NTP vaikeserver. NTP installimine Ubuntu

NTP-serveri konfigureerimise ja haldamise kohta Windows Serveris

Kõik Windows alustades Windows 2000 on aega W32TIME. See teenus on mõeldud süsteemi aja sünkroonimiseks organisatsiooni piirides. W32Time teenus vastutab töö- ja kliendi ja serveri osa ajateenistuse, samas kui sama arvuti saab üheaegselt nii kliendi kui ka NTP server (võrguaeg protokoll).

Vaikimisi on Windowsi ajateenus konfigureeritud järgmiselt:

Installitud operatsioonisüsteem Windows käivitab NTP-kliendi ja sünkroniseeritakse välise aja allikaga;
Arvuti lisamisel domeeni, sünkroniseerimisliigi muutused. Kõik kliendi arvutid ja tavalised serverid domeeni kasutatakse domeeni kontrolleri aja sünkroonimiseks, mis kontrollib nende autentsust;
Kui tavaline server on domeeni kontrollerile tõstetud, käivitatakse sellele NTP-server, mida kasutatakse kontrollerina PDC emulaatori rolliga ajaallikana;
PDC emulaator, mis asub metsa juurevaldkonnas, on kogu organisatsiooni peamine serveri aeg. Samal ajal sünkroniseeritakse see ka välise ajaallikaga.

Selline skeem töötab enamasti ja ei nõua sekkumist. Akende ajateenuse struktuur ei pruugi siiski jälgida domeeni hierarhiat ja usaldusväärset aja allikat saab määrata mis tahes arvutisse. Näiteks kirjeldan ma Windows Server 2008 R2 NTP-serveri seadistust, kuigi Windows 2000 ajast ei ole protseduur eriti muutunud.

NTP-serveri käivitamine

Kohe, märgin, et aja teenindus Windows Serveris (alates 2000. aastast ja lõpeb 2012) ei ole graafiline liides ja konfigureeritud kas alates käsureavõi otsese redigeerimise kaudu süsteemiregistri. Isiklikult olen ma lähemal teisel viisil, nii et me läheme registrisse.

Niisiis, esimene asi, mida peame alustama NTP-serverit. Avage registri haru
HKLM System CurrentControlset "Teenused \\ W32time \\ TimeProviders \\ Nserver.
Siin, et võimaldada NTP-serveri parameetrit Lubatud. Väärtuse määramine on vajalik 1 .

Pärast NTP-teenuse taaskäivitamist on server juba aktiivne ja võib teenindada kliente. Oleme veendunud, et saate kasutada W32TM / Query / Configuration käsk. See käsk kuvab täieliku teenuseparameetrite nimekirja. Kui osa Nserver. Sisaldab stringi Lubatud: 1. See on kõik korras, ajaserver töötab.

Selleks, et NTP-server teenindada kliente, ärge unustage avada UDP port 123 tulemüüri sissetuleva ja väljuva liikluse jaoks (tulemüüri).

Põhiseaded NTP-server

NTP-server sisse lülitatud, nüüd peate selle konfigureerima. Avage lähtestamine resethklm süsteemi Currentconlset teenustele W32Time \\ parameetrid. Siinkohal oleme kõigepealt huvitatud parameetrist Tüüpmis seab sünkroniseerimise tüübi. See võib võtta järgmisi väärtusi:

Nosync -NTP-server ei ole sünkroniseeritud välise aja allikaga. Server CMOS Microcircuit sisseehitatud kella kasutatakse;
NTP -NTP-server sünkroniseeritakse väliste aegade serveritega, mis on määratud registris parameetris. Nserver;
NT5DS - NTP-server teostab sünkroniseerimist vastavalt domeeni hierarhiale;
AllSync - NTP-server kasutab sünkroonimiseks kõiki olemasolevaid allikaid.

Domeeni kuuluva arvuti vaikeväärtus - NT5DS.Eraldi seisav arvuti - NTP.

Ja parameeter Nserver.mis täpsustab NTP-serverite, millega aeg sünkroniseerib see server. Vaikimisi on Microsoft NTP-server (Time.Windows.com, 0x1) registreeritud selles parameetris, kui vajate veel mõned NTP-serverid, sisestades oma DNS-i nimed või IP-aadressid ruumi kaudu. Olemasolevate aegade serverite loendit saab näidata näiteks.

Iga nime lõpus saate lisada lipu (nt. 0x1) mis määrab sünkroonimise režiimi ajaserveri sünkroniseerimiseks. Lubatud on järgmised väärtused:

0x1 - spetsiaalne uuringute intervalli kasutamine;
0x2. - useafallähti režiimis;
0x4. - sümboriteatiline sümmeetriline aktiivne režiim;
0x8.- Klient, taotluse saatmine kliendirežiimis.

Spetsiaalse lipu kasutamisel on vaja peamise intervalli seadistatud väärtust. SpecialPollinterserval. Kui Uneasefallülitus Flag on kehtiv, teatatakse ajateenusest, et seda serverit kasutatakse varundamise ja sünkroniseerimisena sellega viidatakse teistele nimekirja serveridele. Sümmeetrilise aktiivse režiimi kasutavad NTP-serverid vaikimisi ja kliendirežiimi saab kasutada sünkroniseerimisprobleemide korral. Microsoft soovitab paigaldada parameetri kõikjal \u003d 0x1.

Oluline parameeter Teatavad flags. Asub HKLM-süsteemis CurrentControlset \\ W32time \\ config registri sektsioonis. Ta vastutab NTP-serveri öeldu ja võib võtta järgmisi väärtusi:

0x0 (Mitte ajaserver) - server ei kuulu ennast Netlogoni kaudu, kui aja allikat. See võib reageerida NTP-päringutele, kuid naabrid ei suuda seda aja allikana tunnustada;
0x1 (Alati ajaserver) - server deklareerib alati olenemata staatusest;
0x2. (Automaatne ajaserver) - server kuulutab ennast ainult siis, kui ta saab usaldusväärne aeg teisest naabrist (NTP või NT5DS);
0x4. (Alati usaldusväärne ajaserver) - server on alati ise usaldusväärse aja allikana;
0x8. (Automaatne usaldusväärne ajaserver) - domeeni kontroller deklareeritakse automaatselt usaldusväärseks, kui see on metsa juurese domeeni PDC-emulaator. See lipp võimaldab peamises PDC-metsas deklareerida kogu metsa volitatud ajaallikana, isegi kui puudub ühendus kõrgemate NTP-serveritega. Ükski teine \u200b\u200bkontroller või tavaline server (vaikimisi lipu all) 0x2.) Ei saa ennast usaldada usaldusväärse aja allikana, kui ta ei leia enda allikaks.

Väärtus Teatavad flags. Moodustab selle lipu komponentide koguse näiteks:

10 \u003d 2 + 8 - NTP-server deklareerib ennast usaldusväärse aja allikana, tingimusel et see saab aega usaldusväärsest allikast või on PDC juurdomeen. Flag 10 on määratud domeeni liikmetele vaikimisi ja eraldi serveritele.

5 \u003d 1 + 4 - NTP-server deklareerib alati usaldusväärse aja allikana. Näiteks deklareerida tavalise server (mitte domeeni kontroller) usaldusväärse aja allikana, vajate lipu 5.

Noh, me konfigureerida intervalli uuenduste vahel. Tema jaoks juba mainitud eespool SpecialPollinterval,asub HKLM-süsteemis CurrentControlset teenustes \\ W32time \\ timeproviders \\ Nttpclient registri filiaal. See on määratud sekundites ja vaikimisi on selle väärtus 604800, mis on 1 nädal. See on palju, nii et tasub vähendada spetsiaalse väärtuse väärtust mõistliku väärtusega, öelge kuni 1 tund (3600).

Aeg teenuste haldamise käsud W32TIME:

w32TM / Config / Update - Uuenda teenuse konfiguratsiooni.

w32TM / Monitor - teada, kuidas tulevase süsteemi aeg see arvuti See erineb ajast domeeni kontrollerile või teistele arvutitele. Näiteks: W32TM / Monitor / Computers:ime.Nist.gov
W32TM / Resenc - sunnitud sünkroniseerimine koos ajaserveriga.
W32TM / Striptchart- näitab praeguse ja praeguse ja kaugarvutiJa see võib toota tulemuse graafilises vormis. Näiteks W32TM / Strippart / Computer:ime.Nist.Gov / Proovid: 5 / Dataonly käsk toodab 5 võrdlust määratud allikaga ja toodab tulemuse teksti vormi.

w32TM / Config - käsk, mida kasutatakse NTP-teenuse konfigureerimiseks. Sellega saate määrata kasutatud ajaserverite loendi, sünkroniseerimisliik ja palju muud. Näiteks tühistage vaikimisi väärtused ja aja sünkroonimise seadistamine välise allikaga, saate käsku W32TM / Config / Syncfromflags: Käsitsi /ManualPeerlist: ate.nist.gov / Update
W32TM / Query - näitab praeguseid teenuse seadeid. Näiteks näitavad W32TM / Query / Allikas käsk praegusele ajalehele ja W32TM / Query / Configuration kuvab kõik teenuse seaded.
W32TM / Reageerimine - kustutab ajateenuse arvutist
W32TM / Register - registreerib tööaega arvutisse, kogu registri parameetrite haru loob.

Kontaktis

Windowsi ajateenus, hoolimata näilisest lihtsusest, on üks domeeni tavapäraseks toimimiseks vajalikest sihtasutustest Active Directory.. Korralikult konfigureeritud reklaami ajal toimib ajateenus järgmiselt: Kasutajaarvutid saavad täpne aeg lähimast domeeni kontrollerist, millele nad registreerisid. Kõik domeeni kontrollerid omakorda saavad täpne aeg DC-st " PDC emulaator"Ja PDC kontroller sünkroniseerib oma aega mõnede. Üks või mitu NTP-serverit saab teha välise ajaallikana, näiteks aja.Windows.com või Interneti-teenuse pakkuja NTP-server. Samuti tuleb märkida, et domeeni vaikimisi kliendid sünkroniseerivad aega Windowsi ajateenuse (Windowsi aja) abil ja ei kasuta NTP-protokolli kasutamist.

Kui teil tekib olukord, kui klientide ja domeenikontrollerite aeg varieerub, võib-olla teie domeenis on probleeme aja sünkroniseerimisega ja see artikkel on teile kasulik.

Esiteks valige sobiv NTP server, mida võiks kasutada. Avalike NTP-serverite nimekiri on kättesaadav veebisaidil http://ntp.org. Meie näites kasutame NTP-i serverid Pula ru.pool.Ntp.org:

0.Ru.Pool.NTP.org.
1.RU.Pool.NTP.org.
2.RU.Pool.NTP.org.
3.Ru.Pool.NTP.org.

Aja sünkroniseerimise seadistamine domeenis, kasutades grupipoliitikat koosneb kahest etapist:

1) GPO loomine domeeni kontrolleri jaoks, millel on PDC-ga
2) GPO loomine klientidele (valikuline)

NTP-i sünkroniseerimise poliitika seadistamine PDC domeeni kontrolleri kohta

See samm hõlmab domeeni kontrolleri seadistamist PDC emulaatori rolliga välise NTP-serveriga aja sünkroonimiseks. Sest Teoreetiliselt võib PDC emulaatori roll domeenikontrollerite vahel liikuda, peame tegema poliitika, mida kohaldatakse ainult PDC rolli praeguse omaniku suhtes. Selleks juhtimiskonsoolis Grupi poliitikahalduse konsool (GPMC.MSC), looge uus. Selle tegemiseks sektsioonis WMI filtrid. Loo filter ja nimi PDC emulaator ja WMI-päring: valige * Win32_Computtersüsteemist, kus domeenrool \u003d 5

Seejärel looge uus GPO ja määrake see domeeni kontrolleri konteinerile.

Lülita poliitika redigeerimisrežiimi ja kasutage järgmisi poliitikavaldkondi: Arvuti konfiguratsiooni-\u003e Haldusmallid-\u003e System-\u003e Windows Aeg Service-\u003e Aeg pakkujad

Oleme huvitatud kolmest poliitikutest:

Windows NTP-kliendi konfigureerimine: Lubatud (poliitika seaded on kirjeldatud allpool)
Luba Windows NTP-kliendil: Lubatud.
Luba Windows NTP-server: Lubatud.

Poliitika seadetes Windows NTP-kliendi konfigureerimine Määrake järgmised parameetrid:

Nserver.: 0.RU.Pool.NTP.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.RU.Pool.NTP.org, 0x1
Tüüp: NTP.
Crosssitesyncflags.: 2
Resvalgepeerbaccuffminuts.: 15
Lahendage Peer Backsoffmaxtimes: 7
SpecilalPoolinterval: 3600
Eventlogflags.: 0

Nõukogu. Ära unusta kohandada tulemüür Nii et PDC-server pääseb välistele NTP-serveritele NTP kaudu (UDP Port 123) kaudu.

Märge. Pöörake tähelepanu valdkonna süntaksile Nserver.Mitme NTP-serverite määratlemise vorm on: nTSRV1.org, 0x1 nTPPV2.org, 0x1(ruumi eraldaja). Screenshot näitas ekslikke andmeid!

Rakendage eelnevalt loodud filter PDC emulaator sellele poliitikale.

Nõukogu. Leidke serveri nimi PDC-ga, mida saate käsku kasutada: Netdom Query FSMO

See jääb uuendada poliitikute PDC kontroller:
Gpufdate / jõud

Käsitsi käivitage aeg sünkroniseerimine:
W32TM / Resenc.

Kontrollige praeguseid NTP-seadeid:
W32TM / Query / Staatus

Nõukogu. Juhul kui aeg ei ole sünkroniseeritud, taaskäivitage Windowsi ajateenus ja lähtestage praegused seaded:
Net Stop W32time
w32tm.exe / Registreerumine
w32TM.EXE / REGISTREERY
net Start W32T

Aja sünkroniseerimise seadistamine domeenide klientidele

Active Directory, vaikimisi domeeni kliendid sünkroniseerida oma aega domeeni kontrollerid (võimalus NT5DS. - Sünkroonige aeg domeeni hierarhia järgi). Reeglina töötab see skeem ja ei vaja ümberkonfiguratsiooni. Siiski, kui on probleeme domeeni klientidele aja sünkroniseerimisega, saate proovida GPO kasutavate klientide jaoks ettenähtud ajaserveri määramist.

Selleks looge uus GPO ja määrake see arvutitega konteineritele (OU). GPO redaktoris minna osa Arvuti konfiguratsioon -\u003e Haldusmallid -\u003e Süsteem -\u003e Windowsi ajateenus -\u003e Ajapakkujad ja võimaldada poliitikat Windows NTP-kliendi konfigureerimine.

NTP-serverina määrake PDC nimi või IP-aadress, näiteks MSK-DC1.SYPE, 0x9 ja sünkroniseerimisliigiks - NT5DS

Uuenda Grupi poliitika seaded klientidele ja kontrollige, kas kliendid on oma aega PDC-ga edukalt sünkrooninud.

Nõukogu. Seda skeemi kohaldatakse ainult väikeste domeenide suhtes. Suurte jaotatud domeenide jaoks suur kogus DC ja saidid peavad igale saidile luua eraldi poliitika, nii et kliendid sünkroonivad oma aega saidil DC-dega.

NTP-serveri seadistamine Windowsis

Alustades Windows 2000 kõik operatiivsed windowsi süsteemid Lisage ajateenus W32TIME. See teenus on mõeldud aja sünkroonimiseks organisatsioonis. W32Time vastutab kliendi töö eest ja serveri osa töö eest ning sama arvuti saab samaaegselt nii kliendi kui ka NTP-serveriga (võrguaja protokoll).

Vaikimisi on Windowsi ajateenus konfigureeritud järgmiselt:

Windowsi operatsioonisüsteemi paigaldamisel käivitab NTP-kliendi ja sünkroniseeritakse välise ajaallikaga;
Arvuti lisamisel domeeni, sünkroniseerimisliigi muutused. Kõik kliendi arvutid ja tavalised serverid domeeni kasutatakse domeeni kontrolleri aja sünkroonimiseks, mis kontrollib nende autentsust;
Kui tavaline server on domeeni kontrollerile tõstetud, käivitatakse sellele NTP-server, mida kasutatakse kontrollerina PDC emulaatori rolliga ajaallikana;
PDC emulaator, mis asub metsa juurevaldkonnas, on kogu organisatsiooni peamine serveri aeg. Samal ajal sünkroniseeritakse see ka välise ajaallikaga.

NTP-serveri käivitamine

Pange tähele, et Windows Serveri ajateenus (alates 2000. aastast ja 2012. aastast lõpeb) ei ole graafilist liidest ja konfigureerib kas süsteemiregistri otsest redigeerimist. Isiklikult olen ma lähemal teisel viisil, nii et me läheme registrisse.

Seejärel taaskäivitage ajateeninduse meeskond nET STOP W32TIME && Net Start W32time

Pärast NTP-teenuse taaskäivitamist on server juba aktiivne ja võib teenindada kliente. Saate veenduda, et saate kasutada W32TM / Query / Configuration käsk. See käsk kuvab täieliku teenuseparameetrite nimekirja. Kui osa Nserver. Sisaldab stringi Lubatud: 1. See on kõik korras, ajaserver töötab.

Selleks, et NTP-server teenindada kliente, ärge unustage avada UDP-porti 123 tulemüüri sissetuleva ja väljuva liikluse jaoks.

Põhiseaded NTP-server

NTP-server sisse lülitatud, nüüd peate selle konfigureerima. Avage HKLM-süsteemi CurrentControlset-parameetri registri haru \\ W32time \\ parameetrid. Siinkohal oleme kõigepealt huvitatud parameetrist Tüüpmis seab sünkroniseerimise tüübi. See võib võtta järgmisi väärtusi:

Domeeni kuuluva arvuti vaikeväärtus - NT5DS.eraldi arvuti jaoks - NTP.

Ja parameeter Nserver.Mis täpsustab NTP serverid, millega aeg sünkroniseerib aega. Vaikimisi on Microsoft NTP server (Time.Windows.com Olemasolevate aegade serverite loendit saab näidata näiteks.

Iga nime lõpus saate lisada lipu (nt. 0x1) mis määrab sünkroonimise režiimi ajaserveri sünkroniseerimiseks. Lubatud on järgmised väärtused:

Spetsiaalse lipu kasutamisel on vaja peamise intervalli seadistatud väärtust. SpecialPollinterserval. Kui Uneasefallülitus Flag on kehtiv, teatatakse ajateenusest, et seda serverit kasutatakse varundamise ja sünkroniseerimisena sellega viidatakse teistele nimekirja serveridele. Sümmeetrilise aktiivse režiimi kasutavad NTP-serverid vaikimisi ja kliendirežiimi saab kasutada sünkroniseerimisprobleemide korral. Loe lähemalt sünkroniseerimisrežiimide kohta, näete või ei petta ja lihtsalt panna kõikjal 0x1 (Nagu soovitab Microsofti).

Teine oluline parameeter Teatavad flags. Asub HKLM-süsteemis CurrentControlset \\ W32time \\ config registri sektsioonis. Ta vastutab NTP-serveri öeldu ja võib võtta järgmisi väärtusi:

0x0 (Mitte ajaserver) - server ei kuulu ennast Netlogoni kaudu, kui aja allikat. See võib reageerida NTP-päringutele, kuid naabrid ei suuda seda aja allikana tunnustada;
0x1 (Alati ajaserver) - server deklareerib alati olenemata staatusest;
0x2. (Automaatne ajaserver) - server deklareerib ise ainult siis, kui see saab usaldusväärse aja teisest naabrist (NTP või NT5DS);
0x4. (Alati usaldusväärne ajaserver) - server on alati ise usaldusväärse aja allikana;
0x8. (Automaatne usaldusväärne ajaserver) - domeeni kontroller deklareeritakse automaatselt usaldusväärseks, kui see on metsa juurese domeeni PDC-emulaator. See lipp võimaldab peamises PDC-metsas deklareerida kogu metsa volitatud ajaallikana, isegi kui puudub ühendus kõrgemate NTP-serveritega. Ükski teine \u200b\u200bkontroller või tavaline server (vaikimisi lipu all) 0x2.) Ei saa ennast usaldada usaldusväärse aja allikana, kui ta ei leia enda allikaks.

Väärtus Teatavad flags. Moodustab selle lipu komponentide koguse näiteks:

5 \u003d 1 + 4 - NTP-server deklareerib alati usaldusväärse aja allikana. Näiteks deklareerida tavalise server (mitte domeeni kontroller) usaldusväärse aja allikana, vajate lipu 5.

Pärast konfiguratsiooni, peate uuendama teenuse konfiguratsiooni. Te saate selle kasutada W32TM / Config / Update'i käsu abil. Ja mõned käsud ajateenuse konfigureerimiseks, jälgimiseks ja diagnoosimiseks:

w32TM / Monitor - selle valikuga saate teada, kuidas selle arvuti aeg erineb domeeni kontrollerile või teistele arvutitele. Näiteks: w32TM / Monitor / Computers:ime.Nist.gov
w32TM / Resenc - Selle käsuga saate arvutit sundida sünkroonima kasutatava ajaserveriga.
w32TM / Stripchart - näitab praeguse ja kaugarvuti vahel aega erinevust ning see võib tulemuse saada graafilises vormis. Näiteks meeskond w32TM / Strippart / Computer:ime.Nist.Gov / Proovid: 5 / Dataonly Teostab 5 võrdlust määratud allikaga ja toob kaasa tulemuse teksti vormi.

w32TM / CONFIG on NTP-teenuse konfigureerimiseks kasutatav põhiline käsk. Sellega saate määrata kasutatud ajaserverite loendi, sünkroniseerimisliik ja palju muud. Näiteks tühistage vaikimisi väärtused ja seadistage aja sünkroniseerimine välise allikaga, saate käsku W32TM / Config / Config / Syncfromflags: käsitsi /manualPeerlist: ate.nist.gov / Update
w32TM / Query - näitab praeguseid teenuse seadeid. Näiteks näitavad W32TM / Query / Allikas käsk praegusele ajalehele ja W32TM / Query / Configuration kuvab kõik teenuse seaded.

Noh, äärmuslikus kohtuasjas 🙁
w32TM / RECOGISTER - kustutab ajateenistuse arvutist.
w32TM / Register - registreerib arvuti ajateenus. See loob kogu registri parameetrite haru.

Hea päev, külalised ja regulaarsed lugejad. Järk-järgult unustatakse põhitõedest kuni Linuxi põhjalikuma uuringuni. Täna tahan kaaluda nTP-protokolli operatsioon, samuti seadistus aja serverid Linuxis (NTP-server). Nii alustame teooriaga.

NTP-protokoll

Võrguaja protokoll (NTP) - võrguprotokoll Arvuti sisemiste töötundide sünkroonimine muutuva latentsuse abil (lugege kanali laius "/ kvaliteeti).

NTP kasutab selle töö eest uDP protokolli ja port 123.

Protokolli praegune versioon - NTP 4.. NTP.kasutab hierarhilist süsteemi "Ajatasemed" (neid nimetatakse ka neile Stratum). Tase 0 (või Stratum 0) - See on tavaliselt aatomkellad (molekulaarne, kvant), GPS-kellade või raadiosageduste seadmed. Need seadmed ei avaldata tavaliselt ülemaailmse võrgustiku ja need on otseselt seotud tase ajal serverid 1rS-232 protokolli kaudu (illustratsioonide kohta on märgitud kollase noolega). 1. tase. Sünkroonitud suure täpsusega kella tase 0., tavaliselt töötavad serverite allikatena 2. tase. 2. tase. sünkroniseeritud ühe autoga 1. tase, samuti sünkroniseerimine oma taseme serveritega. 3. tase. Töötab sarnaselt teisega. Tavaliselt avaldatakse võrgu serverid teisel ja allpool. NTP-protokoll Toetab kuni 256 taset. Samuti tahan märkida, et taset 1 ja2 ja mõnikord 3 ei ole alati avatud universaalse juurdepääsu jaoks. Mõnikord peate nendega sünkroonima, peate saatma taotluse posti - domeeni administraatoritelt.

Mis on servereid juurdepääsu piiramine? Üleminek igale tasemele suureneb viga veidi esmane server, aga suurendab serverite koguarvu Ning seetõttu,.

NTP serveri loovutamine LAN-is

Miks me vajame NTP-serverit? Näiteks on olemas teenuseid operatsioonisüsteemides, mis võivad sõltuda sünkroniseeritud ajast. Selliste teenuste kõige silmapaistvam näide on Kerberose autentimisprotokoll. Tema töö jaoks on vaja, et arvutites, juurdepääs selle kohta, mis viiakse läbi käesoleva protokolli abil, erines süsteemi aeg mitte rohkem kui 5 minutit. Lisaks hõlbustab kõikide arvutite täpne aeg märkimisväärselt turvalisuse logide analüüsi intsidentide uurimisel kohalik võrk.

Server / kliendi NTP töörežiimid

Kliendi / server.

Seda režiimi kasutatakse kõige sagedamini internetis. Töödiagramm - klassikaline. Klient saadab taotluse, mille jaoks mõnda aega saadab server vastuse. Kliendi setup viiakse läbi serveri direktiivi abil konfiguratsioonifailis, kus DNS-serveri nimi on määratud.

Sümmeetriline aktiivne / passiivne režiim

Seda režiimi kasutatakse, kui aja sünkroniseerimine toimub suure hulga võrdsete masinate vahel. Lisaks sellele, et iga masin sünkroniseeritakse välise allikaga, teostab see ka sünkroniseerimist oma naabritega (peer), rääkides nende kliendi ja aja serverina. Seega, isegi kui auto "kaotab" välise allika, võib see siiski saada oma naabritest täpse aja. Naabrid võivad tegutseda kahes režiimis - aktiivne ja passiivne. Aktiivses režiimis töötamine edastab masin ise oma aega kõikidele NTP.conf-konfiguratsioonifailiosas loetletud naabritele. Kui naabrid ei ole selles osas täpsustatud, arvatakse, et masin töötab passiivse režiimis. Selleks, et ründaja ei suuda kompromisseerida teisi autosid, tutvustaks end aktiivse allikana, on vaja kasutada autentimist.

Ringhäälingu režiim

See režiim on soovitatav kasutada juhtudel, kus väike arv serverid teenindab suur hulk kliendid. Selles režiimis töötamine saadab server perioodiliselt paketid alamvõrgu edastamise aadressi abil. Klient konfigureeritud sünkroonima sel viisil saab ringhäälingu server server ja sünkroniseerib server. Selle režiimi omadus on see aeg tarnitakse samasse alamvõrgu piiresse (piirata ringhäälingupakette). Lisaks on vaja kasutada sissetungijate eest kaitsmiseks autentimist.

Multicast Mode

See režiim on suuresti sarnane eetrisse. Erinevus seisneb selles, et IP-aadresside IP-aadresside multicast aadressi kasutatakse pakettide edastamiseks. Klientide ja serverite jaoks on MULTICAST GROUP-aadress aja sünkroonimiseks määratud. See võimaldab sünkroonida erinevate alamponentide rühmade rühmade sünkroonimist, tingimusel et ruuterid ühendavad oma ruuterid toetavad IGMP protokolli ja on konfigureeritud edastama grupi liiklust.

Mitucast režiim

See režiim on NTP-protokolli neljanda versiooni innovatsioon. See tähendab, et kliendi otsing oma võrgu naabrite hulgas on paljude serverite võrgu naabrite seas, saades igaüks neist proovidest (kasutades krüptograafiat) ja valides selle kolme "parima" salajase serveri andmete põhjal, millega klient täidab kliendi sünkroniseerimine. Üks serveri ebaõnnestumise korral uuendab klient automaatselt oma nimekirja.

Ajaproovide ülekandmiseks kasutage mitmesuguseid kliente ja servereid Mustercast režiimis multicast grupi aadressi (klassi D-klassi võrke). Kliendid ja serverid, kes kasutavad sama aadressi moodustavad ühe ühingu. Ühingute arv määratakse kindlaks kasutatud multicast aadresside arvuga.

Aeg Linuxis

Lühidalt öelge lühidalt, millal see Linuxis eksisteerib ja kuidas seda küsida. Linuxis, nagu teises operatsioonisüsteemis, on 2 korda. Esimene - riistvara Mõnikord kutsus Reaalajas kella., lühendatud ( Rtt) (Nad on - BIOS-kella) on tavaliselt seotud võnkuva kvartsist kristalliga, millel on täpsus kuni mõne sekundi jooksul päevas. Täpsus sõltub erinevatest võnkumiste, näiteks ümbritseva keskkonna temperatuurist. Teine kella on sisemine pehmed mis lähevad pidevalt, sealhulgas süsteemi katkestuste ajal. Neile kuuluvad kõrvalekalded, mis on seotud suure süsteemi koormuse ja katkestamise viivitusega. Süsteem loeb tavaliselt riistvara kella lugemise lugemisel ja seejärel kasutab süsteemi kella.

Operatsioonisüsteemi kuupäev ja kellaaeg Väärtuse põhjal paigaldatud riistvarakell, sama hästi kui ajavööndi seaded. Ajavööndi seaded võetakse failist / etc / localtime. See fail on link (kuid sagedamini - koopia) ühe kataloogi struktuuri faili / Usr / aktsia / Zoneinfo /.

Linuxi riistvara kella saab salvestada aega formaadis UTC.(Analoog GMT) või praegune territoriaalne aeg. Üldine soovitus on see, millist aega paigaldada (?) Järgmine: Kui arvutisse installitud mitu OS-i installitud ja üks neist on Windows, siis peate praeguse aja kasutamiseks kasutama (kuna Windows võtab aega BIOS-i / CMOS-i eest ja kaalub seda kohalikku). Kui kasutatakse ainult UNIXi perekonnasüsteeme, on soovitatav hoida aega BIOS-is UTC-vormingus.

Pärast operatsioonisüsteemi laadimist on operatsioonisüsteemi kella ja BIOS täiesti sõltumatud. Süsteemi tuum üks kord 11 sekundi jooksul sünkroniseerib süsteemi kella riistvaraga.

Mõne aja pärast võib mõne sekundi pärast riistvara ja programmi kellade vahel vahet olla vahet. Mis tundi õigel ajal teha? Ei ole need ega teised, kuni me konfigureerida Aja sünkroniseerimine.

Märge:

Linuxi kernel "ja alati hoiab ja arvutab aega mineviku sekundite arvuna keskööst 1. jaanuar 1970 aasta, Sõltumatus, olete installitud teie kohalikule või maailmale. Konverteerimine kohalikule ajale tehakse päringu protsessi käigus.

Kuna sekundite arv 1. jaanuarist 1970 salvestatakse globaalne aeg märk 32-bitise täisarvuna (see kehtib Linuxi / Inteli süsteemide kohta), teie kella lõpetab töötamise kusagil 2038. aastal. Linuxil pole 2000. aastast probleemi, kuid on 2038. aasta probleem. Õnneks käivitatakse kõik Linuxi-d 64-x-ga tühjendussüsteemid. 64-bitine täisarv sisaldab meie kellat umbes 292271 miljoni aastani.

NTP-serveri Linux

Sissejuhatus

Linuxi operatsioonisüsteemi sünkroniseerimiseks on palju rakendusi. Kõige kuulsamad on XNTPD (NTP-versioon 3), NTPD (NTP-versioon 4), Rongi ja kellade kiirus. Meie näites kasutame NTP-serveri NTPD-d.

NTPD deemon on nii ajaserver kui ka klient, sõltuvalt konfiguratsioonifaili seadetest /etc/ntpd.confist (mõnikord /etc/ntp.conf), deemon saab ja "võtta" aega kehtivatest serverid ja "levitada" teistele võõrustajatele.

Üldine aja sünkroniseerimisskeemkohalikul võrgus järgmiselt: teil peab olema 1 või 2 serverit, millel on juurdepääs ülemaailmsele võrgule, mis saavad internetist aega. Kõik kohalikud võrguarvutid sünkroonivad internetist aja jooksul määratud serveritega.

NTPD paigaldamine.

Tegelikult deemoni paigaldamine See langeb järgmiste pakendite paigaldamiseks: NTP. (Pakett sisaldab demone ise) nTPDate.(Utility käsitsi ajal sünkroniseerimiseks - aegunud), nTP-doc. (Pakendi dokumentatsioon), mõnes jaotuses peate paigaldama sama nTP-utils. (Utilities diagnostika), mõnes nad kuuluvad NTP paketi. Kuidas installida programme Linuxis, ma kirjeldasin. Pärast pakendi paigaldamist konfigureeritakse deemon enamikus jaotustes nii NTP-kliendina (näiteks Debian oli nii). Seega loodi peamised konfiguratsioonifailid automaatselt: /etc/ntp.conf ja /var/lib/ntp/ntp.drift ja deemon käivitati automaatselt.

Enne deemoni loomist välismaailmaga sünkroniseerimiseks soovitaksin teil määrata praegune süsteemi kuupäev väärtus, võimalikult lähedal reaalajas. Seadistamise kuupäev Linuxis Valmistatud meeskond: kuupäev MMDDHHMCCYY.SS,kui mm - kuu, DD - kuupäev, kuu, HH - kellad, mm - minutid, Cccyy - 4 arvud aasta, SS - sekundit. Samal ajal väärtused CCCCY.SS. Mitte tingimata.

Nagu näete, määrab määratud käsk praeguse kuupäeva ja kellaaja 27. detsembril 2010, 20:06:30. Käsk Ilma parameetriteta toodake praegune süsteemi aeg. Sellel meeskonnal on hunnik parameetrid, mida saab inimese kuupäeva leida.

Samuti peate riistvara kella ja ajavööndi korralikult konfigureerima. Nagu eespool mainitud, on ajavöönd konfigureeritud, kopeerides kataloogi nõutava tsooni faili kopeerimisega / Usr / aktsia / Zoneinfo /failile. / etc / localtime:

NTP-server: ~ # CP / USR / Share / Zoneinfo / Europe / Moskva / etc / localtime

Riistvara ma panin UTC-s aega:

# Kass / etc / sysconfig / kella | GREP UTC # UTC \u003d TRUE näitab, et kella on seatud UTC-sse; UTC \u003d TRUE NTP2-SERVER: ~ # Kass / etc / vaikimisi / RCS | GREP UTC UTC \u003d JAH

Esimeses näites on täpsustatud konfiguratsioonifaili, mis määratleb UTC kasutamist RH-le, teine \u200b\u200b- deb-jaotuste jaoks.

Lisaks installimise seadete kasutamise ajal UTC formaadis, peate täpsustama Riistvara. (Enamikul juhtudel ei ole see vajalik, sest määratud süsteemi aeg on paratamatult sünkroniseeritud riistvaraga, tuumajõududega). Aga siiski, kui teil on soov seda teha ... Meeskond hwlock Loeb ja paigaldab riistvara sellele üle kantud parameetrite põhjal. Saadaolevad valikud on kirjeldatud meeskonna manuaalis. Siin on mõned näited hwlocki kasutamise kohta:

NTP-server # hwclock # lugeda aega NTP-server # Hwclock --Systohc - UTC kella kella kellad millega kella kella kellad võrdne # UTC põhineb NTP-server # hwclock --Systohc # millega kellaaega # võrdne kohaliku Põhineb süsteemi aega NTP-server # Hwclock Seab --Date "22. märts 2002 13:17" # Määrab riistvara kellaaega # võrdne määratud rea-

Teine võimalus riistvara kellaaja muutmiseks on süsteemi laadimisel juurdepääs BIOSile. Kuna OS-i aeg, olenemata riistvaratundidest, võetakse BIOS-i muudatusi järgmisel koormusel arvesse.

Nüüd, kui kõik on koostatud ja paigaldatud, jätkake ehitusplatsil.

NTPD deemoni juhtimine

Kontroll NTPD deemon Erinevad deemonid ei erine teistest deemonitest. Käivitage või taaskäivitage NTPD Service:

# / etc / init.d / NTP Start # / etc / init.d / NTP taaskäivitamine

Peatus:

# / etc / init.d / ntp stop

# / Bin / tappa `kass / var / joosta / ntpd.pid`

Demonil on järgmised käivitamise parameetrid:

P - PID-fail,
-G - võimaldada üleminekut suurel ajal hüppab
-C - config faili
-Q - sunnitud käsitsi sünkroniseerimine

NTPD-serveri seadistamine

Kõigepealt soovitate muuta deemoni käivitamise parameetrite muutmist järgmises konfiguratsioonifailis:

NTP-server: ~ # kass / etc / vaikimisi / ntp ntpd_opts \u003d "- g"

# Kass / etc / sysconfig / ntpd # parameetrid NTP deemonile. Lisateabe saamiseks vaadake NTPD (8). .... # määrab täiendavaid parameetreid NTPD jaoks. Ntpd_args \u003d "- g"

See parameeter võimaldab teil kella sünkroonida, isegi kui moodustati väga suur aja erinevus.

Niisiis, nagu ma ütlesin, konfiguratsiooniteave deemon NTPD.lies faili /etc/ntp.conf. Faili süntaks on standardne, nagu paljudes teistes konfiguratsioonides: tühjad stringid ja read, mis algavad "#" sümboli ignoreerimisest. Siin on lihtne näide:

NTP-server: ~ # kass /etc/ntp.conf server ntplocal.example.com Eelista server Timeserver.example.org server NTP2A.example.net Driftfile /var/db/nttp.drift

Parameeter servermäärab, milliseid serverid kasutatakse sünkroonimiseks, üks igas reas. Kui server on argumendiga määratud eelistavad., nagu ntplocal.example.com.See server on eelistatud ülejäänud. Eelistatud serveri vastus visatakse ära, kui see erineb oluliselt teiste serverite vastustest, vastasel juhul kasutatakse seda iseseisvalt teistele vastustele. Argument eelistavad.tavaliselt kasutatakse NTP-i serverite puhul, mis on teada, et need on väga täpsed, need, mida kasutavad spetsiaalsed täpsed seadmed.

Parameeter driftfilemäärab faili, mida kasutatakse süsteemi kella sageduse nihke salvestamiseks. Niipalju kui mina mõistsin, salvestab see fail pidevalt väärtuse, mis on moodustatud mineviku korrigeerimise analüüsi põhjal ja kui välised ajaallikad ei ole kättesaamatud, esineb aja korrigeerimine faililt väärtuse tõttu triiv. See ei tohiks muuta muid protsesse. Ja enne näitamist see fail Konfiguratsioonis tuleb fail luua.

Vaikimisi on NTP server saadaval kõigile hosts internetis. Parameeter piirata.faili /etc/ntp.conf. Võimaldab kontrollida, millised masinad teie serverisse pääsevad. Kui sa tahad Keela kõik masinad NTP-serverigalisama järgmine rida failile. /etc/ntp.conf.:

piirata vaikimisi ignoreerida.

Kui sa tahad lubamasünkroonige oma kella ainult serveriga masinad võrgus, aga keeldneid kohanda serverit. Või olla võrdsed osalejad aja sünkroniseerimisel, lisage selle asemel kindlaks joon:

piirake 192.168.1.0 Mask 255.255.255.0 NOMODIFY NOMODIFY

kui 192.168.1.0 on teie võrgu IP-aadress ja 255.255.255.0 oma võrgumask. /etc/ntp.conf. Võib sisaldada mitmeid piirata direktiive.

Demoni õigete ja täpsema töö jaoks on soovitav valida taseme server - stratum 2-st (saate kindlasti Stratum1, kuid teil on vaja tappa aega sellise serveri otsimiseks) ja valitud stratum 2-st mille minimaalne "kaugus". Tavaliselt saab teie teenusepakkuja pakkuda selliseid serverid. Valitud serverite arv on eelistatavalt rohkem kui 2 3, seda enam parem, kuid mõistlike piiride piires. Kui olete liiga laisk, et valida top serveridSaate siit võtta avatud teise taseme serverite nimekirja: http://support.ntp.org/bin/view/Servers/stratumtwotervers.

Valige viite NTP-serverite loend

Me läheme määratletud aadress (http://support.ntp.org/bin/View/Servers/stratumtwotemesrverid) ja valige esialgsete serverite loend. Sellest loendist valige serverid, mis vastavad meie nõuetele käsu väljundianalüüsi abil nTPDate.. Käsu täitmisel rakendatakse järgmist süntaksi:

ntpdate servers_tenere_belates

Selleks, et meie taotlus teha süsteemi muudatusi, peate kasutama -q parameeter, mis näitab taotluse kasutamist ilma muudatusteta. Samuti on võimalik kasutada -Klahvit kasutada, mis näitab, et käsk teostatakse silumisrežiimis, lisateabe toodanguga ilma tegelike muutusteta (millal see võti Tuletatud on kamp teine \u200b\u200bprügi :), mida me sel hetkel ei ole vajalik). Ülejäänud parameetreid saab vaadelda inimese 8 Ntpdate'is. Alates nimetatud link, ma valisin kõik Open Access serverid asuvad Venemaa (RU) + üks, mis tingimusel et teenuste ja käivitas meeskond, selgus umbes järgmine:

NTP-server: ~ # ntpdate -q ntp2.ntp-servers.net ntp1.vniiftri.ru ntp2.vniiftri.ru ntp4.vniiftri.ru ntp0.ntp-servers.net ntp1.ntp-servers.net NTP3.VNIIFTRI.ru NTP.Corbina.net server 88.147.255.85, Stratum 1, nihutavad 0,006494, viivitus 0,09918 Server 62.117.76.142, Stratum 1, nihutab 0,002552, viivitus 0.06920 Server 62.1117.76.141, Stratum 1, Noorus 0.003147, Viivitus 0,06918 Server 62.117.76.140, Stratum 1, nihe 0,004823, viivitus 0.07350 Server 88.147.254.228, Stratum 1, OFFSET -0.002355, viivitus 0.12030 Server 88.147.254.229, Stratum 1, Off -0.000922, viivitus 0.10577 Server 62.117.76.138, Stratum 1, nihutamine 0,005331, 0.07401 Server Viivitus 195,14 .40.141, Stratum 2, nihutavad 0,002846, Viivitus 0.07188 13. jaanuar 19:14:09 NTPDate: Reguleerige ajaserver 62.117.76.141 nihutamine 0,003147 sek

Näites andsid meie serverid edukalt välja Stratum1 taseme, mis ei saa lihtsalt rõõmustada (välja arvatud teenuseosutaja server), nihutamine on selle serveriga ajas lahknevus sekundites, viivitus on sekundites sünkroniseerimisperiood. Tavaliselt B. Umbessuuremat täpsust saadakse serverite abil, millel on võrgus madal paketi ülekande viivitus. Selle tuvastamiseks on võimalik kasutada. Seega valides kõigepealt need, kelle reaktsiooniaeg on väiksem ja need, mis on vähem kui humala. Ma ei kaota aega, ma kasutan kõiki määratud servereid ja annavad need konfiguratsioonifaili. Kõigi ülaltoodute kogusumma, kirjeldan ma teie saadud faili /etc/ntp.conf.:

NTP-server: ~ # kass /etc/ntp.conf # kohtvõrgu server (kommenteeris, ei kasutata - online üks server) #serve 192.168.0.2 #Server 192.168.0.5 # Server NTP2.NTP-servers.net Server NTP1.VNIIFTRI .ru server NTP2.VnifTri.ru server NTP4.Vniiftri.ru server NTP0.NTP-Servers.Net server NTP1.NTP-Servers.net server NTP3.Vniiftri.ru server NTP3.Vniiftri.ru server NTP.Corbina.net # Driftfile Server Files /var/lib/ntp/ntp.drift logifaili / var / log / ntpstats # piiramine juurdepääs serverile: # vaikimisi ma eirata kõiki piirata maksejõuetuse eirata # Lockless ilma parameetrid - see tähendab kõik on lubatud. Parameetrid lähevad ainult keelde. Piirake 127.0.0.1 # Järgmine, serverid, millega me sünkroniseeritud kohalikus võrgus on kirjeldatud. # Lubame neid kõiki välja arvatud märgiste ja päringuid meile Piira 192.168.0.2 Noquery notrap Piira 192.168.0.5 Noquery notrap # LAN võimaldavad ka kõik, välja arvatud piirata, püüniste ja modifikatsioonid 192.168.0.1 mask 255.255.25.0 nomodify notrap Nopeer # Luba väline aeg allikatest Access : piirata ntp2.ntp-servers.net piirata, NTP1.VNIIFTRI.ru piirata, NTP2.VNIIFTRI.ru piirata, NTP4.VNIIFTRI.ru piirata, NTP0.NTP-SERVERS.NET piira NTP1.NTP-Servers.net piira NTP3.VNIIFTRI.ru piirata ntp.corbina.net # ja see hack, mis seab usaldusväärsusega server (Strata) enda võrdne 3 # lühikokkuvõte, kõrgema taseme, mida väiksem number. 0 on aatomkell, # 1 sünkroniseeritakse nendega, 2 - esimese ja nii edasi. Server 127.127.1.1 Fudge 127.127.1.1 Stratum 3

Sest rohkem põhjalikke teadmisi ja serveri konfiguratsioonist, ma kirjeldada mõned ntpd konfiguratsiooni seaded, et ei maininud ::

luba / keelata auth / Monitor / PLL / PPS / Statistika - lülitage välja lülitamine välja töörežiim:
- auth- volitamata naabritega suhelda ainult autentimisrežiimis;
- kuvar- Luba päringu jälgimine;
- pll- lubada kohaliku kella sageduse seadistamist NTP-s;
- statistika.- võimaldada statistika kogumist;
statistikaloopstats.- Iga kohaliku kella muutmisega kirjutab failile rea loopstats.;
statistikacarostats.- Iga side naaber on kirjutatud failile salvestatud logile carostats.;
statistikaclockstats.- Iga sõnum juhi juhi kohaliku kella on kirjutatud logi salvestatud faili clockstats.;
statistiline(Catalo catalogratal_name_sesecs) - täpsustab kataloogi nime, kus serveri statistikaga saab faile;
fileGen. - Määrab faili genereerimise algoritmi, mis koosneb:
- eesliide- alaline osa faili nimi on määratud kas koostamise või spetsiaalse konfiguratsiooni käsud;
- faili nimi - lisatakse eesliidetele ilma kaldkriiitideta, kaks punkti on keelatud, seda saab faili võtme abil muuta;
- sufiks- genereeritud sõltuvalt tütsenamest;
piirata.numbriline aadress- Määrab juurdepääsupiirang: paketid sorteeritakse ja maskid, esialgne aadress võetakse ja võrreldakse järjekindlalt, võetakse lipp viimasest edukast võrdlusest. juurdepääs:
- Ükski lipud - pääseda juurdepääs;
- ignoreerida.- ignoreerige kõiki pakette;
- noquery.- ignoreerida NTP 6 ja 7 paketti (taotlus ja riigi muutmine);
- nomodifitseerima- ignoreerida NTP 6 ja 7 paketti (riigi muutmine);
- piiratud- teenida selle võrgustiku ainult piiratud arvu kliente;
- nopeer.- korraldada vastuvõtva, kuid mitte sünkroonida sellega;
kliendile.piiri.- lipu jaoks piiratudmäärab maksimaalse arvu klientide teenindatud (vaikimisi 3);

Kokku saime NTPD-serveritMis on sünkroniseeritud välismaailmaga, võimaldab teil saada aega klientidele kohaliku võrgu 192.168.0.1 klientidele 255.255.255.0 maskiga ning võib sünkroonida kohaliku serveriga (kui teil on mitu rida). Me oleme jätnud kliente kohandada ja õppida, kuidas meie serverit vaadata.

NTPD serveri ja sünkroniseerimise jälgimine

Kui kõik olete konfigureeritud. NTP hoiab aega sünkroniseeritud olekus. Seda protsessi saab täheldada NTP-päringu käsu abil (NTPQ):

NTP-server: ~ # ntpq -P Kaug Refid St T KUI KÜSITLUS REACH VIIVITUSEST OFFSET JITTER \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d -N3. TIME1.D6.HSD. 1 U 34 64 177 70.162 2.375 8.618 + NTP1.Vniiftri.r .pps. 1 U 33 64 177 43.479 -0,020 10.198 * NTP2.vniftrif.r .pp. 1 U 6 64 177 43,616 -0,192 0,688 + NTP4.Vniiftri.R .pps. 1 U 4 64 177 43,623 0,440 0,546 -N1.MTION1.d6.HSD. 1 U 53 64 77 92,865 -11,358 38,346 -NS1.hsdn.org .gps. 1 U 40 64 177 78,057 -3,292 35,083-ntp3.vniiftri.R.ps. 1 U 44 64 77 47,667 2,292 2,611 -Scylla-L0.msk.c 192.43.244.18 2 U 62 64 77 41,565 -1,564 28,914

See käsk koos -p-klahviga kuvatakse aja allikate loendi oma omadustega (teised käsuparameetrid mees NTPQ). Iga veeru väärtus järgmiselt:

Kaug-NTP-serveri nimi. Kui täpsustate -N-klahvi, saate nimede asemel server IP-aadresse.

Näitab, kus iga server saab hetkel aega. See võib olla peremeesnimi või midagi sellist .GPS., Näitab allikat Ülemaailmne süsteem Positsioneerimine (globaalne postitamissüsteem).

Stratum See number on 1 kuni 16, mis näitab serveri täpsust. Seade tähendab maksimaalset täpsust, 16-serverit pole saadaval. Teie tase on võrdne kõige olulisema täpse serveriga ja 1 tasemega.

Küsitluste vaheline intervall (sekundites). Väärtust muudetakse küsitluste minimaalse ja maksimaalse sageduse vahel. Alguses on intervall väike nii, et sünkroniseerimine tekkis kiiresti. Pärast kella sünkroniseerimist hakkab intervall suurendama liikumise vähendamist ja koormuse populaarse ajaserverite koormuse vähendamiseks.

Kaheksa bitti oktaalse esindatuse, mis peegeldab viimase kaheksa tulemusi serveriga ühenduse loomiseks. Bit on seadistatud, kui kaugserver vastas.

Aja (sekundites) on vaja vastuse saamiseks taotlusele "Mis kell?".

Kõige olulisem väli. Erinevus kohaliku ja kaugserverid. Sünkroonimise käigus tuleks seda väärtust vähendada (lähenemine nullile), mis näitab, et kohaliku masina kella suureneb täpsem.

Dispersioon (Jitter) on statistiliste kõrvalekallete mõõtmise mõõt (nihkeväli) mitme eduka parameetrite taotluse-vastuse jaoks. Eelistatav on väiksem dispersiooniväärtus, kuna see võimaldab aega täpsemalt sünkroonida.

Märgi tähendus enne serverite nimesid

x on ristumiskoha algoritmi võltsitud allikas;
. - välja arvatud kandidaatide loetelus pika vahemaa tõttu;
- - eemaldatakse kandidaatide algoritmi klastrite nimekirjast;
+ - siseneb kandidaatide lõpliku nimekirja;
# - valitud sünkroonimiseks, kuid on 6 parimat kandidaati;
* - Sünkroniseerimiseks valitud;
O - valitud sünkroniseerimiseks, kuid kasutatud PPS-i jaoks;
Ruumi - liiga suur tase, tsükkel või selgesõnaline viga;

NTPD teenus"Smart" ja suunab aja allikad liiga koputades mõistliku ulatuse. Mõne aja pärast, pärast käivitamist ntpd, siis valige kõige usaldusväärsetest allikatest ja sünkroonitakse nendega. Meie esitatud viite NTP-serverite loendit vaadatakse regulaarselt läbi.

Kontrollige sünkroniseerimisfunktsiooni kohapeal serveris on võimalik käsk:

NTP-server: ~ # Ntpdate -q Localhost Server 127.0.0.1, Stratum 2, Offset -0.000053, viivitus 0.02573 Server :: 1, Stratum 2, Offset -0.000048, Viivitus 0.02571 14. jaanuar 14:49:57 NTPDATE: Reguleeri ajaserver :: 1 Offset -0.000048 sek

Käsu väljundist on võimalik näha, et meie server on juba muutunud stratumi tasemeni 2. saavutamiseks selle tasemeSee on mõnda aega vajalik. Võib-olla on esimese 10-15 minuti jooksul serveri tase suurem.

NTP-serveri õigel tööl saate ka NTPD deemoni palke hinnata:

NTP-server: ~ # Cat / var / log / Ntpstats / NTP 13 jaanuar 20:13:16 ntpd: kuula Interface # 5 eth0, Fe80 :: A00: 27FF: FEC1: 8059 # 123 Lubatud 13. jaanuar 20:13: 16 ntpd: kuula Interface # 6 eth0, 192.168.0.8 # 123 Lubatud 14. jaanuar 14:31:00 ntpd: sünkroonitavate 62.117.76.142, Stratum 1 14. jaanuar 14:31:10 ntpd: aeg Reset 10,291312 S14 14. jaanuar : 31: 10 NTPD: kerneli aeg sünkroonimisoleku muutus 0001 14. jaanuar 14:34:31 NTPD: sünkroniseeritud 88.147.255.85, Stratum 1 14. jaanuar 14:36:04 NTPD: sünkroniseeritud kuni 62.117.76.141, Stratum 1 14. jaanuar 15: 04:36 NTPD: sünkroonitud kuni 62.11.76.142, Stratum 1 14. jaanuar 15:10:58 NTPD: sünkroonitud kuni 62.11.76.140, Stratum 1 14 jaanuar 15:17:54 NTPD: No Servers Geleble 14. jaanuar 15:31:49 NTPd : sünkroonitavate 62.117.76.140, Stratum 1 14. jaanuar 15:32:14 ntpd: TIME RESET 13,139105 S

Netfilteri (Iptables) seadistamine NTP-serveri jaoks

Serveri töö seadistamine oleks tore kaitsta. Me teame, et server töötab 123 / UDP-porti, samas kui taotlused saadetakse ka Port 123 / UDP-st. Pärast artikli lugemist ja praktilist tuttavat lugemist saate luua võrguliikluse filtreerimise reegleid:

NTP ~ # Iptables-Salvesta # Tüüpilised Iptables DNS * Filtri reeglid: sisendlapp: Edasilapp: väljundplokk -a sisend -I sisend -ji lo -j aktsepteerimise -a sisend -M-i conntrack --ctate seotud, asutatud -j aktsepteerimine -a sisend -m ConnTrack - CCTSTATE KEHTETUID -J DROP # Laske kohtvõrgus ligipääsu NTP server: -a sisend -s 192.168.1.1/24 -D 192.168.1.1/32 -P UDP -M UDP --DPORT 123 -M Conntrack - - CTState NEW -J Nõus -a väljund -o Lo -J Nõus -a väljund -p ICMP -J Nõus -a väljund -p UDP-M UDP --Sport 32768: 61000 -J Nõus -a väljund -p TCP -M TCP --Sport 32768: 61000 -J Nõus -A väljund -m ConnTrack --ctate Related Asutatud -J Nõus # Luba juurdepääs NTP server väljuvate taotluste -a väljund -p UDP-M UDP --Sport 123 --DPORT 123 -M-ConnTrack --ctState New -J aktsepteerimine

See on tüüpiline näide! Implables'i reeglite seadmiseks oma ülesannete ja võrgu konfiguratsiooni jaoks peate mõistma Netfilteri töö põhimõtet Linuxis, lugedes ülaltoodud artikleid.

Kliendi masinate seadistamine

Unix-masinate aja sünkroonimiseks Kohalik võrk on soovitatav kasutada ntpdate utiliit, käivitades seda mitu korda päevas, näiteks iga tunni tagant. Selleks peate lisama järgmise rea:

0 * * * * / usr / sbin / ntpdate -s -s

Key -s saadab käsu väljundi. Kui kliendi masinatel on paar tarbetuid megabaiti RAM-i, saate käivitada NTPD deemonit, nagu serveris järgmise konfiguriga:

Server Piirata vaikimisi ignoreerida piirata Noquery Notrap Piirake 127.0.0.1.1 NOMODIFY NOMODIFY

Ma arvan, et selles konfiguratsioonis on kõik selge: aja allikas (server) on kohalik NTPD server, et kõik keelata ainult kohalikul NTPD serveril.

Samuti peate kliendid õigesti täpsustama, millises vormis aja salvestamiseks ja õige ajavööndi valimiseks.

Windowsi kliendi NTP konfigureerimiseksKonsoolis tuleb täita järgmised käsud:

C:\u003e Net Time / SeatsNTP: Käsk lõpetati edukalt. C:\u003e Net Stop W32Time Windowsi ajateenus peatub. Windowsi ajateenus peatati edukalt. C:\u003e Net Start W32time Windowsi ajateenus algab. Windowsi ajateenus käivitati edukalt. C: \\\u003e Net Time / QuerysNTP praegune SNTP väärtus on: Käsk lõpetati edukalt.

Järeldus

Noh, see tundub olevat kõik! Artikli maht osutus tohutuks ... Ma isegi ei oodanud. Toogem väike tulemus kirjeldatud. Käesolevas artiklis loodame, et see muutus selgeks, mis on ja kuidas NTP-server töötab. Õppinud kohandada serverit ja kliente UNIXi ja Windowsi masinad. Mõne sõnaga on kohaliku võrgu aja sünkroniseerimisstruktuur järgmine: kohalikus võrgus sünkroniseerivad 1.2 või täpsemat ajaserveri, nad sünkroniseerivad oma aega ülemaailmse võrgu väliste allikatega. Server ja kliendi seaded põhinevad failidel /etc/ntp.confil (NTPD deemoni põhikonfigureerimisfail), / etc / localtime (praeguse ajavööndi fail), samuti / etc / sysconfig / NTP (RH) ja / ETC / vaikimisi / NTP (deb) - deemon alustada parameetrite faile. Kohaliku NTP-serveri jaoks konfiguratsioonifailis on välised serverid aja jooksul määratud aega ja nende serverite juurdepääsu võimaldamiseks on lubatud parameetri piiramine, samuti kohalike võrguarvutite puhul, et klient näitab aja allikat - kohalikud serverid Kohalikul võrgul, samuti juurdepääs kõigile, välja arvatud aja allikas kohalikus võrgus. Kõik. Tänan teid kõiki teie tähelepanu eest! Ma olen rõõmus kommentaaridega!

(Artikli arhiiv) kirjeldab, kuidas ühendada GPS-i serverisse oma täpse aja serveri Stratum1 korraldamiseks.
Kirjeldatud Kuidas konfigureerida Luba NTP-serveris.

Hea päev Lugupeetud lugejad ja külaliste blogi sait, sest paljud inimesed räägivad sellest ajast, mil see on kiire või aeglaselt töötav ja igaüks mõistab, et see on hindamatu ja oluline. Nii infrastruktuuri aktiivse kataloogi, see on üks oluliste tegurite, domeeni nõuetekohane toimimine. Domeenis usaldasid igaüks üksteist ja kord sisse logitud ja olete saanud kõik Kerberosi piletid, kõnnib kasutaja kõikjal, vaid piiratud õigustega. Nii et kui teil ei ole domeeni kontrollerile tööjaama täpset aega, võite eeldada, et alustate tõsiseid probleeme, mida me räägime ja kaalume, kuidas neid kõrvaldada seaded NTP-server Windowsis.

Aja sünkroniseerimine Active Directory

Aktiivses kataloogis osalevate arvutite hulgas töötab järgmine aja sünkroniseerimisskeem.

Root domeeni kontroller reklaami metsas, kuhu PDC emulaatori FSMO roll kuulub (nimetatakse seda root PDC-d), on selle domeeni kõigi teiste kontrollerite aja allikas.
Tütarettevõtete kontrollerid sünkroniseerivad aja reklaamide domeenikontrollerite topoloogiaga.
Õigete liikmete domeeni (server ja tööjaamad) sünkroniseerivad nende aega taskukohase domeeni kontrolleriga, jälgides reklaami topoloogiat.

Juur PDC võib sünkroonida oma aega nagu välise allika ja iseendaga, viimane vaikimisi konfiguratsioon on absurdne, mis perioodiliselt vihjeid vigade süsteemi logi.

Root-PDC klientide sünkroniseerimist võib läbi viia nii sisemiste tunnite kui ka välise allikana. Esimesel juhul deklareerib root PDC-aja server ise "usaldusväärne" (usaldusväärne).

Järgmine, ma annan optimaalse konfiguratsiooni root PDC ajaserveri minu seisukohast, kus root PDC ise sünkroniseerib perioodiliselt oma aega usaldusväärsest allikast internetis ja kliendid, kes pöörduvad selle sisemise kellaga sünkroniseeritud .

Me siseneme netdom Päringu FSMO.Minu näites kuulub PDC ja NTP-serveri roll DC7 kontrollerile

NTP-serveri konfiguratsioon root PDC-s

Ajaserveri konfigureerimine Windowsis (NTP-serveris) saab läbi viia käsurea utiliidi abil. w32TMja registri kaudu. Võimaluse korral annan ma mõlemad võimaluse. Aga alguses vaadake oma arvutis olevaid seadeid, seda teeb meeskond:

w32TM / Query / Konfiguratsioon

Eventlogflags: 2 (kohalikul)
Arunaflags: 10 (kohalik)
TIMEJUMBAUDITOFFSET: 28800 (kohalik)
MINPollinterval: 6 (kohalik)
MaxPollinterval: 10 (kohalik)
Maxnegphasecorection: 172800 (kohalikul)
Maxposphasecrection: 172800 (kohalikul)
MaxeLowedphaseoffSet: 300 (kohalik)

FrequencyCorrectrate: 4 (kohalik)
VollowadjustFatctor: 5 (kohalikul)
Suurefasoffset: 50000000 (kohalikul)
Spikewatchperiod: 900 (kohalikul)
LocclockDisPersion: 10 (kohalik)
HoldPerIod: 5 (kohalik)
Phasecorrectrate: 7 (kohalikul)
UpmenteRervAL: 100 (lokaalselt)

NTTPCLIENT (kohalik)

Lubatud: 1 (kohalik)
InputProvider: 1 (kohalik)
CrosssiteSyncflags: 2 (kohalikul)

ResvalgePeperBaccaccuffminuts: 15 (kohalik)
ResvalgePeerbackOffmaxtimes: 7 (kohalikul)
Kokkulihitamise flags: 2147483648 (kohalik)
Eventlogflags: 1 (kohalik)
LargeSampleskew: 3 (kohalik)
SpecialPollinterval: 3600 (kohalik)
Tüüp: NT5DS (kohalik)

NTSERVER (lokaalselt)
Dllname: C: Windows System32 w32Time.dll (kohalik)
Lubatud: 1 (kohalik)
InputProvider: 0 (kohalikul)
AllowntonStandModecombinatsioonid: 1 (kohalik)

Vmictimeprovider (kohalikul)
Dllname: C: Windows System32 vmictimeprovider.dll (kohalik)
Lubatud: 1 (kohalik)
InputProvider: 1 (kohalik)

Sisemise kella sünkroonimise võimaldamine välise allikaga

NTP-serveri lubamine

Vaikimisi NTP-server on lubatud kõigil domeenikontrolleritel, kuid saate selle auaste serveritel lubada.

Välisteallikate loendi seadmine sünkroniseerimiseks

Lõpus 0 × 8 lipp tähendab, et sünkroniseerimine peaks toimuma NTP kliendi režiimis selle serveri pakutud ajaintervallide kaudu. Sünkroonimisintervalli seadistamiseks peate kasutama 0 × 1 lippu.

Sünkroonimisintervalli seadistamine välise allikaga

Aeg sekundites sünkroniseerimise allikauuringute vahel, vaikimisi 900c \u003d 15min. See toimib ainult 0 × 1 lipu all olevate allikate puhul.

"SpecialPollinterval" \u003d DWORD: 00000384

Minimaalse positiivse ja negatiivse korrigeerimise seadmine

Aja maksimaalne positiivne ja negatiivne korrigeerimine (sisemise kella ja sünkroniseerimisallika vahe) sekundites, kui sünkroniseerimine on ületatud, ei toimu. Soovitan 0xfffffffffffffffffffffFFFFFFFF-i, kus korrigeerimist saab alati läbi viia.

"MAXPOSPHASPECRECORE" \u003d DWORD: FFFFFFFFFFF
"Maxnegphasecorection" \u003d DWORD: fffffffff

Kõik vajalikud üks rida

w32TM.EXE / CONFIG /MANALPEERLIST_" toime.Nist.gov.gov.0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 bassein.ntp.org, 0x8 "/ Syncfromflags: käsitsi / usaldusväärne : Jah / Update

Kasulikud võistkonnad

Konfiguratsioonile tehtud muudatuste rakendamine
W32TM / Config / Update
Sunnitud sünkroniseerimine allikast
W32TM / Reasicover
Domeeni kontrolleri sünkroniseerimise oleku kuvamine domeenis
W32TM / monitor.
Näita praeguseid sünkroniseerimise allikaid ja nende olekut
W32TM / Query / eakaaslased

NTP-serveri ja kliendi grupipoliitika seadistamine

Kui teil on domeeni active Directory domeeni, on rumal mitte kasutada grupipoliitikat, serverite ja tööjaamade massikonfigureerimise jaoks, näitan, kuidas oma NTP-serverit Windows ja kliendis konfigureerida. Avage tööriista "Grupi poliitika redaktori toimetaja". Enne meie NTP-serveri konfigureerimist Windowsis peame looma WMI-filtri, mis rakendab poliitikat ainult PDC-viisardi serverile.

Me sisestame päringu nime, nimeruumis on väärtus "root cimv2" ja taotlus "Vali * Win32_Computtersüsteemist, kus domeenrool \u003d 5". Võta see endale.

Siis loote poliitika domeeni kontrolleri konteinerile.

Poliitika allosas rakendate WMI-filter loodud.

Mine filiaal: Arvuti konfiguratsioon\u003e Poliitika\u003e Haldusmallid\u003e Süsteem\u003e Windowsi ajateenus\u003e Time tarnijad.

Siin avatate poliitika "NTP Client Windowsi" poliitika. Määra parameetrid

NTSERVER: 0.RU.POOL.NTP.OORG.0X1, 1.RU.POOL.NTP.OL.0X1, 2.RU.POOL.NTP.ORG.0X1, 3.RU.POOL.NTP.OORG.0X1
Tüüp: NTP.
CrosssiteSyncflags: 2. Kaks vahendit, kui see parameeter on 2 (kõik), saate kasutada mis tahes sünkroniseerimisosalejat. Seda väärtust ignoreeritakse, kui NT5D ei ole määratud. Vaikeväärtus: 2 (kümnendkoha) (0x02 (kuueteistkümnend))
ResvalgepteerBackabackOffMinutes: 15. See väärtus väljendatuna minutites, määratleb W32Ti teenuse ootusintervalli enne DNS-i nimetuse loata jätmise korral. Vaikeväärtus: 15 minutit
Peer BacksoffMaxtimes: 7. See väärtus määrab kindlaks arvu katsete arv lahendada DNS nimesid W32Time Service enne taaskäivitamise avastamise protsessi. DNS-i nime iga ebaõnnestunud resolutsiooniga ootusintervall enne järgmise katse kahekordistumist. Vaikimisi väärtus: seitse katset.
SpecilalPoolintervAL: 3600. NTP-kliendi parameetri väärtus, väljendatuna sekundites, määrab konfigureeritud käsitsi aja valimise sageduse, mis kasutab spetsiaalset intervalli intervalliga. Kui NTPCERVER parameeter on seatud spetsiaalsele lipule, kasutab klient spetsiaalse väärtuse väärtust MINPollinterval ja MaxpollintervAL väärtuste asemel, et määrata ajaallikauuringu sageduse. Vaikimisi väärtus: 3600 sekundit (1 tund).
Eventlogflags: 0.