrijeme s PDC-om.

Savet... Gornja šema odnosi se samo na male domene. Za velike distribuirane domene sa velika količina DC-ovi i web lokacije morat će stvoriti zasebnu politiku za svaku web lokaciju tako da klijenti sinkroniziraju svoje vrijeme s DC na web lokaciji.

Postavljanje NTP servera u sustavu Windows

Od operativnog sistema Windows 2000, svi rade Windows sistemi uključuju vremensku uslugu W32Time... Ova usluga je dizajnirana za sinhronizaciju vremena unutar organizacije. W32Time je odgovoran za rad i klijentskog i poslužiteljskog dijela vremenske usluge, a isto računalo može biti i klijent i NTP (Network Time Protocol) poslužitelj.

Podrazumijevano je Windows Time Service konfiguriran na sljedeći način:

Kada instalira operativni sistem, Windows pokreće NTP klijenta i sinhronizira se s vanjskim izvorom vremena;
Kada se računaru doda domena, vrsta sinhronizacije se mijenja. Svi klijentski računari i serveri članova u domeni koriste kontroler domene za sinhronizaciju svog vremena;
Kada se poslužitelj člana unaprijedi u kontroler domene, na njemu se pokreće NTP poslužitelj koji koristi kontroler s ulogom PDC emulatora kao izvor vremena;
PDC emulator, smješten u korijenskoj domeni šume, primarni je vremenski poslužitelj za cijelu organizaciju. U isto vrijeme, on sam je također sinhroniziran s vanjskim vremenskim izvorom.

Pokretanje NTP servera

Odmah primjećujem da vremenska usluga u Windows serveru (od 2000. do 2012.) nema grafičko sučelje i konfigurira se iz naredbenog retka ili izravnim uređivanjem sistemskog registra. Meni je lično bliža druga metoda, pa idemo u registar.

Zatim naredbom ponovo pokrećemo uslugu vremena net stop w32time && net start w32time

Nakon ponovnog pokretanja NTP usluge, poslužitelj je već aktivan i može opsluživati klijente. To možete provjeriti pomoću naredbe w32tm / query / configuration. Ova naredba prikazuje kompletnu listu parametara usluge. Ako odjeljak NtpServer sadrži niz Omogućeno: 1, tada je sve u redu, poslužitelj vremena radi.

Da bi NTP posluživao klijente, ne zaboravite otvoriti UDP port 123 na zaštitnom zidu za dolazni i odlazni promet.

Osnovne postavke NTP servera

Zadana vrijednost za računar koji je član domene je NT5DS, za samostalni računar - NTP.

I parametar NtpServer, koji specificira NTP servere s kojima će ovaj server sinhronizirati vrijeme. Prema zadanim postavkama ovaj parametar sadrži Microsoft NTP poslužitelj (time.windows.com, 0x1); ako je potrebno, možete dodati još nekoliko NTP poslužitelja unosom njihovih DNS imena ili IP adresa odvojenih razmakom. Na primjer, možete pogledati listu dostupnih vremenskih servera.

Možete dodati zastavicu na kraj svakog imena (npr. , 0x1) koji definira način sinhronizacije s vremenskim serverom. Dopuštene su sljedeće vrijednosti:

Kada koristite zastavicu SpecialInterval, u ključu morate postaviti vrijednost intervala SpecialPollInterval... Ako je postavljena zastava UseAsFallbackOnly, vremenska usluga se obavještava da će se ovaj poslužitelj koristiti kao rezervni poslužitelj i da će se upućivati pozivi drugim serverima s popisa prije sinhronizacije s njim. Simetrični aktivni način rada koristi se prema zadanim postavkama za NTP servere, a režim klijenta može se omogućiti u slučaju problema sa sinhronizacijom. Možete vidjeti više o načinima sinhronizacije ili nemojte zavaravati i jednostavno ih stavite svugdje , 0x1(kako je savjetovao Microsoft).

Još jedan važan parametar AnnounceFlags nalazi se u ključu registra HKLM \ System \ CurrentControlSet \ services \ W32Time \ Config. Odgovorna je za to kako NTP server tvrdi da može biti i može poprimiti sljedeće vrijednosti:

0x0 ( Nije vremenski poslužitelj) - server se ne oglašava putem NetLogona kao izvor vremena. Može odgovoriti na NTP zahtjeve, ali susjedi ga neće moći prepoznati kao izvor vremena;
0x1(Uvijek vremenski poslužitelj) - server će se uvijek oglasiti bez obzira na svoj status;
0x2(Automatski server vremena) - server će se oglašavati samo ako od drugog suseda dobije pouzdano vreme (NTP ili NT5DS);
0x4(Uvijek pouzdani vremenski poslužitelj) - poslužitelj će se uvijek deklarirati kao pouzdan izvor vremena;
0x8(Automatski pouzdani vremenski poslužitelj) - Kontroler domene automatski se proglašava pouzdanim ako je PDC emulator korijenske domene šume. Ova zastavica omogućava glavnom PDC-u šume da se potvrdi kao ovlašteni izvor vremena za cijelu šumu, čak i ako nema veze s uzvodnim NTP poslužiteljima. Nijedan drugi kontroler ili poslužitelj člana (sa zadanom zastavicom 0x2) ne može se izjasniti kao pouzdan izvor vremena ako ne može pronaći izvor vremena za sebe.

Vrijednost AnnounceFlags je zbroj njegovih sastavnica, na primjer:

5 = 1 + 4 - NTP poslužitelj uvijek tvrdi da je pouzdan izvor vremena. Na primjer, zastava 5 potrebna je za deklariranje člana poslužitelja (a ne za kontroler domene) kao pouzdanog izvora vremena.

Nakon podešavanja, morate ažurirati konfiguraciju usluge. To se može učiniti naredbom w32tm / config / update. I još nekoliko naredbi za konfiguriranje, nadgledanje i dijagnosticiranje vremenske usluge:

w32tm / monitor - pomoću ove opcije možete saznati kako se sistemsko vrijeme ovog računara razlikuje od vremena na kontroleru domene ili drugim računarima. Na primjer: w32tm / monitor /computers:time.nist.gov
w32tm / resync - Pomoću ove naredbe možete prisiliti računalo na sinhronizaciju s vremenskim serverom koji koristi.
w32tm / stripchart - prikazuje vremensku razliku između trenutnog i udaljenog računara, a rezultat može prikazati u grafičkom obliku. Na primjer, naredba w32tm / stripchart /computer:time.nist.gov / sample: 5 / dataonly izvršit će 5 usporedbi s navedenim izvorom i prikazati rezultat u obliku teksta.

w32tm / config je glavna naredba koja se koristi za konfiguriranje NTP usluge. Pomoću nje možete postaviti listu korištenih vremenskih servera, vrstu sinhronizacije i još mnogo toga. Na primjer, da biste poništili zadane vrijednosti i konfigurirali vremensku sinkronizaciju s vanjskim izvorom, možete koristiti naredbu w32tm / config / syncfromflags: manual /manualpeerlist:time.nist.gov / update
w32tm / upit - prikazuje trenutne postavke usluge. Na primjer, naredba w32tm / query / source prikazat će trenutni izvor vremena, a w32tm / query / configuration prikazat će sve parametre usluge.

Pa, u krajnjem slučaju 🙁
w32tm / odjavi se - uklanja vremensku uslugu sa računara.
w32tm / register - registrira vremensku uslugu na računaru. U ovom slučaju, cijela grana parametara u registru kreira se iznova.

Dobar dan, gosti i redovni čitaoci. Postepeno prelazim sa osnova na dublje proučavanje Linuxa. Danas želim razmotriti rad ntp protokola, kao i podešavanje vremenski serveri na Linuxu(ntp server)... Pa krenimo od teorije.

NTP protokol

Mrežni protokol vremena (NTP) - mrežni protokol za sinhronizaciju internog sata računara pomoću mreža sa promenljivom kašnjenjem (pročitajte "širinu kanala" / kvalitet).

NTP koristi za svoj rad UDP protokol i port 123.

Trenutna verzija protokola je NTP 4. NTP koristi hijerarhijski sistem "Po satu"(oni se takođe zovu Stratum). Nivo 0 (ili sloj 0)- to su obično uređaji koji su atomski satovi (molekularni, kvantni), GPS satovi ili radio satovi. Ovi uređaji se obično ne objavljuju na svjetskoj mreži, već su izravno povezani vremenski serveri nivoa 1 putem RS-232 protokola (označeno žutim strelicama na ilustraciji). Nivo 1 sinhronizirano s visoko preciznim satovima nivo 0 obično rade kao izvori za servere nivo 2. Nivo 2 sinhronizovano sa jednom od mašina nivo 1, kao i moguća sinhronizacija sa serverima njegovog nivoa. Nivo 3 radi slično drugom. Obično su serveri drugog i nižeg nivoa objavljeni na mreži. NTP protokol podržava do 256 nivoa. Takođe bih želio napomenuti da serveri nivoa 1 i 2, a ponekad čak i 3 nisu uvijek otvoreni za javni pristup. Ponekad, da biste se sinhronizirali s njima, morate poslati zahtjev poštom - administratorima domena.

Koja je svrha ograničavanja pristupa serverima? Prelaskom na svaki nivo, greška u odnosu na primarni server, ali ukupan broj servera se povećava i zbog toga.

Dodjeljivanje NTP servera na lokalnoj mreži

Zašto nam treba NTP server? Na primjer, postoje usluge na operativnim sistemima koje mogu ovisiti o sinkroniziranom vremenu. Najistaknutiji primjer takvih usluga je Kerberos protokol provjere autentičnosti. Da bi funkcionirao, potrebno je da se na računalima kojima se pristupa putem ovog protokola sistemsko vrijeme razlikuje za najviše 5 minuta. Uz to, tačno vrijeme na svim računalima znatno olakšava analizu sigurnosnih dnevnika prilikom istrage incidenata u lokalna mreža.

Režimi rada NTP servera / klijenta

Klijent / server

Ovaj način rada je daleko najčešće korišten na Internetu. Šema rada je klasična. Klijent šalje zahtjev, na koji server šalje odgovor neko vrijeme. Klijent je konfiguriran pomoću direktive servera u konfiguracijskoj datoteci, gdje je navedeno DNS ime vremenskog poslužitelja.

Simetrični aktivni / pasivni režim

Ovaj režim se koristi kada se vrši sinhronizacija vremena između velikog broja jednakih mašina. Pored činjenice da je svaka mašina sinhronizirana s vanjskim izvorom, ona se također sinkronizira sa svojim vršnjacima, djelujući kao klijent i vremenski poslužitelj za njih. Stoga, čak i ako mašina „izgubi“ vanjski izvor, i dalje može dobiti tačno vrijeme od svojih susjeda. Komšije mogu raditi u dva načina - aktivnom i pasivnom. Radeći u aktivnom režimu, mašina sama prenosi svoje vreme na sve susedne mašine navedene u odeljku ravnopravnih datoteka konfiguracione datoteke ntp.conf. Ako susjedi nisu navedeni u ovom odjeljku, tada se smatra da je mašina u pasivnom načinu rada. Da bi se spriječilo da napadač ugrozi druge mašine, predstavljajući se kao aktivni izvor, potrebno je koristiti provjeru autentičnosti.

Režim emitiranja

Ovaj se način preporučuje za upotrebu u slučajevima kada poslužuje mali broj servera veliki broj klijenti. U ovom načinu rada, server povremeno šalje pakete koristeći adresu podmreže emitiranja. Klijent konfiguriran za sinhronizaciju na ovaj način prima emitirani paket servera i sinhronizira se s serverom. Posebnost ovog načina je da se vrijeme isporučuje u istoj podmreži (ograničenje emitiranog paketa). Pored toga, autentifikacija se mora koristiti za zaštitu od uljeza.

Multicast način

Ovaj način je sličan emitiranju. Razlika je u tome što se multicast adrese klase D mreža u prostoru IP adresa koriste za isporuku paketa. Za klijente i servere postavlja se adresa multicast grupe koju oni koriste za vremensku sinhronizaciju. To omogućava sinkronizaciju grupa strojeva smještenih na različitim podmrežama, pod uvjetom da usmjerivači koji ih povezuju podržavaju IGMP i da su konfigurirani za prijenos multicast prometa.

Režim Manycast

Ovaj način rada je nov u četvrtoj verziji NTP protokola. To podrazumijeva da klijent pretražuje mnogokanalne poslužitelje među svojim mrežnim susjedima, prima uzorke vremena od svakog od njih (koristeći kriptografiju) i na osnovu tih podataka odabire tri "najbolja" poslužitelja mnogoprodajnog programa s kojima će se klijent sinhronizirati. U slučaju kvara jednog od servera, klijent automatski ažurira svoju listu.

Da bi prenijeli uzorke vremena, klijenti i poslužitelji koji rade u režimu više emisija koriste adrese multicast grupa (mreže klase D). Klijenti i serveri koji koriste istu adresu čine isto udruženje. Broj udruživanja određuje se brojem multicast adresa koje se koriste.

Vrijeme u Linuxu

Ukratko ću vam reći koliko vremena postoji u Linuxu i kako ga postaviti. U Linuxu, kao i u drugim OS-ima, postoje 2 puta. Prvi su hardver ponekad se zove Sat u stvarnom vremenu, skraćeno ( RTC) (oni su ujedno i BIOS-ov sat), obično su povezani s oscilirajućim kvarcnim kristalom, koji ima tačnost do nekoliko sekundi dnevno. Tačnost ovisi o različitim fluktuacijama, poput temperature okoline. Drugi sat je interni programski sat koji se kontinuirano izvode, uključujući i tijekom prekida u radu sistema. Skloni su fluktuacijama zbog velikog opterećenja sistema i kašnjenja u prekidima. Međutim, sistem obično čita hardverski sat prilikom pokretanja, a zatim koristi sistemski sat.

Datum i vrijeme operativnog sistema postavljeno pri pokretanju na osnovu vrijednosti hardverski sat, kao i postavke vremenske zone... Postavke vremenske zone preuzete su iz datoteke / etc / localtime... Ova datoteka je veza (ali češće kopija) jedne od datoteka u strukturi direktorija / usr / share / zoneinfo /.

Linux hardverski sat može pohraniti vrijeme u formatu UTC(analogno GMT-u) ili trenutno lokalno vrijeme. Opća preporuka o vremenu instaliranja (?) Je sljedeća: ako je na računaru instalirano nekoliko operativnih sistema, a jedan od njih je Windows, tada je potrebno koristiti trenutno vrijeme (budući da Windows treba vrijeme iz BIOS-a / CMOS-a i smatra ga lokalnim). Ako se koriste samo UNIX operativni sistemi porodice, poželjno je vrijeme pohraniti u BIOS u UTC formatu.

Jednom kada se operativni sistem učita, sat operativnog sistema i BIOS su potpuno neovisni. Sistemsko jezgro sinkronizira sistemski sat sa hardverskim satom svakih 11 sekundi.

Nakon nekog vremena može postojati nekoliko sekundi razlike između hardverskog i softverskog sata. Koji sat sadrži tačno vrijeme? Ni jedno ni drugo dok nismo postavili sinhronizacija vremena.

Bilješka:

Linux kernel uvijek pohranjuje i izračunava vrijeme kao broj sekundi proteklih od ponoći 1. januara 1970 godine, bez obzira na to je li vaš sat postavljen na lokalno ili univerzalno vrijeme. Pretvaranje u lokalno vrijeme vrši se tokom postupka zahtjeva.

Budući da se broj sekundi od 1. siječnja 1970. UTC pohranjuje kao potpisani 32-bitni cijeli broj (to vrijedi za Linux / Intel sisteme), vaš sat će prestati raditi negdje 2038. godine. Linux nema Y2K problem, ali ima Y2K problem. Srećom, do tada će svi linuxovi raditi na 64-ima. bit sistemi... 64-bitni cijeli broj zadržavat će naš sat otprilike do 292.271 milionite godine.

NTP poslužitelj Linux

Uvod

Postoji mnogo implementacija za vremensku sinhronizaciju za Linux. Najpoznatiji su Xntpd (NTP verzija 3), ntpd (NTP verzija 4), Crony i ClockSpeed. U našem primjeru koristit ćemo ntp server ntpd.

Ntpd demon je i vremenski poslužitelj i klijent, ovisno o postavkama u konfiguracijskoj datoteci /etc/ntpd.conf (ponekad /etc/ntp.conf), demon može i "primati" vrijeme s udaljenih servera i "distribuirati" "vrijeme ostalim domaćinima.

Generale krug sinhronizacije vremena na lokalnoj mreži je sljedeći: morate imati 1 ili 2 servera sa pristupom globalnoj mreži koji će primati vrijeme s Interneta. Sinkronizirajte sve računare lokalne mreže sa navedenim serverima koji primaju vrijeme s Interneta.

Instaliranje ntpd

Zapravo, instaliranje demona svodi se na instaliranje sljedećih paketa: ntp(paket uključuje samog demona), ntpdate(uslužni program za ručnu sinhronizaciju vremena je zastario), ntp-doc(dokumentacija o paketu), u nekim distribucijama bit će potrebno instalirati istu ntp-utils(uslužni programi za dijagnostiku), neki su uključeni u ntp paket. Kako instalirati programe u Linux, opisao sam u. Nakon instalacije paketa, u većini distribucija, demon će već biti konfiguriran kao ntp klijent (na primjer, u Debianu je to bio). U skladu s tim, automatski su kreirane glavne konfiguracijske datoteke: /etc/ntp.conf i /var/lib/ntp/ntp.drift i demon je automatski pokrenut.

Prije konfiguriranja demona za sinhronizaciju s vanjskim svijetom, savjetovao bih vam da trenutni sistemski datum postavite na vrijednost koja je što bliža stvarnom vremenu. Postavljanje datuma u Linuxu proizvedena naredbom: datum MMDDhhmmCCYY.ss, gdje je MM - mjesec, DD - dan u mjesecu, hh - sati, mm - minute, CCYY - 4 znamenke u godini, ss - sekunde. Štaviše, vrijednosti CCYY.ss nije potrebno precizirati.

Kao što vidite, navedena naredba će postaviti trenutni datum i vrijeme na 27. decembar 2010. u 20:06:30. Komanda datuma bez parametara, prikazati trenutno sistemsko vrijeme. Ova naredba ima hrpu parametara koji se mogu naći u datumu čovjeka.

Takođe je potrebno pravilno konfigurirati hardverski sat i vremensku zonu. Kao što je gore spomenuto, vremenska zona se konfigurira kopiranjem datoteke potrebne zone iz direktorija / usr / share / zoneinfo / u datoteku / etc / localtime:

Ntp-server: ~ # cp / usr / share / zoneinfo / Europe / Moscow / etc / localtime

Hardver Podesio sam sat na UTC:

# mačka / etc / sysconfig / clock | grep UTC # UTC = true označava da je sat postavljen na UTC; UTC = tačno ntp2-server: ~ # cat / etc / default / rcS | grep UTC UTC = da

U prvom primjeru navedena je konfiguracijska datoteka koja određuje upotrebu UTC-a za RH, u drugom - za distribucije Deb-a.

Pored postavljanja postavki za korištenje UTC vremena, morate postaviti hardversko vrijeme... (u većini slučajeva to nije potrebno, jer se određeno sistemsko vrijeme neizbježno sinkronizira s hardverom, snagama jezgre). Ali ipak, ako imate želju za ovim ... Naredba Hwclockčita i postavlja hardverski sat na osnovu parametara koji su mu proslijeđeni. Dostupne opcije opisane su na stranici priručnika za naredbe. Evo nekoliko primjera upotrebe hwclock:

Ntp-server # hwclock # čita vrijeme s hardverskog sata ntp-server # hwclock --systohc --utc # postavlja hardverski sat na # UTC na osnovu sistemskog vremena ntp-server # hwclock --systohc # postavlja hardverski sat # na lokalno na osnovu sistemskog vremena ntp-server # hwclock --set --date "22. marta 2002. 13:17" # postavlja vreme hardverskog sata # na navedeni niz

Druga opcija za promjenu vremena na hardverskom satu je pristup BIOS-u prilikom pokretanja sistema. Budući da vrijeme OS-a ne ovisi o hardverskom taktu, sve promjene u BIOS-u bit će uzete u obzir pri sljedećem pokretanju.

Sad kad smo sve pripremili i instalirali, nastavimo na gradilištu.

Upravljanje ntpd demonom

Kontrola daemon ntpd se ne razlikuje od upravljanja bilo kojim drugim demonima. Pokrenite ili ponovo pokrenite ntpd uslugu:

# / etc / init.d / ntp start # / etc / init.d / ntp restart

Stop:

# / etc / init.d / ntp stop

# / bin / kill `cat / var / run / ntpd.pid`

Daemon ima sljedeće mogućnosti pokretanja:

P - PID datoteka,
-g - omogućiti prelazak na veliki vremenski skok
-c - konfiguraciona datoteka
-q - prisilna ručna sinhronizacija

Postavljanje ntpd servera

Prije svega, savjetovao bih vam da promijenite parametre pokretanja demona u sljedećoj konfiguracijskoj datoteci:

Ntp-server: ~ # cat / etc / default / ntp NTPD_OPTS = "- g"

# cat / etc / sysconfig / ntpd # Parametri za NTP demon. # Pogledajte ntpd (8) za više detalja. .... # Određuje dodatne parametre za ntpd. NTPD_ARGS = "- g"

Ovaj parametar omogućit će vam sinkronizaciju sata, čak i ako postoji vrlo velika vremenska razlika.

Dakle, kao što sam već rekao, informacije o konfiguraciji daemon ntpd leži u datoteci /etc/ntp.conf. Sintaksa datoteke je standardna, kao i u mnogim drugim konfiguracijama: prazne linije i redovi koji počinju sa znakom "#" se zanemaruju. Evo jednostavnog primjera:

Ntp-server: ~ # cat /etc/ntp.conf server ntplocal.example.com preferira poslužitelj timeserver.example.org server ntp2a.example.net driftfile /var/db/ntp.drift

Parametar server određuje koje će servere koristiti za sinkronizaciju, po jedan u svakoj liniji. Ako je poslužitelj naveden s argumentom radije, as ntplocal.example.com, tada se ovom serveru daje prednost u odnosu na ostale. Odgovor željenog poslužitelja bit će odbačen ako se značajno razlikuje od odgovora drugih poslužitelja, inače će se koristiti bez obzira na ostale odgovore. Argument radije obično se koristi za NTP servere za koje se zna da su vrlo precizni, kao što je korištenje namjenske opreme za mjerenje vremena.

Parametar driftfile specificira datoteku koja se koristi za pohranu pomaka sistemske frekvencije takta. Koliko razumijem, ova datoteka neprestano pohranjuje neku vrijednost koja se formira na temelju analize prilagodbi prošlog vremena i ako vanjski izvori vremena postanu nedostupni, tada se vrijeme prilagođava vrijednosti iz datoteke drift. Ne bi ga trebao mijenjati nijedan drugi postupak. I prije ukazivanja ove datoteke u konfiguraciji - datoteku treba stvoriti.

NTP server će prema zadanim postavkama biti dostupan svim domaćinima na Internetu. Parametar ograničiti u datoteci /etc/ntp.conf omogućava vam kontrolu nad kojim mašinama možete pristupiti vašem serveru. Ako želiš sprečiti sve mašine da pristupe vašem NTP serveru, dodati sljedeći red u datoteku /etc/ntp.conf:

ograniči zadano ignoriranje

Ako želiš dopustiti sinhronizirajte sat samo sa svojim serverom mašine na vašoj mreži ali zabraniti njih konfigurirati server ili da budu ravnopravni učesnici u sinhronizaciji vremena, a zatim umesto naznačenog dodajte red:

restrict 192.168.1.0 maska 255.255.255.0 nomodify notrap

gdje je 192.168.1.0 IP adresa vaše mreže, a 255.255.255.0 njegova mrežna maska. /etc/ntp.conf može sadržavati višestruke restriktivne direktive.

Za ispravan i precizniji rad demona, poželjno je odabrati servere nivoa - od sloja 2 (naravno možete i sloja1, ali morate ubiti vrijeme u potrazi za takvim serverom) i od odabranog sloja 2 onih do koja je minimalna "udaljenost". Ove poslužitelje obično nudi vaš ISP. Poželjan je broj odabranih poslužitelja - više od 23, što više to bolje, ali u razumnim granicama. Ako ste lijeni za odabir najbolji serveri, onda možete preuzeti listu otvorenih servera drugog nivoa odavde: http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers.

Odabir liste referentnih NTP servera

Idemo dalje navedenu adresu(http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers) i preuzimanje liste startnih servera. S ovog popisa odaberite poslužitelje koji udovoljavaju našim zahtjevima, analizom izlaza naredbe ntpdate... Pri izvršavanju naredbe primjenjuje se sljedeća sintaksa:

ntpdate parametri space_servers

Da naš zahtjev ne bi napravio promjene u sistemu, morate koristiti parametar -q, koji označava upotrebu zahtjeva bez ikakvih promjena. Također je moguće koristiti prekidač -d, naznačujući da će se naredba izvršiti u načinu otklanjanja pogrešaka, s izlazom dodatnih informacija, bez stvarnih promjena (ako ovaj ključ prikazuje se gomila drugog smeća :), koje je unutra ovaj trenutak nije potrebno). Ostatak parametara možete pronaći u man 8 ntpdate. Iz navedene veze odabrao sam sve servere s otvorenim pristupom koji se nalaze u Rusiji (RU) + onaj koji pruža dobavljač i pokrenuo naredbu, ispalo je otprilike sljedeće:

Ntp-server: ~ # ntpdate -q ntp2.ntp-servers.net ntp1.vniiftri.ru ntp2.vniiftri.ru ntp4.vniiftri.ru ntp0.ntp-servers.net ntp1.ntp-servers.net ntp3.vniiftri.ru ntp.corbina.net server 88.147.255.85, stratum 1, pomak 0,006494, kašnjenje 0,091818 server 62,117,76,142, sloj 1, pomak 0,002552, kašnjenje 0,062020 server 62,117,76,141, sloj 1, pomak 0,003147, kašnjenje 0,061818 server 62,117,76,140, stratum 1, pomak 0,004823, kašnjenje 0,07750 poslužitelj 88.147.254.228, sloj 1, pomak -0,002355, kašnjenje 0,12030 poslužitelj 88.147.254.229, sloj 1, pomak -0,000922, kašnjenje 0,10577 poslužitelj 62,117,76,138, sloj 1, pomak 0,005331, kašnjenje 0,07401 poslužitelj 195,14 .40.141, sloj 2, pomak 0,002846, kašnjenje 0,07188 13. siječnja 19:14:09 ntpdate: prilagodba vremena poslužitelja 62.117.76.141 pomak 0,003147 sek

U primjeru su naši serveri uspješno vratili nivo stratum1, što je dobra vijest (osim za poslužiteljskog servera), pomak je vremenska razlika s ovim serverom u sekundama, kašnjenje je kašnjenje sinkronizacije u sekundama. Obično, b O Najbolja preciznost postiže se korištenjem servera koji imaju malu kašnjenje za prijenos paketa putem mreže. Da biste to identifikovali, moguće je koristiti. Sukladno tome, prvo biramo one s kraćim vremenom odziva, a od njih - one s manje poskoka. Kako ne bih gubio vrijeme, koristit ću sve navedene servere i zapisati ih u konfiguracijsku datoteku. Ukupno, znajući sve navedeno, opisat ću svoju rezultirajuću datoteku /etc/ntp.conf:

Ntp-server: ~ # cat /etc/ntp.conf # Lokalni mrežni serveri (komentarirani, ne koriste se - na mreži postoji jedan server) #server 192.168.0.2 #server 192.168.0.5 # servera Internet servera ntp2. ntp-servers.net server ntp1.vniiftri.ru server ntp2.vniiftri.ru server ntp4.vniiftri.ru server ntp0.ntp-servers.net server ntp1.ntp-servers.net server ntp3.vniiftri.ru server ntp.corbina. net # Datoteke poslužitelja driftfile /var/lib/ntp/ntp.drift logfile / var / log / ntpstats # ograničavanje pristupa serveru: # po defaultu zanemarujemo sve ograničavamo podrazumevano zanemarivanje # localhost bez parametara znači da je sve dozvoljeno. Parametri se koriste samo za zabrane. ograniči 127.0.0.1 # u nastavku je opisano poslužitelje s kojima se sinkroniziramo na lokalnoj mreži. # Dozvolite im sve osim zamki i zahtjevi za nas ograničavaju 192.168.0.2 noquery notrap ograničavaju 192.168.0.5 noquery notrap # za LAN dopuštamo i sve osim zamki i modifikacije ograničavaju 192.168.0.1 masku 255.255.255.0 nomodify notrap nopeer # dozvoljavaju pristup eksternim izvorima vremena : ograniči ntp2.ntp-servers.net ograniči ntp1.vniiftri.ru ograniči ntp2.vniiftri.ru ograniči ntp4.vniiftri.ru ograniči ntp0.ntp-servers.net ograniči ntp1.ntp-servers.net ograniči ntp3.vniiftri.ru ograniči ntp.corbina.net # i ovaj hack, koji ukratko postavlja nivo povjerenja samog poslužitelja (slojeva) jednak 3 #, što je veći nivo, to je niži broj. 0 je atomski sat, # 1 je sinhroniziran s njim, 2 je s prvim i tako dalje. server 127.127.1.1 fudge 127.127.1.1 sloj 3

Za dublje razumijevanje i konfiguraciju poslužitelja, opisat ću neke konfiguracijske parametre ntpd koje nisam spomenuo:

omogući onemogući auth / monitor / pll / pps / statistika - uključiti isključiti način rada:
- aut- komunicirati sa nepominjanim susjedima samo u načinu autentifikacije;
- monitor- omogućiti praćenje zahtjeva;
- pll- omogućiti podešavanje frekvencije lokalnog sata putem NTP-a;
- statistika- omogućiti prikupljanje statistika;
statistikaloopstats- sa svakom modifikacijom lokalnog sata, upisuje red u datoteku loopstats;
statistikapeerstats- svaka komunikacija sa susjedom bilježi se u dnevniku pohranjenom u datoteci peerstats;
statistikaclockstats- svaka poruka iz lokalnog upravljačkog programa sata zapisuje se u dnevnik pohranjen u datoteci clockstats;
statsdir(ime kataloga sa_stats)- postavlja ime direktorija u kojem će se nalaziti datoteke sa statistikom servera;
filegen - definira algoritam za generiranje imena datoteka, koji se sastoje od:
- prefiks- konstantni dio imena datoteke, postavljen tokom kompajliranja ili pomoću posebnih naredbi za konfiguraciju;
- Ime dokumenta- dodan u prefiks bez kose crte, dvije točke su zabranjene, mogu se mijenjati tipkom datoteke;
- sufiks- generirano ovisno o imenu tipa;
ograničitinumerička adresa- postavlja ograničenje pristupa: paketi se sortiraju i maskiraju, uzima se izvorna adresa i uzastopno se uspoređuje, zastavica je preuzeta iz posljednje uspješne usporedbe pristup:
- nema zastava- dati pristup;
- zanemariti- zanemariti sve pakete;
- noquery- zanemariti NTP pakete 6 i 7 (modifikacija zahtjeva i stanja);
- nomodify- zanemariti NTP pakete 6 i 7 (modifikacija stanja);
- ograničena- opslužuju samo ograničeni broj klijenata iz date mreže;
- nopeer- služiti domaćina, ali se ne sinhronizirati s njim;
clientlimitlimit- za zastavu ograničena određuje maksimalan broj usluženih klijenata (prema zadanim postavkama 3);

Tako smo dobili ntpd-server, koji je sinhroniziran s vanjskim svijetom, omogućuje vam vrijeme za klijente iz lokalne mreže 192.168.0.1 s maskom 255.255.255.0, a također se može sinkronizirati s lokalnim serverom (ako pokomentirate nekoliko redaka). Preostaje nam da konfigurišemo klijente i saznamo kako nadzirati naš server.

Nadgledanje ntpd servera i sinhronizacija

Kad sve postavite. NTP će sinhronizirati vrijeme. Ovaj se proces može promatrati pomoću naredbe NTP upita (ntpq):

Ntp-server: ~ # ntpq -p daljinski popravite st t kada se pomicanje treperenja odgode dosega ankete ============================ = ================================================ -n3. time1 .d6.hsd .PPS. 1 u 34 64 177 70,162 2,375 8,618 + ntp1.vniiftri.r. PPS. 1 u 33 64 177 43,479 -0,020 10,198 * ntp2.vniiftri.r. PPS. 1 u 6 64 177 43,616 -0,192 0,688 + ntp4.vniiftri.r. PPS. 1 u 4 64 177 43,623 0,440 0,546 -n1.time1.d6.hsd .PPS. 1 u 53 64 77 92,865 -11,358 38,346 -ns1.hsdn.org .GPS. 1 u 40 64 177 78,057 -3,292 35,083 -ntp3.vniiftri.r. PPS. 1 u 44 64 77 47.667 2.292 2.611 -scylla-l0.msk.c 192.43.244.18 2 u 62 64 77 41.565 -1.564 28.914

Ova naredba s prekidačem -p ispisuje na standardni izlaz listu izvora vremena s njihovim karakteristikama (ostali parametri naredbe su u man ntpq). Značenje svake kolone je sljedeće:

Ime udaljenog NTP servera. Ako navedete prekidač -n, umjesto imena dobit ćete IP adrese poslužitelja.

Označava odakle svaki server trenutno uzima vrijeme. To može biti ime hosta ili nešto poput GPS-a. Označava izvor globalni sistem pozicioniranje (Global Positioning System).

Stratum (nivo) je broj od 1 do 16 koji ukazuje na tačnost servera. Jedan znači maksimalnu preciznost, 16 znači da je server nedostupan. Vaš nivo bit će jednak nivou najmanje preciznog udaljenog poslužitelja plus 1.

Interval između anketa (u sekundama). Vrijednost će se mijenjati između minimalne i maksimalne stope glasanja. Na početku će interval biti mali, tako da se sinhronizacija odvija brzo. Nakon sinhronizacije satova, interval se počinje povećavati kako bi se smanjio promet i opterećenje na popularnim vremenskim serverima.

Osmerokutni prikaz 8-bitnog niza koji predstavlja rezultate posljednjih osam pokušaja povezivanja s poslužiteljem. Bit je postavljen ako je odgovorio udaljeni poslužitelj.

Količina vremena (u sekundama) potrebna da se dobije odgovor na pitanje "koliko je sati?"

Najvažnije polje. Razlika između lokalnog vremena i udaljeni serveri... Tijekom sinhronizacije, ova vrijednost bi se trebala smanjiti (približiti se nuli), što ukazuje na to da je sat lokalne mašine sve precizniji.

Varijansa (podrhtavanje) je mjera statističkog odstupanja od vrijednosti pomaka (polje pomaka) u nekoliko uspješnih parova zahtjev-odgovor. Poželjna je niža vrijednost varijance jer omogućava precizniju sinhronizaciju vremena.

Značenje znakova ispred imena servera

x - lažni izvor prema presječnom algoritmu;
... - isključeni sa liste kandidata zbog velike daljine;
- - uklonjeno sa liste kandidata algoritmom klasteriranja;
+ - uključeno u konačnu listu kandidata;
# - odabrano za sinhronizaciju, ali postoji 6 najboljih kandidata;
* - odabrano za sinhronizaciju;
o - odabrano za sinhronizaciju, ali koristi se PPS;
razmak - previsok nivo, petlja ili očigledna greška;

Ntpd usluga"pametan" i sam otklanja vremenske izvore koji su previše iznad razumnog. Neko vrijeme nakon pokretanja ntpd će odabrati najpouzdanije izvore podataka i sinhronizirati se s njima. Služba redovno pregledava spisak referentnih NTP servera koji smo predstavili.

Mogućnost sinhronizacije lokalno na serveru moguće je provjeriti naredbom:

Ntp-server: ~ # ntpdate -q localhost poslužitelj 127.0.0.1, sloj 2, pomak -0,000053, kašnjenje 0,02573 poslužitelj :: 1, sloj 2, pomak -0,000048, kašnjenje 0,02571 14. januara 14:49:57 ntpdate: prilagodite vrijeme poslužitelja :: 1 pomak -0,000048 sek

Iz izlaza naredbe vidi se da je naš poslužitelj već postao sloj 2. Postići ovaj nivo, treba neko vrijeme. Možda će u prvih 10-15 minuta nivo poslužitelja biti viši.

O ispravnom radu ntp servera mogu se suditi i po dnevnicima ntpd demona:

Ntp-server: ~ # cat / var / log / ntpstats / ntp 13. januara 20:13:16 ntpd: Slušanje na interfejsu # 5 eth0, fe80 :: a00: 27ff: fec1: 8059 # 123 Omogućeno 13. januara 20:13: 16 ntpd: Slušanje na interfejsu # 6 eth0, 192.168.0.8 # 123 Omogućeno 14. januara 14:31:00 ntpd: sinhronizirano sa 62.117.76.142, sloj 1 14. januara 14:31:10 ntpd: resetovanje vremena +10.291312 s 14. januara 14 : 31: 10 ntpd: promjena statusa sinkronizacije vremena kernela 0001 14. januara 14:34:31 ntpd: sinkronizirano na 88.147.255.85, sloj 1 14. januara 14:36:04 ntpd: sinkronizirano na 62.117.76.141, sloj 1 14. januara 15: 04:36 ntpd: sinhronizirano na 62.117.76.142, sloj 1 14. januara 15:10:58 ntpd: sinkronizirano na 62.117.76.140, sloj 1 14. januar 15:17:54 ntpd: nema dostupnih servera 14. januara 15:31:49 ntpd : sinkronizirano na 62.117.76.140, sloj 1 14. siječnja 15:32:14 ntpd: resetiranje vremena +13.139105 s

Postavljanje netfiltera (iptables) za NTP server

Nakon što ste konfigurirali server, bilo bi lijepo zaštititi ga. Znamo da se poslužitelj izvodi na portu 123 / udp, dok se zahtjevi šalju i s porta 123 / udp. Nakon čitanja članka i upoznavanja sa praktičnim, možete stvoriti pravila za filtriranje mrežnog prometa:

Ntp ~ # iptables-save # tipična iptables DNS pravila * filter: INPUT DROP: FORWARD DROP: OUTPUT DROP -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate POVEZANO, OSNOVANO -j ACCEPT -A INPUT - m conntrack --ctstate INVALID -j DROP # dozvoljava LAN pristup NTP serveru: -A INPUT -s 192.168.1.1/24 -d 192.168.1.1/32 -p udp -m udp --dport 123 -m conntrack - - ctstate NOVO -j PRIHVATI -A IZLAZ -o lo -j PRIHVATI -A IZLAZ -p icmp -j PRIHVATI -A IZLAZ -p udp -m udp --sport 32768: 61000 -j PRIHVATI -A IZLAZ -p tcp -m tcp --sport 32768: 61000 -j PRIHVATI -A IZLAZ -m conntrack --ctstate POVEZANO, OSNOVANO -j PRIHVATI # dozvoli pristup NTP serveru za izradu odlaznih zahtjeva -A IZLAZ -p udp -m udp --sport 123 --dport 123 -m conntrack --ctstate NOVO -j PRIHVATI OBAVEZU

Ovo je tipičan primjer! Da biste postavili pravila iptables za svoje zadatke i mrežnu konfiguraciju, morate razumjeti kako netfilter radi u Linuxu čitajući gornje članke.

Konfiguriranje klijentskih mašina

Za sinhronizaciju vremena na UNIX mašinama lokalne mreže, poželjno je koristiti uslužni program ntpdate, pokrećući ga nekoliko puta dnevno, na primjer svaki sat. Da biste to učinili, dodajte sljedeći redak u:

0 * * * * / usr / sbin / ntpdate -s

Prekidač -s usmjerava izlaz naredbe. Ako klijentske mašine imaju nekoliko dodatnih megabajta RAM-a, tada možete pokrenuti ntpd daemon, kao i na serveru sa sljedećom konfiguracijom:

Server ograničiti zadani zanemariti ograničiti noquery notrap ograniči 127.0.0.1 nomodify notrap

Mislim da je u ovoj konfiguraciji sve jasno: izvor vremena (poslužitelj) je lokalni ntpd poslužitelj, zabraniti pristup svima, dopustiti samo lokalni ntpd poslužitelj.

Takođe, na klijentima je potrebno tačno naznačiti u kojem formatu će se vrijeme pohraniti i odabrati tačnu vremensku zonu ,.

Za konfiguriranje Windows NTP klijenta, u konzoli morate pokrenuti sljedeće naredbe:

C: \> neto vrijeme / setntp: Naredba je uspješno dovršena. C: \> net stop w32time Usluga Windows Time se zaustavlja. Usluga Windows Time uspješno je zaustavljena. C: \> net start w32time Pokreće se usluga Windows Time. Usluga Windows Time uspješno je pokrenuta. C: \> neto vrijeme / querysntp Trenutna SNTP vrijednost je: Naredba je uspješno dovršena.

Zaključak

Pa to je sve! Ispostavilo se da je obim članka bio ogroman ... Ni sam to nisam očekivao. Rezimirat ću gore navedeno. U ovom članku nadam se da nam je postalo jasno šta je i kako funkcionira NTP server. Naučio kako konfigurirati server i klijente na UNIX-u i Windows mašine... U nekoliko riječi, struktura vremenske sinhronizacije u lokalnoj mreži je sljedeća: U lokalnoj mreži postoji 1,2 ili više vremenskih servera, koji svoje vrijeme sinkroniziraju s vanjskim izvorima u globalnoj mreži. Postavke poslužitelja i klijenta temelje se na /etc/ntp.conf (glavna konfiguracijska datoteka demona ntpd), / etc / localtime (datoteka trenutne vremenske zone), kao i / etc / sysconfig / ntp (za RH) i / etc / default / ntp (za Deb) - datoteke parametara pokretanja demona. Za lokalni ntp poslužitelj, konfiguracijska datoteka određuje vanjske poslužitelje da dobiju vrijeme i omoguće pristup tim poslužiteljima s restriktivnim parametrom, kao i za računare u lokalnoj mreži, za klijente je naveden izvor vremena - lokalni serveri u lokalnoj mreži, kao i zabranjeni pristup svima, osim izvora vremena u lokalnoj mreži. Sve. Hvala svima na pažnji! Volio bih čuti vaše komentare!

(arhiva članaka) opisuje kako povezati GPS s serverom kako biste organizirali vlastiti vremenski poslužitelj na nivou Stratum1.
opisuje kako konfigurirati autorizaciju na ntp serveru.

Dobar dan, dragi čitatelji i gosti stranice bloga, koliko ljudi priča o vremenu, kako brzo ili sporo teče, i svi razumiju da je to neprocjenjivo i važno. Dakle, u infrastrukturi Active Directory je jedan od kritični faktori, pravilno funkcioniranje domene. U domeni svi vjeruju jedni drugima, a nakon što se prijavi i primi sve karte od Kerberosa, korisnik ide bilo kuda, ograničen samo svojim dostupnim pravima. Dakle, ako na radnim stanicama nemate tačno vrijeme do kontrolera domene, tada možete pretpostaviti da počinjete imati ozbiljnih problema, o čemu ćemo govoriti u nastavku i razmotriti kako ih popraviti pomoću Postavke NTP servera u sustavu Windows.

Sinhronizacija vremena u Active Directoryu

Sljedeća shema sinhronizacije vremena funkcionira među računarima koji sudjeluju u Active Directory.

Kontroler korijenske domene u AD šumi, koji ima ulogu PDM emulatora FSMO (nazovimo ga korijenski PDC), izvor je vremena za sve ostale kontrolere u toj domeni.
Kontroleri podređene domene sinhroniziraju vrijeme sa svojih uzlaznih AD topoloških kontrolera domene.
Redovni članovi domene (serveri i radne stanice) sinhroniziraju svoje vrijeme s najbližim dostupnim kontrolerom domene, poštujući AD topologiju.

Korijenski PDC može sinkronizirati svoje vrijeme i s vanjskim izvorom i sa sobom, potonji je postavljen zadanom konfiguracijom i apsurdan je, što se povremeno nagovještava greškama u sistemskom dnevniku.

Sinkronizacija klijenata osnovnog PDC-a može se provesti i iz njegovog internog sata i iz vanjskog izvora. U prvom slučaju, osnovni PDC vremenski poslužitelj oglašava se kao „pouzdan“.

Dalje ću dati optimalnu konfiguraciju korijenskog PDC vremenskog poslužitelja sa moje tačke gledišta, u kojem osnovni PDC sam povremeno sinhronizira svoje vrijeme iz pouzdanog izvora na Internetu, a vrijeme klijenata koji mu pristupaju sinhronizira sa svojim internim satom .

Uvesti upit netdom fsmo. U mom primjeru, uloga PDC i NTP poslužitelja pripada dc7 kontroleru

Konfiguracija NTP poslužitelja na root PDC-u

Konfiguriranje vremenskog poslužitelja u sustavu Windows (NTP server) može se obaviti pomoću uslužnog programa naredbenog retka w32tm i putem registra. Gdje je moguće, daću obje mogućnosti. Ali prvo pogledajte svoje pune postavke na računaru, to se radi naredbom:

w32tm / upit / konfiguracija

EventLogFlags: 2 (lokalno)
AnnounceFlags: 10 (lokalno)
TimeJumpAuditOffset: 28800 (lokalno)
MinPollInterval: 6 (lokalno)
MaxPollInterval: 10 (lokalno)
MaxNegPhaseCorrection: 172800 (lokalno)
MaxPosPhaseCorrection: 172800 (lokalno)
MaxAllowedPhaseOffset: 300 (lokalno)

FrequencyCorrectRate: 4 (lokalno)
PollAdjustFactor: 5 (lokalno)
LargePhaseOffset: 50000000 (lokalno)
SpikeWatchPeriod: 900 (lokalno)
LocalClockDispersion: 10 (lokalno)
Period čekanja: 5 (lokalno)
PhaseCorrectRate: 7 (lokalno)
Interval ažuriranja: 100 (lokalno)

NtpClient (lokalni)

Omogućeno: 1 (lokalno)
Ulazni dobavljač: 1 (lokalni)
CrossSiteSyncFlags: 2 (lokalno)

ResolvePeerBackoffMinutes: 15 (lokalno)
ResolvePeerBackoffMaxTimes: 7 (lokalno)
Oznake kompatibilnosti: 2147483648 (lokalno)
EventLogFlags: 1 (lokalno)
LargeSampleSkew: 3 (lokalno)
Interval za posebne ankete: 3600 (lokalno)
Tip: NT5DS (lokalni)

NtpServer (lokalni)
DllName: C: \ Windows \ system32 \ w32time.dll (lokalno)
Omogućeno: 1 (lokalno)
Ulazni dobavljač: 0 (lokalni)
AllowNonstandardModeCombinations: 1 (lokalno)

VMICTimeProvider (lokalni)
DllName: C: \ Windows \ System32 \ vmictimeprovider.dll (lokalno)
Omogućeno: 1 (lokalno)
Ulazni dobavljač: 1 (lokalni)

Omogućavanje sinhronizacije internog sata sa vanjskim izvorom

Omogućavanje NTP servera

NTP poslužitelj je prema zadanim postavkama omogućen na svim kontrolerima domene, ali može biti omogućen i na serverima članovima.

Postavljanje liste vanjskih izvora za sinhronizaciju

Oznaka 0x8 na kraju znači da bi se sinhronizacija trebala odvijati u režimu NTP klijenta, u vremenskim intervalima koje je predložio ovaj poslužitelj. Da biste postavili vlastiti interval sinkronizacije, morate koristiti zastavicu 0x1.

Postavljanje intervala sinkronizacije s vanjskim izvorom

Vrijeme u sekundama između anketa izvora sinhronizacije, prema zadanim postavkama 900s = 15min. Radi samo za izvore označene zastavicom 0x1.

"SpecialPollInterval" = dword: 00000384

Postavljanje minimalne pozitivne i negativne korekcije

Maksimalna korekcija pozitivnog i negativnog vremena (razlika između internog sata i izvora sinhronizacije) u sekundama, kada se premaši, sinhronizacija se ne dogodi. Preporučujem vrijednost 0xFFFFFFFF, pri kojoj se korekcija uvijek može izvršiti.

"MaxPosPhaseCorrection" = dword: FFFFFFFF
"MaxNegPhaseCorrection" = dword: FFFFFFFF

Sve što vam treba u jednom redu

w32tm.exe / config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 pool.ntp.org, 0x8 "/ syncfromflags: manual / pouzdano: da / ažuriranje

Korisne naredbe

Primjena promjena izvršenih na konfiguraciju vremenske usluge
w32tm / config / update
Prisilna sinhronizacija iz izvora
w32tm / resync / ponovno otkrivanje
Prikaz statusa sinhronizacije kontrolera domene u domeni
w32tm / monitor
Prikaz trenutnih izvora sinhronizacije i njihovog statusa
w32tm / upit / vršnjaci

Konfiguriranje NTP poslužitelja i klijenta s pravilima grupe

Budući da s vama imamo domenu Active Directory, glupo je ne koristiti politike grupe za masovno konfiguriranje servera i radnih stanica, pokazat ću vam kako konfigurirati svoj NTP server u Windowsima i klijentu. Otvorite dodatak Uređivač pravila grupe. Prije konfiguriranja našeg NTP poslužitelja na Windowsima, moramo stvoriti WMI filter koji će primjenjivati politike samo na PDC poslužitelj čarobnjaka.

Unesite ime upita, prostor imena imat će vrijednost "root \ CIMv2", a upit "Odaberite * iz Win32_ComputerSystem gdje je DomainRole = 5". Mi ga štedimo.

Zatim kreirate politiku na spremniku Kontrolera domene.

Na samom dnu politike primijenite svoj kreirani WMI filter.

Idite na poslovnicu: Konfiguracija računara> Pravila> Administrativni predlošci> Sistem> Windows usluga vremena> Davatelji vremena.

Ovdje otvaramo politiku „Konfiguriranje Windows NTP klijenta“. Postavljanje parametara

NtpServer: 0.ru.pool.ntp.org.0x1, 1.ru.pool.ntp.org.0x1, 2.ru.pool.ntp.org.0x1, 3.ru.pool.ntp.org.0x1
Tip: NTP
CrossSiteSyncFlags: 2. Dva sredstva ako je ovaj parametar jednak 2 (Svi), može se koristiti bilo koji sudionik sinhronizacije. Ova vrijednost se zanemaruje ako NT5DS nije naveden. Zadana vrijednost: 2 (decimalni) (0x02 (hex))
ResolvePeerBackoffMinutes: 15. Ova vrijednost, izražena u minutama, određuje koliko dugo će W32time usluga čekati prije nego što pokuša razriješiti DNS ime ako ne uspije. Zadana vrijednost: 15 minuta
Riješite ravnopravno BAckoffMaxTimes: 7. Ova vrijednost kontrolira broj pokušaja DNS rezolucije koji će usluga W32time izvršiti prije ponovnog pokretanja postupka otkrivanja. Svaki put kada razreši DNS ime, interval čekanja prije sljedećeg pokušaja udvostručuje se. Zadana postavka je sedam pokušaja.
SpecilalPoolInterval: 3600. Ova vrijednost za parametar NTP klijenta, izražena u sekundama, određuje brzinu anketiranja ručno konfiguriranog izvora vremena koji koristi određeni interval anketiranja. Kada je zastavica SpecialInterval postavljena za parametar NTPServer, klijent koristi vrijednost navedenu za SpecialPollInterval umjesto vrijednosti MinPollInterval i MaxPollInterval da odredi koliko često treba anketirati izvor vremena. Zadana vrijednost: 3600 sekundi (1 sat).
EventLogFlags: 0