NTP výchozí server. Instalace NTP v Ubuntu

O konfiguraci a správě serveru NTP v systému Windows Server

Všechna okna začínající systémem Windows 2000 mají čas W32time.. Tato služba je navržena tak, aby synchronizace systémového času v rámci hranic organizace. Služba W32Time je zodpovědná za práci a klienta a serverová část časové služby, zatímco stejný počítač může být současně klient a server NTP (Síťový časový protokol).

Ve výchozím nastavení je časová služba v systému Windows nakonfigurována následovně:

Při instalaci operační systém Systém Windows spustí klienta NTP a synchronizován s externím časovým zdrojem;
Při přidávání počítače do domény se změní typ synchronizace. Všechny klientské počítače a běžné servery v doméně slouží k synchronizaci času řadiče domény, který kontroluje jejich pravost;
Pokud je obyčejný server zvýšen do řadiče domény, je na něm spuštěn NTP server, který se používá jako regulátor s rolí emulátoru PDC jako zdroj času;
Emulátor PDC, který se nachází v kořenové doméně lesa, je hlavním časem serveru pro celou organizaci. Současně je také synchronizován s externím zdrojem času.

Takový režim funguje ve většině případů a nevyžaduje zásah. Struktura časové služby v systému Windows však nesmí sledovat hierarchii domény, a spolehlivý zdroj času může být přiřazen libovolnému počítači. Jako příklad popíšu nastavení serveru NTP v systému Windows Server 2008 R2, i když od doby systému Windows 2000, postup není zvláště změněn.

Spuštění serveru NTP

Okamžitě jsem si všiml, že služba času v systému Windows Server (od roku 2000 a končící 2012) nemá grafické rozhraní a nakonfigurován buď z příkazový řádeknebo přímým úpravami systémový registr. Osobně jsem blíž k druhému způsobu, takže jdeme do registru.

První věc, kterou musíme spustit server NTP. Otevřete pobočku registru
HKLM System CurrentControlSet Služby W32time TimeProviders Neserver.
Zde aktivujete parametr serveru NTP Povoleno. Je nutné nastavit hodnotu 1 .

Po restartování služby NTP je server již aktivní a může sloužit zákazníkům. Jsme přesvědčeni, že můžete použít příkaz w32tm / dotaz / konfiguraci. Tento příkaz zobrazí kompletní seznam parametrů služeb. Je-li sekce Ntserver. Obsahuje řetězec Povoleno: 1. To je v pořádku, časový server funguje.

Aby byl server NTP sloužit zákazníkům, nezapomeňte otevřít UDP port 123 pro příchozí a odchozí provoz na firewall (firewall).

Základní nastavení NTP server

NTP server zapnutý, nyní je třeba jej nakonfigurovat. Otevřete reset resethklm System CurrentConlSet Services W32Time Parametry. Nejprve se zajímáme o parametr Typkterý nastavuje typ synchronizace. To může mít následující hodnoty:

Nosync -Server NTP není synchronizován s jakýmkoliv externím zdrojem času. Hodiny zabudované do mikroobvodu serveru CMOS se používá;
NTP -Server NTP je synchronizován s externími časovými servery, které jsou zadány v parametru registru. Ntserver;
NT5DS - Server NTP provádí synchronizaci podle hierarchie domény;
AllSync - Server NTP používá ke synchronizaci všech dostupných zdrojů.

Výchozí hodnota pro počítač v doméně - NT5DS.Pro samostatně stojící počítač - Ntp.

A parametr Ntserver.které určuje servery NTP, se kterým bude čas synchronizovat tento server. Ve výchozím nastavení je Microsoft NTP Server (Time.windows.com, 0x1) je v tomto parametru registrován v tomto parametru, můžete v případě potřeby přidat několik dalších serverů NTP, zadání jejich názvů DNS nebo IP adresy prostřednictvím prostoru. Seznam dostupných časových serverů lze zobrazit například.

Na konci každého jména můžete přidat příznak (např.. 0x1.), což určuje režim pro synchronizaci s časovým serverem. Jsou povoleny následující hodnoty:

0x1. - SpecialIntervalu, pomocí speciálního intervalu průzkumu;
0x2. - režim useasfallBackonly;
0x4. - symetrický, symetrický aktivní režim;
0x8.- Klient, odeslání požadavku v režimu klienta.

Při použití vlajky SpecialIntervalu je požadována nastavená hodnota intervalu v klíči. SpecialLinterVal.. Když je vlajka useasfallBackonly platná, je časová služba uvedena, že tento server bude použit jako zálohování a synchronizace s ním bude odkazovat na další seznam servery. Symetrický aktivní režim používá servery NTP ve výchozím nastavení a v případě problémů synchronizace lze použít režim klienta. Společnost Microsoft doporučuje instalovat parametr všude \u003d 0x1.

Důležitý parametr AnnountFlags. Nachází se v sekci HKLM System CurrentControlSet Services W32Time Config registru. Je zodpovědný za slovo NTP server a může mít následující hodnoty:

0x0 (Ne časový server) - Server se neprohlásí přes Netlogon jako zdroj času. To může reagovat na požadavky NTP, ale sousedé nebudou moci rozpoznat ji jako zdroj času;
0x1. (Vždy časový server) - server bude vždy deklarovat bez ohledu na stav;
0x2. (Automatický časový server) - server bude prohlásit pouze v případě, že se dostane spolehlivý čas z jiného souseda (NTP nebo NT5DS);
0x4. (Vždy spolehlivý časový server) - server bude vždy stát jako spolehlivý zdroj času;
0x8. (Automatický spolehlivý časový server) - řadič domény je automaticky prohlášen za spolehlivý, pokud se jedná o PDC emulátor kořenové domény lesa. Tato vlajka umožňuje hlavnímu lesu PDC prohlásit se jako autorizovaný časový zdroj pro celé lesy, i když není spojení s vyššími servery NTP. Žádný jiný regulátor nebo běžný server (s výchozím příznakem 0x2.) Nelze se prohlásit jako spolehlivý zdroj času, pokud nemůže najít zdroj času pro sebe.

Hodnota AnnountFlags. Tvoří množství složek jeho vlajek, například:

10 \u003d 2 + 8 - Server NTP se vyhlásí jako spolehlivý zdroj času, za předpokladu, že přijímá čas od spolehlivého zdroje nebo je kořenová doména PDC. Flag 10 je standardně nastavena pro členy domény a pro jednotlivé servery.

5 \u003d 1 + 4 - server NTP se vždy prohlašuje jako spolehlivý zdroj času. Chcete-li například deklarovat obyčejný server (ne řadič domény) jako spolehlivý zdroj času, potřebujete příznak 5.

No, nakonfigurujeme interval mezi aktualizacemi. Pro něj již zmíněný výše SpecialPollInterval,nachází se v HKLM System CurrentControlSet Services w32time timeproviders odvětví registru ntpclient. Je určena v sekundách a ve výchozím nastavení je jeho hodnota 604800, což je 1 týden. To je hodně, takže stojí za to snížit hodnotu speciálního výkladu na rozumnou hodnotu, řekněme až 1 hodinu (3600).

Příkazy řízení času W32Time:

w32TM / CONFIG / UPDATE - Aktualizace konfigurace služby.

w32TM / MONITOR - Zjistěte, jak budoucí systémový čas tento počítač Rozlišuje se od času do řadiče domény nebo jiných počítačů. Například: W32TM / MONITOR /COMPULERS:Time.nist.gov
W32TM / Resync - nucená synchronizace s použitým časovým serverem.
W32TM / StripCart- ukazuje časový rozdíl mezi proudem a vzdálený počítačA může výstup výsledkem v grafické podobě. Například W32TM / StripChart /Computer:Time.nist.gov / vzorky: 5 / DataOnly příkaz bude vyrábět 5 srovnávání se zadaným zdrojem a výstup výsledku v textové podobě.

w32TM / CONFIG - Příkaz slouží ke konfiguraci služby NTP. S ním můžete nastavit seznam použitých časových serverů, typu synchronizace a mnoho dalšího. Například přepíše výchozí hodnoty a nakonfigurovat synchronizaci času s externím zdrojem, můžete příkaz W32TM / CONFIG / SYNCFROMFLAGS: manuál /manualpeerList1
W32TM / Query - zobrazuje aktuální nastavení služby. Například příkaz w32tm / dotaz / zdroj bude zobrazovat aktuální zdroj času a w32tm / dotaz / konfigurace zobrazí všechna nastavení služby.
W32TM / UNREGISTER - Vymaže časovou službu z počítače
W32TM / Register - Registruje servisní čas na počítači, vytvoří se celá pobočka parametrů v registru.

V kontaktu s

Windows časová služba, navzdory zdánlivému jednoduchosti, je jedním ze základů potřebných pro normální fungování domény Aktivní adresář.. V řádně nakonfigurované inzerce se časová služba funguje následovně: Uživatelské počítače Získejte přesný čas z nejbližšího řadiče domény, na kterém se zaregistrovali. Všechny řadiče domény zase přijímají přesný čas z DC s " Emulátor PDC"A řadič PDC synchronizuje svůj čas s některými. Jeden nebo více NTP serverů může fungovat jako externí časový zdroj, například čase.windows.com nebo server NTP svého poskytovatele internetu. Je také třeba poznamenat, že standardním zákazníkům v doméně synchronizovat čas pomocí služby Windows Time Service (Windows Čas) a nepoužíváte protokol NTP.

Pokud jste se setkali se situací, kdy se čas na zákazníka a řadiči domény liší, možná ve vaší doméně existují problémy s synchronizací času a tento článek bude pro vás užitečný.

Nejprve vyberte vhodný NTP server, který byste mohli použít. Seznam veřejných NTP serverů je k dispozici na stránkách http://ntp.org. V našem příkladu budeme používat servery NTP z Pula ru.pool.nttp.org:

0.U.pool.nttp.org.
1.Ru.pool.nttp.org.
2.Ru.pool.ntp.org.
3.RU.pool.nttp.org.

Nastavení synchronizace času v doméně pomocí zásad skupiny se skládá ze dvou kroků:

1) Vytvoření GPO pro řadič domény s PDC rolí
2) Vytvoření GPO pro zákazníky (volitelné)

Nastavení zásady synchronizace NTP na řadiči domény PDC

Tento krok zahrnuje nastavení řadiče domény s rolí emulátoru PDC pro synchronizaci času s externím serverem NTP. Protože Teoreticky, role emulátoru PDC se může pohybovat mezi řadiči domény, musíme provést politiku, která by byla aplikována pouze na aktuální vlastník role PDC. Chcete-li to udělat v konzole pro správu Konzola správy zásad skupiny (GPMC.MSC), vytvořit nový. K tomu v sekci WMI filtry. Vytvořte filtr a jméno Emulátor PDC a požadavek WMI: Vyberte * od Win32_Computersystem, kde domainRole \u003d 5

Vytvořte nový GPO a přiřaďte jej k kontejneru řadičů domény.

Přepněte do režimu editace zásad a nasazte následující zásady: Konfigurace počítače-\u003e Administrativní šablony-\u003e System-\u003e Windows Time Service-\u003e Poskytovatelé času

Máme zájem o tři politici:

Konfigurace klienta Windows NTP: Povoleno (nastavení zásad je popsána níže)
Povolit klientovi systému Windows NTP: Povoleno.
Povolit server Windows NTP serveru: Povoleno.

V nastavení zásad Konfigurace klienta Windows NTP Určete následující parametry:

Ntserver.: 0.RU.POOL.NTP.org, 0x1 1.Ru.pool.ntp.org, 0x1 2.Ru.pool.ntp.org, 0x1 3.RU.pool.nttp.org, 0x1
Typ: Ntp.
Crossitesyncflags.: 2
Resolvepeerbackoffminuts.: 15
Vyřešit peer backoffmaxtimes.: 7
SpecilalPoolInterval.: 3600
EventLogflags.: 0

Rada. Nezapomeňte přizpůsobit firewall Takže server PDC může přistupovat k externím serverům NTP přes NTP (UDP port 123).

Poznámka. Věnujte pozornost syntaxi v poli Ntserver.Formát zadávání více serverů NTP je: ntsrv1.org, 0x1 ntpsrv2.org, 0x1(oddělovač prostoru). Ve snímku Screenshot označilo chybná data!

Použijte dříve vytvořený filtr Emulátor PDC k této politice.

Rada. Najít název serveru s rolí PDC můžete použít příkaz: netdom dotaz fsmo

Zůstává aktualizovat politiky na řadiči PDC:
GPUPDATE / FORCE

Ručně spustit synchronizaci času:
W32tm / resync.

Zkontrolujte aktuální nastavení NTP:
W32TM / dotaz / stav

Rada. V případě, že čas není synchronizován, restartujte službu Čas Windows a obnovte aktuální nastavení:
NET STOP W32TIME.
w32tm.exe / Neregister
w32tm.exe / Registrace
Čistý start w32time.

Konfigurace synchronizace času na klienty domény

Ve službě Active Directory, výchozí klienti domény synchronizují svůj čas s řadiči domény (možnost NT5DS. - Synchronizace času podle hierarchie domény). Toto schéma funguje zpravidla a nevyžaduje rekonfiguraci. Pokud však existují problémy s synchronizací času na klienty domény, můžete zkusit násilně přiřazovat časový server pro zákazníky pomocí GPO.

Chcete-li to provést, vytvořte nový GPO a přiřaďte jej na kontejnery (OU) s počítači. V editoru GPO přejděte do sekce Konfigurace počítače -\u003e Správní šablony -\u003e Systém -\u003e Windows Time Service -\u003e Poskytovatelé času a povolit politiky Konfigurace klienta Windows NTP.

Jako server NTP určete název nebo IP adresu PDC, jako je MSK-DC1.Sype, 0x9 a jako typ synchronizace - NT5DS

Aktualizujte nastavení zásad skupiny klientům a ověřte, zda zákazníci úspěšně synchronizovali svůj čas s PDC.

Rada. Toto schéma je použitelné pouze na malé domény. Pro velké distribuované domény s velké množství DC a stránky budou muset vytvořit samostatné zásady pro každý web, aby zákazníci synchronizovali svůj čas s DC na webu.

Nastavení serveru NTP v systému Windows

Počínaje systémem Windows 2000 VŠEOBLOTNÍ systémy Windows. Zahrnout časovou službu W32time.. Tato služba je určena k synchronizaci času v rámci organizace. W32Time je zodpovědný za práci klienta a serverové části Časové služby a stejný počítač může být současně klientem a NTP serverem (síťový protokol sítě).

Ve výchozím nastavení je časová služba v systému Windows nakonfigurována následovně:

Při instalaci operačního systému Windows spustí klienta NTP a synchronizován s externím časovým zdrojem;
Při přidávání počítače do domény se změní typ synchronizace. Všechny klientské počítače a běžné servery v doméně slouží k synchronizaci času řadiče domény, který kontroluje jejich pravost;
Pokud je obyčejný server zvýšen do řadiče domény, je na něm spuštěn NTP server, který se používá jako regulátor s rolí emulátoru PDC jako zdroj času;
Emulátor PDC, který se nachází v kořenové doméně lesa, je hlavním časem serveru pro celou organizaci. Současně je také synchronizován s externím zdrojem času.

Spuštění serveru NTP

Okamžitě jsem si všiml, že časová služba v systému Windows Server (od roku 2000 a ukončení 2012) nemá žádné grafické rozhraní a konfiguruje buď z příkazového řádku nebo přímým úpravou registru systému. Osobně jsem blíž k druhému způsobu, takže jdeme do registru.

Poté restartujte tým časového servisu nET STOP W32TIME && NET START W32TIME

Po restartování služby NTP je server již aktivní a může sloužit zákazníkům. Můžete se ujistit, že můžete použít příkaz w32tm / dotaz / konfiguraci. Tento příkaz zobrazí kompletní seznam parametrů služeb. Je-li sekce Ntserver. Obsahuje řetězec Povoleno: 1. To je v pořádku, časový server funguje.

Aby byl server NTP sloužit zákazníkům, nezapomeňte otevřít UDP port 123 na firewall pro příchozí a odchozí provoz.

Základní nastavení NTP server

NTP server zapnutý, nyní je třeba jej nakonfigurovat. Otevřete HKLM System CurrentControlSet Registry Registry Branche W32Time Parametry. Nejprve se zajímáme o parametr Typkterý nastavuje typ synchronizace. To může mít následující hodnoty:

Výchozí hodnota pro počítač v doméně - NT5DS., pro samostatný počítač - Ntp.

A parametr Ntserver.který specifikuje servery NTP, se kterým bude čas synchronizovat čas. Ve výchozím nastavení je Microsoft NTP Server (Time.windows.com, 0x1) je v tomto parametru registrován v tomto parametru, můžete v případě potřeby přidat několik dalších serverů NTP, zadání jejich názvů DNS nebo IP adresy prostřednictvím prostoru. Seznam dostupných časových serverů lze zobrazit například.

Na konci každého jména můžete přidat příznak (např.. 0x1.), což určuje režim pro synchronizaci s časovým serverem. Jsou povoleny následující hodnoty:

Při použití vlajky SpecialIntervalu je požadována nastavená hodnota intervalu v klíči. SpecialLinterVal.. Když je vlajka useasfallBackonly platná, je časová služba uvedena, že tento server bude použit jako zálohování a synchronizace s ním bude odkazovat na další seznam servery. Symetrický aktivní režim používá servery NTP ve výchozím nastavení a v případě problémů synchronizace lze použít režim klienta. Přečtěte si více o režimech synchronizace, můžete vidět, nebo ne blázen a jen všude 0x1. (Jako radí společnosti Microsoft).

Další důležitý parametr AnnountFlags. Nachází se v sekci HKLM System CurrentControlSet Services W32Time Config registru. Je zodpovědný za slovo NTP server a může mít následující hodnoty:

0x0 (Ne časový server) - Server se neprohlásí přes Netlogon jako zdroj času. To může reagovat na požadavky NTP, ale sousedé nebudou moci rozpoznat ji jako zdroj času;
0x1. (Vždy časový server) - server bude vždy deklarovat bez ohledu na stav;
0x2. (Automatický časový server) - server bude prohlásit pouze v případě, že obdrží spolehlivý čas od jiného souseda (NTP nebo NT5DS);
0x4. (Vždy spolehlivý časový server) - server bude vždy stát jako spolehlivý zdroj času;
0x8. (Automatický spolehlivý časový server) - řadič domény je automaticky prohlášen za spolehlivý, pokud se jedná o PDC emulátor kořenové domény lesa. Tato vlajka umožňuje hlavnímu lesu PDC prohlásit se jako autorizovaný časový zdroj pro celé lesy, i když není spojení s vyššími servery NTP. Žádný jiný regulátor nebo běžný server (s výchozím příznakem 0x2.) Nelze se prohlásit jako spolehlivý zdroj času, pokud nemůže najít zdroj času pro sebe.

Hodnota AnnountFlags. Tvoří množství složek jeho vlajek, například:

Po konfiguraci musíte aktualizovat konfiguraci služby. Můžete jej vytvořit pomocí příkazu w32tm / config / update. A několik dalších příkazů pro konfiguraci, monitorování a diagnostice časové služby:

w32TM / MONITOR - S touto volbou můžete zjistit, jak se systémový čas tohoto počítače liší od času na řadič domény nebo jiné počítače. Například: w32tm / monitor / monitor: time.nist.gov
w32TM / Resync - S tímto příkazem můžete počítač vynutit synchronizovat s použitým časovým serverem.
w32TM / StripCart - Zobrazuje časový rozdíl mezi aktuálním a vzdáleným počítačem a může výstup výsledkem v grafické podobě. Například tým w32TM / StripChart /computer:time.nist.gov / vzorky: 5 / DataOnly Provádí 5 srovnávání se specifikovaným zdrojem a vydá výsledek v textové podobě.

w32TM / Config je hlavní příkaz použitý pro konfiguraci služby NTP. S ním můžete nastavit seznam použitých časových serverů, typu synchronizace a mnoho dalšího. Například přepíše výchozí hodnoty a nakonfigurovat synchronizaci času s externím zdrojem, můžete příkaz W32TM / CONFIG / SYNCFROMFLAGS: Manuál /manualpeerlist:time.nist.gov / aktualizace
w32TM / Query - zobrazuje aktuální nastavení služby. Například příkaz w32tm / dotaz / zdroj bude zobrazovat aktuální zdroj času a w32tm / dotaz / konfigurace zobrazí všechna nastavení služby.

V extrémním případě 🙁
w32TM / Neregister - Odstraní časovou službu z počítače.
w32TM / Register - Registruje časovou službu v počítači. To vytváří celou pobočku parametrů v registru.

Dobrý den, hosty a pravidelné čtenáři. Postupně přehlédnout před základy do hloubkové studie Linuxu. Dnes chci zvážit operace protokolu NTP, stejně jako nastavení Časové servery na Linuxu (NTP server). Začněme tedy s teorií.

Protokol NTP

Protocol sítě (NTP) - síťový protokol Synchronizovat interní hodiny počítače pomocí proměnné latence (přečtěte si "šířka" / kvalita kanálu).

NTP používá pro svou práci uDP protokol a port 123.

Aktuální verze protokolu - NTP 4.. Ntp.používá hierarchický systém "Časové úrovně" (jsou také nazývány Vrstva). Úroveň 0 (nebo stratum 0) - To je obvykle zařízení, která jsou atomová hodiny (molekulární, kvantová), GPS hodiny nebo rádiové frekvence. Tato zařízení obvykle nejsou publikovány v celosvětové síti a jsou připojeny přímo Úroveň časových serverů 1prostřednictvím protokolu RS-232 (na obrázcích jsou označeny žlutými šipkami). Úroveň 1. Synchronizováno s vysoce přesnými hodinami úroveň 0., obvykle fungují jako zdroje pro servery Úroveň 2. Úroveň 2. synchronizován s jedním z aut Úroveň 1, stejně jako synchronizace s úrovní servery. Úroveň 3. Funguje podobně jako druhý. Síťové servery jsou obvykle publikovány na druhé a níže. Protokol NTP Podporuje až 256 úrovní. Chci také poznamenat, že úrovně úrovní 1 a 2 nejsou vždy otevřeny pro univerzální přístup. Někdy s nimi synchronizovat s nimi, musíte odeslat požadavek poštou - správce domény.

Jaké je omezení přístupu k serverům? S přechodem na každou úroveň se chyba mírně zvyšuje primární server, ale zvyšuje celkový počet serverů A proto,.

Přiřazení serveru NTP na LAN

Proč můžeme potřebovat server NTP? Existují například služby v operačních systémech, které mohou záviset na synchronizovaném čase. Nejvýraznější příklad těchto služeb je ověřovací protokol Kerberos. Pro svou práci je nutné, aby v počítačích, přístup, ke kterému se provádí pomocí tohoto protokolu, systémový čas se liší ne více než 5 minut. Přesný čas na všech počítačích značně usnadňuje analýzu bezpečnostních protokolů při vyšetřování incidentů lokální síť.

Provozní režimy serveru / klienta

Klient-server.

Tento režim je nejčastěji používán na internetu. Pracovní schéma - klasika. Klient odešle požadavek, pro který po určitou dobu server odešle odpověď. Nastavení zákazníka se provádí pomocí směrnice o serveru v konfiguračním souboru, kde je zadán název serveru DNS.

Symetrický aktivní / pasivní režim

Tento režim se používá, pokud se provede synchronizace času mezi velkým počtem stejných strojů. Kromě skutečnosti, že každý stroj je synchronizován s externím zdrojem, provádí také synchronizaci se svými sousedy (peer), mluvit pro ně jako klient a časový server. Proto, i když auto "ztratí" externí zdroj, může stále dostat přesný čas ze svých sousedů. Sousedé mohou pracovat ve dvou režimech - aktivní a pasivní. Práce v aktivním režimu, stroj sám přenáší svůj čas všem sousedům uvedeným v sekcích konfiguračních souborů NTP.CONF. Pokud nejsou v této části specifikovány sousedy, předpokládá se, že stroj pracuje v pasivním režimu. Aby útočník nemohl být schopen ohrozit jiná auta, zavádějící se jako aktivní zdroj, je nutné použít ověřování.

Vysílání režimu

Tento režim se doporučuje použít v případech, kdy slouží malý počet serverů velký počet Zákazníci. Práce v tomto režimu, server periodicky odešle pakety pomocí adresy vysílání podsítě. Klient nakonfigurovaný tak, aby synchronizace tímto způsobem přijímá vysílání serveru serveru a synchronizuje server. Funkce tohoto režimu je čas, který je dodáván ve stejné podsíti (limit vysílací balíčky). Kromě toho je nutné použít ověřování pro ochranu před vetřelcům.

Režim vícesměrového vysílání

Tento režim je do značné míry podobný vysílání. Rozdíl je v tom, že adresa multicastových adres IP adres IP adresy se používá k doručení paketů. Pro zákazníky a servery je adresa skupiny multicastu zadána pro synchronizaci času. To umožňuje synchronizovat skupiny strojů umístěných v různých podsítích, za předpokladu, že směrovače připojují jejich směrovače protokol IGMP a jsou nakonfigurovány pro přenos skupinového provozu.

MINUTCAST MODE.

Tento režim je inovacemi čtvrté verze protokolu NTP. To znamená vyhledávání klienta mezi svými síťovými sousedy serverů společnosti Mongast, získává z každého z nich vzorky času (pomocí kryptografie) a výběrem na základě těchto údajů tří "Nejlepší" Server Servers, s nimiž bude klient provádět synchronizace. V případě neúspěchu jednoho ze serverů klient automaticky aktualizuje svůj seznam.

Pro přenos časových vzorků, klientů a serverů běžících v režimu LessCast používají adresy skupiny multicast (Class D sítě). Klienti a servery používající stejnou adresu tvoří jednu sdružení. Počet sdružení je určen počtem použitých multicastových adres.

Čas v Linuxu

Stručně mi řekněte, kolik času existuje v Linuxu a jak se ho zeptat. V Linuxu, stejně jako v jiném OS, existuje dvakrát. První - hardware Někdy volal Hodiny v reálném čase., zkráceně ( RTC.) (Jsou - hodiny BIOS) je obvykle spojena s oscilujícím křemenným krystalem, který má přesnost průběhu až několik sekund za den. Přesnost závisí na různých oscilacích, například teplotě okolí. Druhé hodiny jsou interní softwear. které jdou nepřetržitě, včetně přerušení systému. Podléhají odchylkám spojeným s velkým systémem zatížení a přerušení přerušení. Systém však obvykle přečte čtení hardwarových hodin při načítání a pak používá systémové hodiny.

Datum a čas operačního systému Instalován při načtení na základě hodnoty hardware hodinky, jakož i nastavení časového pásma. Nastavení časového pásma jsou převzata ze souboru / etc / localtime. Tento soubor je odkaz (ale častěji - kopie) jednoho ze souborů v adresářové struktuře / Usr / Share / ZoneInfo /.

Hardwarové hodiny Linux mohou ukládat čas ve formátu UTC.(Analog GMT) nebo aktuální územní čas. Obecné doporučení je čas nainstalovat (?) Další: Pokud několik operačních systémů nainstalovaných v počítači a jeden z nich je Windows, pak je třeba použít aktuální čas (protože Windows vyžaduje čas od systému BIOS / CMOS a považuje za místní). Pokud se používají pouze rodinné systémy UNIX, doporučuje se ukládat čas v systému BIOS ve formátu UTC.

Po načtení operačního systému jsou hodiny operačního systému a bios zcela nezávislé. Jádro systému jednou za 11 sekund synchronizuje systémové hodiny s hardwarem.

Po určité době může dojít k rozdílu mezi hardwarovým a programovým hodinami za několik sekund. Jaké hodiny dělají správný čas? Ani ty, ani jiné, dokud nefigurujeme Synchronizace času.

Poznámka:

Linux jádro "a vždy udržuje a vypočítává čas jako počet sekund minulosti od půlnoci 1. ledna 1970 roku, Nezávislost, jste nainstalováni v místním nebo světovém čase. Převod do místního času se provádí během procesu dotazu.

Vzhledem k tomu, že počet sekund od 1. ledna 1970 je globální čas uložen jako znamení 32bitové celé číslo (to platí pro systémy Linux / Intel), vaše hodinky přestanou pracovat někde v roce 2038. Linux nemá žádný problém 2000. ročníku, ale má problém 2038. Naštěstí, do té doby, všechny Linuxy budou spuštěny na 64-x systémy výboje. 64-bitové celé číslo bude obsahovat naše hodiny na přibližně 292271 milionů let.

NTP server Linux

Úvod

Existuje mnoho implementací pro synchronizaci času pro systém Linuxu. Nejznámější jsou XNTPD (NTP verze 3), NTPD (NTP verze 4), Crony a ClockSpeed. V našem příkladu použijeme NTP-Server NTPD.

Démon NTPD je jak časový server, tak klient, v závislosti na nastavení konfiguračního souboru /etc/ntpd.conf (někdy /etc/ntp.conf), démon může a "vzít" čas od platných serverů a "distribuštit" k jiným časům hostitele.

Všeobecné schéma synchronizace časuv místní síti následovně: musíte mít 1 nebo 2 servery s přístupem k globální síti, která obdrží čas z Internetu. Všechny místní počítačové počítače synchronizují se zadanými servery přijímající čas z Internetu.

Instalace NTPD.

Vlastně, instalace démona Přijde dolů k instalaci následujících balíčků: Ntp. (Balíček zahrnuje samotný dubnutí) ntpdate.(Nástroj pro ruční synchronizaci času - zastaralé), nTP-doc. (Dokumentace balíčku), v některých distribucích budete muset nainstalovat stejný ntp-utils. (Nástroje pro diagnostiku), v některých jsou zahrnuty v balíčku NTP. Jak nainstalovat programy v Linuxu, popsal jsem. Po instalaci balíčku, ve většině distribucí bude démon nakonfigurován jako NTP klient (například Debian byl tak). V souladu s tím byly hlavní konfigurační soubory automaticky vytvořeny: /etc/ntp.conf a /var/lib/ntp/ntp.drift a démon byl spuštěn automaticky.

Před nastavením démona k synchronizaci s okolním světem bych vám poradil, abyste nastavili aktuální datum systému na hodnotu co nejblíže k reálnému času. Datum nastavení v Linuxu Vyrobeno týmem: datum mmddhhhmccyy.ss,kde mm - měsíc, dd - den v měsíci, hh - hodinky, mm - minuty, cyy - 4 čísla roku, SS - sekundy. Současně hodnot Cyy.ss. Ne nutně.

Jak vidíte, zadaný příkaz nastaví aktuální datum a čas dne 27. prosince 2010, 20:06:30. Datum Command. Bez parametrů, výstup aktuálního systémového času. Tento tým má spoustu parametrů, které lze nalézt v Datum člověka.

Musíte také správně nakonfigurovat hardwarové hodiny a časové pásmo. Jak je uvedeno výše, časové pásmo je nakonfigurováno kopírováním požadovaného souboru zóny z katalogu / Usr / Share / ZoneInfo /do souboru. / etc / localtime:

NTP-Server: ~ # # CP / USR / Share / ZoneInfo / Europe / Moskva / etc / lokální čas

Hardware nastavil jsem hodiny na UTC:

# CAT / ETC / SYSCONFIG / CLOCK | Grep UTC # Utc \u003d true označuje, že hodiny jsou nastaveny na UTC; UTC \u003d True NTP2-Server: ~ # # Kat / etc / výchozí / RCS | Grep utc Utc \u003d ano

V prvním příkladu je specifikován konfigurační soubor, který definuje použití UTC pro RH, druhý - pro DEB-distribuce.

Kromě instalace nastavení pro použití času ve formátu UTC musíte zadat Hardware. (Ve většině případů to není nutné, protože zadaný systémový čas je nevyhnutelně synchronizován s hardwarem, základními silami). Ale přesto, pokud máte touhu udělat ... Tým hwclock. Přečte a nainstaluje hardware na základě parametrů přenesených na něj. Dostupné možnosti jsou popsány v týmu manuální stránce. Zde jsou některé příklady použití HWClock:

NTP-Server # Hwclock # Přečtěte si čas Přečtěte si z NTP-Server # Hwclock --Systohc - UTC Clock Clock Clock Clock Nastavení hodin Hodiny Clock Clocks Equal # UTC na základě NTP-Server # Hwclock --systohc # Nastavení hodin Časopisu # rovná místnímu založenému na systém Čas NTP-Server # HWCOCK - Date "22 března 2002 13:17" # Nastaví čas hardwarového času # rovna zadanému řádku

Další možností pro změnu času v hardwarových hodinách je při načítání systému přístup k systému BIOS. Vzhledem k tomu, že čas OS, bez ohledu na hardwarové hodiny, budou v příštím zatížení zohledněny jakékoli změny BIOS.

Teď, když bylo vše připraveno a instalováno, pokračujte na staveništi.

NTPD Demon Management.

Řízení NTPD DEMON. Žádní různé démoni se liší od jiných démonů. Spustit nebo restartovat službu NTPD:

# / etc / init.d / ntp start # / etc / init.d / ntp restart

Stop:

# / etc / init.d / ntp zastávku

# / Bin / kill `Cat / var / run / run / ntpd.pid`

Démon má následující parametry spuštění:

P - PID soubor,
-G - Nechte přechod na velké časové skoky
-C - config soubor
-Q - nucená ruční synchronizace

Nastavení serveru NTPD

Za prvé, budete poradit změně parametrů spuštění DEMON v následujícím konfiguračním souboru:

NTP-Server: ~ # Kat / etc / výchozí / ntpd_opts \u003d "- g"

# CAT / ETC / SYSCONFIG / NTPD # parametry pro Démona NTP. # Další informace naleznete v části NTPD (8). .... # Určuje další parametry pro NTPD. Ntpd_args \u003d "- g"

Tento parametr vám umožní synchronizovat hodiny, i když byl vytvořen velmi velký časový rozdíl.

Takže, jak jsem řekl, informace o konfiguraci DEMON NTPD.leží v souboru /etc/ntp.conf. Syntaxe souboru je standardní, stejně jako v mnoha jiných konfiguracích: Prázdné řetězce a řádky začínající na symbol "#" ignorovat. Zde je jednoduchý příklad:

NTP-Server: ~ # # cat /etc/ntp.conf server ntplocal.example.com preferují server časeerver.example.org server ntp2a.example.net driftfile /var/db/nttp.drift

Parametr serverurčuje, které servery budou použity pro synchronizaci, jeden v každém řádku. Pokud je server zadán s argumentem raději., tak jako ntplocal.example.com.Tento server má přednost zbytku. Odpověď z preferovaného serveru bude vyřazena, pokud se významně liší od odpovědí jiných serverů, jinak bude použita samostatně na jiné odpovědi. Argument raději.obvykle se používají pro NTP servery, které jsou známy, že jsou velmi přesné, které používají speciální přesné vybavení.

Parametr driftfileurčuje soubor, který se používá pro ukládání systémové frekvence System Frekvence. Pokud jsem pochopil, tento soubor neustále ukládá hodnotu, která je vytvořena na základě analýzy úpravy minulých časových úprav a pokud se externí časové zdroje stanou nedostupné, nastavení času dojde hodnotou ze souboru drift. Nemělo by měnit žádné další procesy. A před uvedením tento soubor V konfiguraci musí být soubor vytvořen.

Ve výchozím nastavení bude server NTP k dispozici všem hostitelům Internetu. Parametr oMEZIT.v souboru /etc/ntp.conf. Umožňuje ovládat, které stroje mohou přistupovat k vašemu serveru. Pokud chceš Zakažte všechny stroje a kontaktujte server NTPpřidat další řádek do souboru. /etc/ntp.conf.:

omezit výchozí ignorovat.

Pokud chceš dovolitsynchronizace hodin pouze s vaším serverem stroje na vaší síti, ale zákazjim přizpůsobit server. Nebo být stejní účastníci času synchronizace času, pak namísto zadaného, \u200b\u200bpřidejte řádek:

omezit 192.168.1.0 Maska 255.255.255.0 Nomodify Notrap

kde 192.168.1.0 je adresa IP vaší sítě a 255.255.255.0 jeho síťová maska. /etc/ntp.conf. Může obsahovat několik omezujících směrnic.

Pro správnou a přesnější práci démona je žádoucí vybrat úroveň serveru - od stratum 2 (můžete určitě stratum1, ale musíte zabít čas hledat takový server) a ze zvoleného stratum 2, na které minimální "vzdálenost". Tyto servery mohou obvykle poskytovat váš poskytovatel. Počet vybraných serverů je s výhodou - více než 2 3, tím lépe, ale v rozumných limitech. Pokud jste příliš líní, abyste si vybrali nejlepší serveryMůžete si vzít seznam otevřených serverů druhé úrovně odtud: http://support.nttp.org/bin/view/servers/stratumtwotimeservers.

Vyberte seznam referenčních serverů NTP

Jdeme zadaná adresa (http://support.nttp.org/bin/view/servers/stratumtwotimeservers) a vyberte seznam počátečních serverů. Z tohoto seznamu vyberte servery uspokojující naše požadavky pomocí analýzy výstupu příkazu ntpdate.. Při provádění příkazu se použije následující syntaxe:

ntpdate servery_tenere_belates.

Aby našemu požadavku provést změny systému, musíte použít parametr -Q, který označuje použití požadavku bez provedení změn. Je také možné použít tlačítko -D, což znamená, že příkaz bude proveden v režimu ladění, s výstupem dalších informací, aniž by reálné změny (kdy tento klíč Banda jiného odpadu je odvozeno :), které jsme v tento moment nepotřebný). Zbývající parametry lze zobrazit v Man 8 ntpdate. Ze zadaného odkazu jsem si vybral všechny otevřené přístupové servery umístěné v Rusku (RU) + ten, který poskytl Poskytovateli a zahájil tým, ukázal se o následujících:

NTP-Server: ~ # ntpdate -q ntp2.vniftri.ru ntp1.vniftri.ru ntp0.vniftri.ru ntp0.nniftri.ru ntp1.nttp-servers.net ntp1.nttp-servers.net ntp3.vniftri.ru NTP.Corbina.net Server 88.147.255.85, Stratum 1, Ofsetový 0.006494, Zpoždění 0.09918 Server 62.117.76.142, Stratum 1, offset 0.002552, Zpoždění 0.06920 Server 62.117.76.141, Stratum 1, Offset 0.003147, Zpoždění 0.06918 Server 62.117.76.140, Stratum 1, offset 0.004823, zpoždění 0.07350 Server 88.147.254.228, Stratum 1, Offset -0.002355, zpoždění 0.12030 Server 88.147.254.229, Stratum 1, offset -0.000922, zpoždění 0.10577 Server 62.117.76.138, Stratum 1, offset 0.005331, 0,07401 Server Zpoždění 195.14 .40.141, stratum 2, offset 0.002846, zpoždění 0.07188 13 ledna 19:14:09 ntpdate: Upravit časový server 62.117.76.141 Offset 0.003147 sec

V příkladu, naše servery úspěšně rozdávaly úroveň stratum1, která nemůže radovat, ale radovat se (kromě serveru poskytovatele), offset je nesrovnalost času s tímto serverem v sekundách, zpoždění je zpoždění synchronizace v sekundách. Obvykle, B. Opřesnější je získána pomocí serverů, které mají nízkou zpoždění přenosu paketů v síti. Chcete-li to identifikovat, je možné použít. V souladu s tím, výběrem prvního, jejichž doba odezvy je menší, a ty, které jsou menší než chmele. Nemám ztratit čas, použiji všechny zadané servery a dodávám je do konfiguračního souboru. Celkem znát všechny výše uvedené, budu popisovat váš výsledný soubor /etc/ntp.conf.:

NTP-Server: ~ # cat /etc/ntp.conf # Místní síťový server (komentovaný, nepoužívá se - online jeden server) #Serve 192.168.0.2 #Server 192.168.0.5 # server ntp2.nttp-servers.net server ntp1.vniftri .RUIFTRI.RU Server NTP4.Vniftri.ru server NTP0.NTP-Servers.net Server NTP1.NTP-Servers.Net Server NTP3.vniftri.ru server NTP3.vniftri.ru server NTP3.vniftri.ru server NTP3.vniftri.Ru server NTP.Corbina.net # DriftFile Serverové soubory /var/lib/ntp/ntp.drift logfile / var / log / ntpstats # Omezení přístupu na server: # Ve výchozím nastavení Ignoruji všechny omezení výchozí Ignorovat # Bezčleněné bez parametrů - to znamená, že je vše povoleno. Parametry jdou pouze na zákazy. Omezte 127.0.0.1 # Dále, jsou popsány servery, s nimiž jsou synchronizovány v místní síti. # Dovolujeme jim všechny kromě štítků a dotazů k americkému omezení 192.168.0.2 Noquery Notrap Omezení 192.168.0.5 Noquery Notase # pro LAN také povolit vše s výjimkou omezení pasti a modifikací 192.168.0.1 Maska 255.255.25.0 Nomodify Notase Napeer # Povolit přístup externích časových zdrojů : Omezit NTP2.NTP-Servers.net Omezit NTP1.vniFtri.ru Omezit NTP2.vniFtri.ru Omezit NTP4.vniFtri.ru Omezit NTP0.NTP-Servers.net Omezit NTP1.NTP-Servers.net Omezit NTP3.vniftri.ru Omezit omezit ntp.corbina.net # a tento hack, který stanoví úroveň důvěry na server (strata) sám o sobě rovnou 3 # v kostce, vyšší úrovni úrovně, tím menší je číslo. 0 je atomové hodiny, # 1 je s nimi synchronizován, 2 - s první a tak dále. Server 127.127.1.1 Fudge 127.127.1.1 Stratum 3

Pro podrobnější porozumění a konfiguraci serveru budu popisovat některá nastavení konfigurace NTPD, která se nezmiňovala ::

povolit zakázat auth / monitor / pll / pps / statistiky - zapněte vypínač pracovní režim:
- auth.- s neoprávněnými sousedy komunikovat pouze v režimu autentizace;
- monitor- Povolit monitorování dotazů;
- pll.- umožnit nastavení frekvence místních hodin na NTP;
- statistiky.- umožnit shromažďování statistik;
statistikaloopstats.- S každou modifikací místních hodin zapíše linku do souboru loopstats.;
statistikapeeptats.- Každá komunikace se sousedem je zapsána do protokolu uloženého v souboru peeptats.;
statistikahodinkytáty.- Každá zpráva z ovladače místních hodin je zapsána do protokolu uloženého v souboru hodinkytáty.;
statsdir.(Katalog_name_setatistika) - Určuje název adresáře, ve kterém budou soubory se statistikami serveru;
fileGen. - Určuje algoritmus generování souborů, který se skládá z:
- předpona- Trvalá část názvu souboru je nastavena buď při kompilaci nebo speciálních konfiguračních příkazech;
- název souboru - Přidáno k předpony bez lomítka, dva body jsou zakázány, může být změněn klíčem souborů;
- přípona- generované v závislosti na typumenu;
oMEZIT.numerická adresa- Určuje omezení přístupu: pakety jsou seřazeny a masky, úvodní adresa je přijata a je konzistentně porovnána, vlajka je převzata z posledního úspěšného srovnání. přístup:
- Žádné vlajky - dát přístup;
- ignorovat.- ignorovat všechny balíčky;
- noquery.- ignorovat pakety NTP 6 a 7 (požadavek a modifikace stavu);
- nomodifikace- ignorovat pakety NTP 6 a 7 (stavová modifikace);
- omezený- sloužit pouze omezený počet zákazníků z této sítě;
- napeer.- sloužit hostiteli, ale není s ním synchronizovat;
klientlimit.omezit.- pro vlajku omezenýurčuje maximální počet zákazníků (ve výchozím nastavení 3);

Celkem jsme dostali NTPD-ServerKterý je synchronizován s vnějším světem, umožňuje přijímat čas pro zákazníky z místní sítí v oblasti oblasti 192.168.0.1 s maskou 255.25.25.25.0, stejně jako lze synchronizovat s místním serverem (pokud vám zazvoníte více řádků). Zůstali jsme přizpůsobit zákazníky a naučit se sledovat náš server.

Pozorování serveru NTPD a synchronizace

Když jsou všechny nakonfigurovány. NTP bude udržovat čas v synchronizovaném stavu. Tento proces lze pozorovat pomocí příkazu NTP dotazu (NTPQ):

NTP-Server: ~ # NTPQ -P Remote Refid St T Když průzkum DEASS DELAY OFFSET Jitter \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d \\ t \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d -N3. Time1.d6.hsd .pps. 1 U 34 64 177 70.162 2.375 8.618 + NTP1.VniFtri.rpps. 1 U 33 64 177 43.479 -0.020 10.198 * NTP2.vniftri.rpps. 1 U 6 64 177 43.616 -0,192 0.688 + NTP4.vniftri.rpps. 1 U 4 64 177 43.623 0.440 0,546 -N1.time1.time1..d6.HSD .pps. 1 U 53 64 77 92.865 -11.358 38.346 -ns1.hsdn.org .gps. 1 U 40 64 177 78.057 -3.292 35.083-ntp3.vniftri.rpps. 1 U 44 64 77 47.667 2.292 2.611 -Scylla-l0.msk.c 192.43.244.18 2 U 62 64 77 41,565 -1,564 28.914

Tento příkaz s -p klíč zobrazí seznam časových zdrojů s jejich vlastnostmi (jiné příkazové parametry v člověku ntpq). Hodnota každého sloupce takto:

Název vzdáleného serveru NTP. Pokud zadáte tlačítko -n, obdržíte adresy IP serveru namísto názvů.

Označuje, kde každý server dostane čas v tuto chvíli. Může to být jméno hostitele nebo něco jako .gps., Označující zdroj globální systém Polohování (globální vysílání).

Stratum Toto číslo je od 1 do 16, což znamená správnost serveru. Jednotka znamená maximální přesnost, 16 - server není k dispozici. Vaše úroveň bude rovna úrovni nejméně přesného vzdáleného serveru Plus 1.

Interval mezi ankety (v sekundách). Hodnota se změní mezi minimální a maximální frekvence ankety. Na začátku bude interval malý, takže se synchronizace došlo rychle. Po synchronizaci hodin se interval začne zvyšovat, aby se snížil provoz a zatížení populárních časových serverů.

Octalicí reprezentace řady 8 bitů odrážejících výsledky posledních osmi pokusů o připojení k serveru. Bit je nastaven, pokud vzdálený server odpověděl.

Množství času (v sekundách) je nutná k přijetí odpovědi na požadavek "kolik času?".

Nejdůležitější pole. Rozdíl mezi místními a vzdálené servery. Během synchronizace by tato hodnota měla být snížena (přístup k nule), což znamená, že hodiny místního stroje zvyšují přesnější.

Disperze (jitter) je míra statistických odchylek od ofsetové hodnoty (ofsetové pole) pro několik úspěšných parametrů reakce-reakce. Je výhodná menší disperzní hodnota, protože to umožňuje přesněji synchronizovat čas.

Význam znaků před názvy serverů

x je falešný zdroj v křižovatce algoritmu;
. - vyloučeno ze seznamu kandidátů v důsledku dlouhé vzdálenosti;
- - Odebráno ze seznamu kandidátských algoritmů klastrů;
+ - vstupuje do konečného seznamu kandidátů;
# - Vybraný pro synchronizaci, ale tam jsou 6 nejlepších kandidátů;
* - Vybrané pro synchronizaci;
O - Vybraný pro synchronizaci, ale použité PPS;
Prostor - příliš velká úroveň, cyklus nebo explicitní chyba;

NTPD služba"Smart" a prosévat zdroje času příliš srazí z rozsahu rozumného. Po nějaké době po spuštění NTPD vybere nejspolehlivější zdroje dat a bude s nimi synchronizováno. Seznam referenčních NTP serverů předložených USA je pravidelně revidován službou.

Zkontrolujte funkci synchronizace lokálně na serveru je možné příkazem:

NTP-Server: ~ # ntpdate -q localhost server 127.0.0.1, stratum 2, ofset -0.00000053, zpoždění 0.02573 server :: 1, stratum 2, offset -0.000048, zpoždění 0.02571 14 ledna 14:49:57 ntpdate: Upravit časový server :: 1 ofset -0.000048 sec

Ze výstupu příkazu lze vidět, že náš server se již stal úrovní stratum 2. Dosáhnout této úrovně, Na chvíli je nutné. Snad v prvních 10-15 minut bude úroveň serveru vyšší.

Ve správném provozu serveru NTP můžete také posoudit protokoly démona NTPD:

NTP-Server: ~ # # CAT / VAR / LOG / NTPSATS / NTP 13 Jan 20:13:16 NTPD: Poslech na rozhraní # 5 ETH0, FE80 :: A00: 27FF: FEC1: 8059 # 123 Povoleno 13. ledna 20:13: 16 ntpd: poslech na rozhraní # 6 eth0, 192.168.0.8 # 123 povoleno 14. ledna 14:31:00 ntpd: synchronizováno na 62.117.76.142, stratum 1 14 ledna 14:31:10 ntpd: resetování času +10.291312 s 14 ledna 14 : 31: 10 NTPD: Čas jádra Sync Status Změna 0001 14 Jan 14:34:31 NTPD: Synchronizováno na 88.147.255.85, Stratum 1 14 Jan 14:36:04 NTPD: Synchronizováno na 62.117.76.141, Stratum 1 14. ledna: 04:36 NTPD: Synchronizováno na 62.117.76.142, Stratum 1 14 Jan 15:10:58 NTPD: Synchronizace na 62.117.76.140, Stratum 1 14 Jan 15:17:54 NTPD: Žádné servery Dosahatelné 14 ledna 15:31:49 NTPD : Synchronizováno na 62.117.76.140, Stratum 1 14 Jan 15:32:14 NTPD: časový reset +13.139105 S

Nastavení NetFilter (IPTAbles) pro NTP server

Konfigurace serverového práce by bylo hezké chránit. Víme, že server pracuje na portu 123 / UDP, zatímco požadavky jsou také odeslány z portu 123 / UDP. Po přečtení článku a obeznámeni s praktickým praktickým, můžete vytvořit pravidla pro filtrování sítě provozu:

NTP ~ # IPTABles-Save # Typické Iptables Pravidla pro DNS * Filtr: Input Drop: Dopředu Drop: Output Drop -A vstup -I Lo -j Accept -A Input -A -M CONTRACK-CTSTESTED SOUVISEJÍCÍ -M CONNTRACK - CCTSTATE INVALID-DROPS DROP # Povolit lokální přístup k síti na server NTP: -A vstup do 192.168.1.1/24 -d -D 192.168.1.1/32 -P -P UDP -M UDP --dport 123 -m-mon CONTRACK - - CtState New -J Accept -A výstup -o lo -j Accept -A výstup -P -P ICMP -J Accept -A výstup -P -P UDP -M UDP --Sport 32768: 61000 -J Accept -A Accept -A výstup -P TCP -M TCP --Sport 32768: 61000 -j Accept -A výstup -M CONTRACK-CTATE související, založené -J Accept # Povolit přístupový server Access NTP, aby se odchozí požadavky - výstup -P -P -P UDP -M UDP --Sport 123 --dport 123 -M CONTRACK --CTSTE NEW -J Accept Commit

To je typický příklad! Chcete-li nastavit pravidla Iptables pro své úkoly a konfiguraci sítě, musíte pochopit princip práce netfilter v Linuxu, čtení výše uvedených článků.

Nastavení klientských strojů

Synchronizace času na unixových automatech Lokální síť je vhodná použít nástroj NTPdate, spustit ji několikrát denně, například každou hodinu. Chcete-li to provést, musíte přidat následující řádek:

0 * * * * / usr / sbin / ntpdate -s

Klíčové odeslání příkazového výstupu. Pokud mají klientské stroje pár zbytečných megabajtů paměti RAM, můžete spustit NTPD démon, jako na serveru s následujícím configem:

Server Omezte výchozí Ignorovat Omezit Noquery Notrap Residrict 127.0.0.1 Nomodify Notrap

Myslím, že v tomto configu je vše jasné: Zdroj času (server) je místním serverem NTPD, zakázat vše, umožnit pouze místní NTPD server.

Také na klientů musíte správně určit, ve kterém formátu pro ukládání času a vybrat správné časové pásmo ,.

Konfigurace klienta Windows Client NTPV konzole musí být provedeny následující příkazy:

C:\u003e Čistý čas / SETSNTP: Příkaz byl úspěšně dokončen. C:\u003e Net Stop W32time Time Service Windows se zastaví. Služba Windows Time byla úspěšně zastavena. C:\u003e NET START W32TIME začíná služba Windows Time Service. Služba Windows Time byla spuštěna úspěšně. C:\u003e Net Time / QuerySNTP Aktuální hodnota SNTP je: Příkaz byl úspěšně dokončen.

Závěr

Zdá se, že je to všechno! Objem článku se ukázal být enormní ... ani nečekal. Přiveďte malý výsledek. V tomto článku doufáme, že to bylo jasné, co je a jak funguje server NTP. Naučil se přizpůsobit server a klienty na UNIX a Windows stroje. V několika slovech, struktura synchronizace času v lokální síti je následující: v místní síti existuje 1.2 nebo přesnější časové servery, synchronizují svůj čas s externími zdroji v globální síti. Nastavení serveru a zákazníků jsou založeny na souborech /etc/ntp.conf (hlavní konfigurační soubor ntpd démon), / etc / localtime (aktuální časový pásový soubor), stejně jako / etc / sysconfig / ntp (pro RH) a / Etc / výchozí / NTP (pro DEB) - Demon Spustit parametrové soubory. Pro místní server NTP v konfiguračním souboru jsou externí servery určeny pro čas, aby se čas a přístup k těmto serverům je povolen parametrem Omezit, stejně jako pro místní síťové počítače, klient označuje časový zdroj - místní servery V lokální síti, stejně jako přístup ke všem, kromě časového zdroje v místní síti. Všechno. Děkuji vám všem za vaši pozornost! Budu rád komentuje!

(Archiv článku) popisuje, jak připojit GPS na server uspořádat přesný časový server Stratum1.
Popsáno jak konfigurovat autorizaci na serveru NTP.

Dobrý den Vážení čtenáři a hosté blogu, protože mnoho lidí mluví o době, kdy je rychlé nebo pomalu běží, a každý chápe, že je neocenitelný a důležitý. Takže v infrastruktuře Active Directory je to jeden z základních faktorů, správné fungování domény. V doméně se všichni navzájem věřili a jednou přihlášeni a přijali všechny vstupenky z Kerberos, uživatel chodí kdekoli, omezený na jeho dostupná práva. Pokud tedy nemáte přesný čas na svých pracovních stanicích řadiči domény, můžete předpokládat, že spustíte vážné problémy, o kterých budeme mluvit a zvažujeme, jak je eliminovat nastavení serveru NTP v systému Windows.

Synchronizace času ve službě Active Directory

Mezi počítači zúčastněnými službou Active Directory pracuje následující program synchronizace času.

Řadič kořene domény v reklamním lese, ke kterému FSMO role emulátoru PDC patří (zavolejte si kořenový PDC), je časový zdroj pro všechny ostatní regulátory této domény.
Regulátory dceřiných společností synchronizují čas s topologií regulátorů AD domény.
Správné členy domény (server a pracovní stanice) synchronizují svůj čas s dostupným řadičem domény, pozorování topologie AD.

Kořen PDC může synchronizovat svůj čas jako s externím zdrojem a samo o sobě, poslední výchozí konfigurace je absurdní, který periodicky přepíná chyby v systému systému.

Synchronizace klientů kořenových PDC lze provádět jak z vnitřních hodin, tak z externího zdroje. V prvním případě se kořenový PDC časový server prohlašuje jako "spolehlivý" (spolehlivý).

Dále poskytnu optimální konfiguraci časového serveru kořenového PDC z mého názoru, ve kterém kořenový PDC PDC pravidelně synchronizuje svůj čas ze spolehlivého zdroje na internetu a čas klientů kontaktovat to synchronizuje s vnitřními hodinami .

Vstupujeme netdom dotaz FSMO.V mém příkladu patří role PDC a NTP serveru do řadiče DC7

Konfigurace serveru NTP na kořenovém počítači PDC

Konfigurace časového serveru v systému Windows (NTP server) lze provést jako použití nástroje příkazového řádku. w32tm.a prostřednictvím registru. Tam, kde je to možné, dám obě možnosti. Ale na začátku, podívejte se na vaše nastavení v počítači, to provádí tým:

w32TM / dotaz / konfigurace

EventLogflags: 2 (lokálně)
AnnountFlags: 10 (lokálně)
TimeJumpauditOffset: 28800 (lokálně)
MinpollInterval: 6 (lokálně)
MaxpollInterval: 10 (lokálně)
Maxnegfasecorection: 172800 (lokálně)
MaxposphaseCorrection: 172800 (lokálně)
MaxlockedphaseOffset: 300 (lokálně)

FrekvenceCortrectrate: 4 (lokálně)
Polladjustfactor: 5 (lokálně)
LargePhaseOffset: 50000000 (lokálně)
Spikewatchperiod: 900 (lokálně)
LocalClockDispersion: 10 (lokálně)
Holderiod: 5 (lokálně)
PhasecorRectRate: 7 (lokálně)
UpdateInterVal: 100 (lokálně)

Ntpclient (lokálně)

Povoleno: 1 (lokálně)
InputProvider: 1 (lokálně)
Crossitesyncflags: 2 (lokálně)

Resolvepeerbackoffminuts: 15 (lokálně)
Resolvepeerbackoffmaxtimes: 7 (lokálně)
CompatilityFlags: 2147483648 (lokálně)
EventLogflags: 1 (lokálně)
Largesampleskew: 3 (lokálně)
SpecialLinterVal: 3600 (lokálně)
Typ: NT5DS (lokálně)

Ntserver (lokálně)
DLLNAME: C: Windows System32 W32time.dll (lokálně)
Povoleno: 1 (lokálně)
InputProvider: 0 (lokálně)
AllownonstandModecombinations: 1 (lokálně)

Vmictimeprovider (lokálně)
DLLNAME: C: Windows System32 VmictimeProvider.dll (lokálně)
Povoleno: 1 (lokálně)
InputProvider: 1 (lokálně)

Povolení interní synchronizace hodin s externím zdrojem

Povolení serveru NTP

Výchozí server NTP je povolen ve všech řadičích domény, ale můžete jej povolit na serverech Rank.

Nastavení seznamu externích zdrojů pro synchronizaci

Příznak 0 × 8 na konci znamená, že synchronizace by se mělo vyskytnout v režimu klienta NTP, přes časové intervaly navržené tímto serverem. Chcete-li nastavit interval synchronizace, musíte použít příznak 0 × 1.

Nastavení intervalu synchronizace s externím zdrojem

Čas v sekundách mezi průzkumy zdrojů synchronizace, výchozí 900C \u003d 15min. Pracuje pouze pro zdroje označené 0 × 1 vlajky.

"SpecialPollInterval" \u003d DWORD: 00000384

Nastavení minimální pozitivní a záporné korekce

Maximální pozitivní a negativní korekce času (rozdíl mezi vnitřními hodinami a zdrojem synchronizace) v sekundách, pokud je synchronizace překročena, nedochází. Doporučuji 0xFFFFFFFFFFFFFFFFF, ve kterém může být vždy provedena korekce.

"MaxposphaseCorrection" \u003d DWORD: FFFFFFFFF
"Maxnegphasecorrection" \u003d DWORD: FFFFFFFFF

Veškerý potřebný řádek

w32tm.exe / config /manualPeerlist_"time.nist.gov.0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 pool.nttp.org, 0x8 "/ SyncFromFrags: manuál / spolehlivý : Ano / Update

Užitečné týmy

Aplikace změn provedených v konfiguraci
W32tm / config / update
Nucené synchronizace ze zdroje
W32tm / resync / znovuobjevení
Zobrazení stavu synchronizace řadiče domény v doméně
W32TM / MONITOR.
Zobrazí aktuální zdroje synchronizace a jejich stav
W32TM / dotaz / peers

Nastavení zásad skupiny NTP serveru a klienta

Pokud máte doménu Active Directory Domain Active Directory, je hloupá nepoužívat zásady skupiny, pro hromadnou konfiguraci serverů a pracovních stanic, zobrazím se, jak nakonfigurovat server NTP v systému Windows a klienta. Otevřete nástroj "Editor zásad skupiny". Než nakonfigurujete náš NTP server v systému Windows, musíme vytvořit filtr WMI, který bude aplikovat zásady pouze na server Průvodce PDC.

Zadáme název dotazu, obor názvů bude mít hodnotu "root cimiv2" a požadavek "vybrat * z win32_computersystem, kde domainRole \u003d 5". Udržujte to.

Poté vytvoříte zásadu v kontejneru řadičů domény.

V dolní části zásady použijete vytvořený filtr WMI.

Přejděte na Pobočku: Konfigurace počítače\u003e Zásady\u003e Šablony pro správu\u003e Systém\u003e Windows Time Service\u003e Dodavatelé času.

Zde otevřete zásady "Konfigurace klienta NTP klienta". Nastavte parametry

Ntserver: 0.4.pool.ntp.org.0x1, 1.ru.pool.nttp.org.0x1, 2.ru.pool.nttp.org.0x1, 3.ru.pool.ntp.org.0x1
Typ: NTP.
CrossSitesyncFlags: 2. Dva prostředky Pokud je tento parametr 2 (vše), můžete použít jakoukoli účastník synchronizace. Tato hodnota je ignorována, pokud NT5DS není zadán. Výchozí hodnota: 2 (DECINEMAL) (0x02 (hexadecimální))
Společnost ResolPeerBackOffminutes: 15. Tato hodnota vyjádřená v minutách, definuje interval servisu W32Time Service před pokusem o povolení názvu DNS v případě poruchy. Výchozí hodnota: 15 minut
Rozměry Peer BackoffMaxtimes: 7. Tato hodnota určuje počet pokusů o vyřešení názvů DNS prováděných servisem W32Time před restartováním procesu detekce. S každým neúspěšným řešením názvu DNS, intervalu očekávání před dalším pokusem se zdvojnásobí. Výchozí hodnota: Sedm pokusů.
SpecilalPoolInterval: 3600. Tato hodnota parametru klienta NTP vyjádřená v sekundách určuje frekvenci dotazování konfigurovaného ručního času, který používá speciální interval intervalu. Pokud je parametr NPTPCERRR nastaven na příznak SpecialInterval, klient používá hodnotu specifikovanou jako speciálpollinterval, namísto hodnot MinpollInterval a MaxPollInterval hodnoty určit frekvenci průzkumu časového zdroje. Výchozí hodnota: 3600 sekund (1 hodina).
EventLogflags: 0.