Server default NTP. Menginstal NTP di Ubuntu

Tentang Mengkonfigurasi dan Mengelola Server NTP di Windows Server

Semua jendela dimulai dengan Windows 2000 punya waktu W32TIME.. Layanan ini dirancang untuk menyinkronkan waktu sistem dalam batas-batas organisasi. Layanan W32Time bertanggung jawab atas pekerjaan dan klien dan server server dari layanan waktu, sementara komputer yang sama dapat secara bersamaan baik klien dan server NTP (protokol waktu jaringan).

Secara default, layanan waktu di Windows dikonfigurasi sebagai berikut:

Saat dipasang sistem operasi Windows meluncurkan klien NTP dan disinkronkan dengan sumber waktu eksternal;
Saat menambahkan komputer ke domain, jenis sinkronisasi berubah. Semua komputer klien dan server biasa di domain digunakan untuk menyinkronkan waktu pengontrol domain yang memeriksa keaslian mereka;
Ketika server biasa dinaikkan ke pengontrol domain, server NTP diluncurkan di atasnya, yang digunakan sebagai pengontrol dengan peran emulator PDC sebagai sumber waktu;
Emulator PDC, yang terletak di domain root dari hutan, adalah waktu server utama untuk seluruh organisasi. Pada saat yang sama, ini juga disinkronkan dengan sumber waktu eksternal.

Skema seperti itu berhasil dalam banyak kasus dan tidak memerlukan intervensi. Namun, struktur layanan waktu di Windows mungkin tidak mengikuti hierarki domain, dan sumber waktu yang dapat diandalkan dapat ditugaskan ke komputer mana pun. Sebagai contoh, saya akan menjelaskan pengaturan server NTP di Windows Server 2008 R2, meskipun sejak Windows 2000, prosedur ini tidak terlalu berubah.

Memulai NTP Server.

Segera, saya perhatikan bahwa layanan waktu di Windows Server (sejak 2000 dan berakhir 2012) tidak memiliki antarmuka grafis. dan dikonfigurasi baik dari garis komandoatau dengan mengedit langsung sistem Registry.. Secara pribadi, saya lebih dekat ke cara kedua, jadi kami pergi ke registri.

Jadi, hal pertama yang kita butuhkan untuk memulai server NTP. Buka cabang registri
HKLM \\ System \\ CurrentControlSet \\ Services \\ W32Time \\ Timeproviders \\ ntserver.
Di sini untuk mengaktifkan parameter server NTP Diaktifkan. Perlu untuk menetapkan nilai 1 .

Setelah memulai kembali layanan NTP, server sudah aktif dan dapat melayani pelanggan. Kami yakin Anda dapat menggunakan perintah W32TM / Query / Configuration. Perintah ini menampilkan daftar lengkap parameter layanan. Jika bagian Ntserver. Mengandung string. Diaktifkan: 1. Tidak apa-apa, server waktu bekerja.

Agar server NTP melayani pelanggan, jangan lupa untuk membuka port UDP 123 untuk lalu lintas masuk dan keluar pada firewall (firewall).

Pengaturan dasar server NTP

Server NTP dihidupkan, sekarang Anda perlu mengkonfigurasinya. Buka reset resethklm \\ system \\ currentConlSet \\ Services \\ W32Time \\ parameter. Di sini, pertama-tama, kami tertarik pada parameter Tipeyang menetapkan jenis sinkronisasi. Itu dapat mengambil nilai-nilai berikut:

Nosync -Server NTP tidak disinkronkan dengan sumber waktu eksternal. Jam yang dibangun ke dalam server mikro server CMOS digunakan;
Ntp -Server NTP disinkronkan dengan server waktu eksternal yang ditentukan dalam parameter registri. Ntserver;
Nt5ds - Server NTP melakukan sinkronisasi sesuai dengan hierarki domain;
Allsync - Server NTP menggunakan semua sumber yang tersedia untuk disinkronkan.

Nilai default untuk komputer termasuk dalam domain - Nt5ds.Untuk secara terpisah berdiri komputer - Ntp.

Dan parameter Ntserver.yang menentukan server NTP dengan mana waktu akan disinkronkan server ini.. Secara default, server Microsoft NTP (time.windows.com, 0x1) terdaftar dalam parameter ini, jika perlu, Anda dapat menambahkan beberapa server NTP lagi, memasukkan nama DNS atau alamat IP mereka melalui spasi. Daftar server waktu yang tersedia dapat dilihat misalnya.

Di akhir setiap nama, Anda dapat menambahkan bendera (mis. 0x1.) yang menentukan mode untuk sinkronisasi dengan server waktu. Nilai-nilai berikut diizinkan:

0x1. - Spesial interval, menggunakan interval survei khusus;
0x2. - UseasfallBackonly Mode;
0x4. - Mode aktif simetrik, simetris;
0x8.- Klien, mengirim permintaan dalam mode klien.

Saat menggunakan bendera interterval khusus, nilai interval yang ditetapkan dalam tombol diperlukan. SpecialPollinterval.. Ketika USEasfallBackonly flag valid, layanan waktu dilaporkan bahwa server ini akan digunakan sebagai cadangan dan sinkronisasi dengan itu akan dirujuk ke server daftar lainnya. Mode aktif simetris digunakan oleh NTP-server secara default, dan mode klien dapat digunakan jika terjadi masalah sinkronisasi. Microsoft merekomendasikan menginstal parameter di mana-mana \u003d 0x1.

Parameter penting Annoonceflags. Terletak di bagian HKLM \\ System \\ CurrentControlSet \\ Services \\ W32Time \\ Config Registry. Dia bertanggung jawab untuk mengatakan server NTP dan dapat mengambil nilai-nilai berikut:

0x0 (Bukan server waktu) - Server tidak mendeklarasikan dirinya melalui Netlogon, sebagai sumber waktu. Ini dapat menanggapi permintaan NTP, tetapi para tetangga tidak akan dapat mengenalinya sebagai sumber waktu;
0x1. (Selalu server waktu) - server akan selalu mendeklarasikan dirinya terlepas dari status;
0x2. (Server waktu otomatis) - server akan menyatakan dirinya sendiri hanya jika dia mendapat waktu yang andal dari tetangga lain (ntp atau nt5ds);
0x4. Server waktu yang selalu andal) - server akan selalu menyatakan dirinya sebagai sumber waktu yang dapat diandalkan;
0x8. (Server waktu yang andal otomatis) - Pengontrol domain secara otomatis dinyatakan dapat diandalkan jika itu adalah emulator PDC dari domain root dari hutan. Bendera ini memungkinkan hutan PDC utama untuk menyatakan dirinya sebagai sumber waktu yang berwenang untuk seluruh hutan, bahkan jika tidak ada hubungan dengan server NTP yang lebih tinggi. Tidak ada pengontrol lain atau server biasa (memiliki bendera default 0x2.) Tidak dapat mendeklarasikan dirinya sebagai sumber waktu yang dapat diandalkan jika ia tidak dapat menemukan sumber waktu untuk dirinya sendiri.

Nilai Annoonceflags. Membuat jumlah komponen benderanya, misalnya:

10 \u003d 2 + 8 - Server NTP menyatakan dirinya sebagai sumber waktu yang dapat diandalkan, asalkan itu menerima waktu dari sumber yang dapat diandalkan atau merupakan domain root PDC. Flag 10 diatur secara default untuk anggota domain dan untuk server terpisah.

5 \u003d 1 + 4 - server NTP selalu menyatakan dirinya sebagai sumber waktu yang dapat diandalkan. Misalnya, untuk mendeklarasikan server biasa (bukan pengontrol domain) sebagai sumber waktu yang dapat diandalkan, Anda memerlukan bendera 5.

Nah, kami akan mengkonfigurasi interval antara pembaruan. Baginya sudah disebutkan di atas Specialpollinterval,terletak di HKLM \\ System \\ CurrentControlSet \\ Services \\ W32Time \\ Timeproviders \\ ntpcient Registry Branch. Itu ditentukan dalam hitungan detik dan secara default nilainya 604800, yaitu 1 minggu. Ini banyak, jadi perlu dikurangi nilai specialpollinterval ke nilai yang masuk akal, katakan hingga 1 jam (3600).

Perintah Manajemen Layanan Waktu W32Time:

w32TM / CONFIG / UPDATE - Perbarui konfigurasi layanan.

w32TM / Monitor - Cari tahu bagaimana waktu sistem di masa depan komputer ini Ini berbeda dari waktu ke pengontrol domain atau komputer lain. Misalnya: w32tm / monitor / komputer.nist.gov
W32TM / Resync - sinkronisasi paksa dengan server waktu yang digunakan.
W32TM / stripchart- menunjukkan perbedaan waktu antara arus dan komputer remotDan itu dapat menampilkan hasil dalam bentuk grafis. Misalnya, w32tm / stripchart /computer.nist.nist.gov / sampel: 5 / DataOnly Command akan menghasilkan 5 perbandingan dengan sumber yang ditentukan dan akan menampilkan hasil dalam bentuk teks.

w32TM / CONFIG - Perintah yang digunakan untuk mengkonfigurasi layanan NTP. Dengan itu, Anda dapat mengatur daftar server waktu yang digunakan, jenis sinkronisasi dan banyak lagi. Misalnya, menimpa nilai default dan mengkonfigurasi sinkronisasi waktu dengan sumber eksternal, Anda dapat memerintahkan W32TM / CONFIG / SYNCFROMFLAGS: manual /manualpeerlist:Tepat.gov / pembaruan
W32TM / Query - menunjukkan pengaturan layanan saat ini. Misalnya, perintah W32TM / Query / Source akan menampilkan sumber waktu saat ini, dan W32TM / Query / Configuration akan menampilkan semua pengaturan layanan.
w32tm / unregister - menghapus layanan waktu dari komputer
W32TM / Registrasi - Mendaftarkan waktu layanan pada PC, seluruh cabang parameter dalam registri sedang dibuat.

Dalam kontak dengan

Layanan Windows Time, meskipun kesederhanaan yang tampak, adalah salah satu yayasan yang diperlukan untuk fungsi normal dari domain Direktori Aktif.. Dalam iklan yang dikonfigurasi dengan benar, layanan waktu berfungsi sebagai berikut: Komputer pengguna mendapatkan waktu yang tepat dari pengontrol domain terdekat di mana mereka mendaftar. Semua pengontrol domain pada gilirannya menerima waktu yang tepat dari DC dengan " PDC Emulator.", Dan pengontrol PDC menyinkronkan waktunya dengan beberapa. Satu atau lebih server NTP dapat tampil sebagai sumber waktu eksternal, seperti waktu.windows.com atau server NTP dari penyedia internet Anda. Perlu juga dicatat bahwa oleh pelanggan default dalam waktu sinkronisasi domain menggunakan layanan Windows Time (Windows Time), dan tidak menggunakan protokol NTP.

Jika Anda mengalami situasi ketika waktu pada pelanggan dan pengontrol domain bervariasi, mungkin di domain Anda ada masalah dengan sinkronisasi waktu dan artikel ini akan bermanfaat bagi Anda.

Pertama, pilih server NTP yang cocok yang bisa Anda gunakan. Daftar server NTP publik tersedia di situs http://ntp.org. Dalam contoh kami, kami akan menggunakan server NTP dari Pula ru.pool.ntp.org:

  • 0.ru.pool.ntp.org.
  • 1.ru.pool.ntp.org.
  • 2.ru.pool.ntp.org.
  • 3.ru.pool.ntp.org.

Menyiapkan sinkronisasi waktu dalam domain menggunakan kebijakan grup terdiri dari dua langkah:

1) Membuat GPO untuk pengontrol domain dengan peran PDC
2) Membuat GPO untuk pelanggan (opsional)

Pengaturan Kebijakan Sinkronisasi NTP pada Pengontrol Domain PDC

Langkah ini melibatkan pengaturan pengontrol domain dengan peran emulator PDC untuk menyinkronkan waktu dengan server NTP eksternal. Karena Secara teoritis, peran emulator PDC dapat bergerak di antara pengontrol domain, kita perlu membuat kebijakan yang hanya akan diterapkan pada pemilik saat ini dari peran PDC. Untuk melakukan ini di konsol manajemen Konsol Manajemen Kebijakan Grup (Gpmc.msc), buat yang baru. Untuk melakukan ini di bagian Filter WMI. Buat filter dan nama PDC Emulator. dan permintaan WMI: Pilih * dari Win32_ComputerSystem di mana domainrole \u003d 5

Kemudian buat GPO baru dan tetapkan ke wadah pengontrol domain.

Beralih ke mode pengeditan kebijakan dan gunakan kebijakan berikut: Konfigurasi Komputer-\u003e Template Administratif-\u003e Sistem-\u003e Layanan Waktu Windows-\u003e Penyedia Waktu

Kami tertarik pada tiga politisi:

  • Konfigurasikan Klien Windows NTP: Diaktifkan (pengaturan kebijakan dijelaskan di bawah)
  • Aktifkan Klien Windows NTP: Diaktifkan.
  • Aktifkan Server Windows NTP: Diaktifkan.


Dalam pengaturan kebijakan Konfigurasikan Klien Windows NTP Tentukan parameter berikut:

  • Ntserver.: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.org, 0x1
  • Tipe: Ntp.
  • Crosssitesyncflags.: 2
  • ResolusiPeerbackOffMinuts.: 15
  • Selesaikan BackoffmaxTime Peer: 7
  • SpecilalpoolInterval.: 3600
  • Eventlogflags.: 0

Dewan. Jangan lupa untuk menyesuaikan firewall. Sehingga server PDC dapat mengakses server NTP eksternal melalui NTP (port UDP 123).

Catatan. Perhatikan sintaks di lapangan Ntserver.Format spesifikasikan beberapa server NTP adalah: ntsrv1.org, 0x1 ntpsrv2.org, 0x1(pemisah ruang). Dalam tangkapan layar menunjukkan data yang salah!

Oleskan filter yang dibuat sebelumnya PDC Emulator. untuk kebijakan ini.

Dewan. Temukan nama server dengan peran PDC yang dapat Anda gunakan perintah: Netdom Query FSMO

Masih memperbarui politisi pada pengontrol PDC:
GPUpdate / Force.

Sinkronisasi waktu berjalan secara manual:
W32TM / Resync.

Periksa pengaturan NTP saat ini:
W32TM / Query / Status

Dewan. Dalam hal waktu tidak disinkronkan, restart layanan Windows Time dan setel ulang pengaturan saat ini:
Net Stop W32Time.
w32tm.exe / unregister
w32TM.EXE / REGISTE
nET MULAI W32TIME.

Mengkonfigurasi sinkronisasi waktu pada klien domain

Di Active Directory, klien domain default menyinkronkan waktu mereka dengan pengontrol domain (opsi Nt5ds. - Sinkronkan waktu sesuai dengan hierarki domain). Sebagai aturan, skema ini bekerja dan tidak memerlukan konfigurasi ulang. Namun, jika ada masalah dengan sinkronisasi waktu pada klien domain, Anda dapat mencoba menugaskan server waktu untuk pelanggan menggunakan GPO.

Untuk melakukan ini, buat GPO baru dan tetapkan ke wadah (OU) dengan komputer. Di editor GPO, buka bagian Konfigurasi Komputer -\u003e Template Administratif -\u003e Sistem -\u003e Layanan Waktu Windows -\u003e Penyedia Waktu dan mengaktifkan kebijakan Konfigurasikan Klien Windows NTP.

Sebagai server NTP, tentukan nama atau alamat IP PDC, seperti msk-dc1.sype, 0x9, dan sebagai tipe sinkronisasi - NT5DS

Perbarui pengaturan kebijakan grup pada klien dan verifikasi bahwa pelanggan telah berhasil menyinkronkan waktu mereka dengan PDC.

Dewan. Skema ini hanya berlaku untuk domain kecil. Untuk domain besar didistribusikan dengan jumlah besar DC dan situs harus membuat kebijakan terpisah untuk setiap situs sehingga pelanggan menyinkronkan waktu mereka dengan DC di situs.

Menyiapkan server NTP di Windows

Dimulai dengan Windows 2000 semua operasional sistem Windows Sertakan layanan waktu W32TIME.. Layanan ini dirancang untuk menyinkronkan waktu dalam organisasi. W32Time bertanggung jawab atas pekerjaan klien dan server server dari layanan waktu, dan komputer yang sama dapat secara bersamaan baik oleh server klien dan NTP (protokol waktu jaringan).

Secara default, layanan waktu di Windows dikonfigurasi sebagai berikut:

Saat memasang sistem operasi Windows, meluncurkan klien NTP dan disinkronkan dengan sumber waktu eksternal;
Saat menambahkan komputer ke domain, jenis sinkronisasi berubah. Semua komputer klien dan server biasa di domain digunakan untuk menyinkronkan waktu pengontrol domain yang memeriksa keaslian mereka;
Ketika server biasa dinaikkan ke pengontrol domain, server NTP diluncurkan di atasnya, yang digunakan sebagai pengontrol dengan peran emulator PDC sebagai sumber waktu;
Emulator PDC, yang terletak di domain root dari hutan, adalah waktu server utama untuk seluruh organisasi. Pada saat yang sama, ini juga disinkronkan dengan sumber waktu eksternal.

Skema seperti itu berhasil dalam banyak kasus dan tidak memerlukan intervensi. Namun, struktur layanan waktu di Windows mungkin tidak mengikuti hierarki domain, dan sumber waktu yang dapat diandalkan dapat ditugaskan ke komputer mana pun. Sebagai contoh, saya akan menjelaskan pengaturan server NTP di Windows Server 2008 R2, meskipun sejak Windows 2000, prosedur ini tidak terlalu berubah.

Memulai NTP Server.

Segera, saya perhatikan bahwa layanan waktu di Windows Server (mulai dari 2000 dan berakhir 2012) tidak memiliki antarmuka grafis dan mengkonfigurasi baik dari baris perintah, atau dengan mengedit langsung sistem registri. Secara pribadi, saya lebih dekat ke cara kedua, jadi kami pergi ke registri.

Jadi, hal pertama yang kita butuhkan untuk memulai server NTP. Buka cabang registri
HKLM \\ System \\ CurrentControlSet \\ Services \\ W32Time \\ Timeproviders \\ ntserver.
Di sini untuk mengaktifkan parameter server NTP Diaktifkan. Perlu untuk menetapkan nilai 1 .

Kemudian restart tim layanan waktu net Stop W32Time && Net Start W32Time

Setelah memulai kembali layanan NTP, server sudah aktif dan dapat melayani pelanggan. Anda dapat memastikan bahwa Anda dapat menggunakan perintah W32TM / Query / Configuration. Perintah ini menampilkan daftar lengkap parameter layanan. Jika Bagian Ntserver. Mengandung string. Diaktifkan: 1. Tidak apa-apa, server waktu bekerja.

Agar server NTP melayani pelanggan, jangan lupa untuk membuka port UDP 123 pada firewall untuk lalu lintas yang masuk dan keluar.

Pengaturan dasar server NTP

Server NTP dihidupkan, sekarang Anda perlu mengkonfigurasinya. Buka HKLM \\ System \\ CurrentControlSet \\ Parameter Registry Branch \\ W32Time \\ Parameter. Di sini, pertama-tama, kami tertarik pada parameter Tipeyang menetapkan jenis sinkronisasi. Itu dapat mengambil nilai-nilai berikut:

Nosync -Server NTP tidak disinkronkan dengan sumber waktu eksternal. Jam yang dibangun ke dalam server mikro server CMOS digunakan;
Ntp -Server NTP disinkronkan dengan server waktu eksternal yang ditentukan dalam parameter registri. Ntserver;
Nt5ds - Server NTP melakukan sinkronisasi sesuai dengan hierarki domain;
Allsync - Server NTP menggunakan semua sumber yang tersedia untuk disinkronkan.

Nilai default untuk komputer termasuk dalam domain - Nt5ds., untuk komputer yang terpisah - Ntp.

Dan parameter Ntserver.yang menentukan server NTP dengan mana waktu akan menyinkronkan waktu. Secara default, server Microsoft NTP (time.windows.com, 0x1) terdaftar dalam parameter ini, jika perlu, Anda dapat menambahkan beberapa server NTP lagi, memasukkan nama DNS atau alamat IP mereka melalui spasi. Daftar server waktu yang tersedia dapat dilihat misalnya.

Di akhir setiap nama, Anda dapat menambahkan bendera (mis. 0x1.) yang menentukan mode untuk sinkronisasi dengan server waktu. Nilai-nilai berikut diizinkan:

0x1. - Spesial interval, menggunakan interval survei khusus;
0x2. - UseasfallBackonly Mode;
0x4. - Mode aktif simetrik, simetris;
0x8.- Klien, mengirim permintaan dalam mode klien.

Saat menggunakan bendera interterval khusus, nilai interval yang ditetapkan dalam tombol diperlukan. SpecialPollinterval.. Ketika USEasfallBackonly flag valid, layanan waktu dilaporkan bahwa server ini akan digunakan sebagai cadangan dan sinkronisasi dengan itu akan dirujuk ke server daftar lainnya. Mode aktif simetris digunakan oleh NTP-server secara default, dan mode klien dapat digunakan jika terjadi masalah sinkronisasi. Baca lebih lanjut tentang mode sinkronisasi, Anda dapat melihat, atau tidak menipu dan menempatkan di mana-mana 0x1. (Seperti menyarankan Microsoft).

Parameter penting lainnya Annoonceflags. Terletak di bagian HKLM \\ System \\ CurrentControlSet \\ Services \\ W32Time \\ Config Registry. Dia bertanggung jawab untuk mengatakan server NTP dan dapat mengambil nilai-nilai berikut:

0x0 (Bukan server waktu) - Server tidak mendeklarasikan dirinya melalui Netlogon, sebagai sumber waktu. Ini dapat menanggapi permintaan NTP, tetapi para tetangga tidak akan dapat mengenalinya sebagai sumber waktu;
0x1. (Selalu server waktu) - server akan selalu mendeklarasikan dirinya terlepas dari status;
0x2. (Server waktu otomatis) - server akan menyatakan dirinya sendiri hanya jika menerima waktu yang andal dari tetangga lain (NTP atau NT5DS);
0x4. Server waktu yang selalu andal) - server akan selalu menyatakan dirinya sebagai sumber waktu yang dapat diandalkan;
0x8. (Server waktu yang andal otomatis) - Pengontrol domain secara otomatis dinyatakan dapat diandalkan jika itu adalah emulator PDC dari domain root dari hutan. Bendera ini memungkinkan hutan PDC utama untuk menyatakan dirinya sebagai sumber waktu yang berwenang untuk seluruh hutan, bahkan jika tidak ada hubungan dengan server NTP yang lebih tinggi. Tidak ada pengontrol lain atau server biasa (memiliki bendera default 0x2.) Tidak dapat mendeklarasikan dirinya sebagai sumber waktu yang dapat diandalkan jika ia tidak dapat menemukan sumber waktu untuk dirinya sendiri.

Nilai Annoonceflags. Membuat jumlah komponen benderanya, misalnya:

10 \u003d 2 + 8 - Server NTP menyatakan dirinya sebagai sumber waktu yang dapat diandalkan, asalkan itu menerima waktu dari sumber yang dapat diandalkan atau merupakan domain root PDC. Flag 10 diatur secara default untuk anggota domain dan untuk server terpisah.

5 \u003d 1 + 4 - server NTP selalu menyatakan dirinya sebagai sumber waktu yang dapat diandalkan. Misalnya, untuk mendeklarasikan server biasa (bukan pengontrol domain) sebagai sumber waktu yang dapat diandalkan, Anda memerlukan bendera 5.

Nah, kami akan mengkonfigurasi interval antara pembaruan. Baginya sudah disebutkan di atas Specialpollinterval,terletak di HKLM \\ System \\ CurrentControlSet \\ Services \\ W32Time \\ Timeproviders \\ ntpcient Registry Branch. Itu ditentukan dalam hitungan detik dan secara default nilainya 604800, yaitu 1 minggu. Ini banyak, jadi perlu dikurangi nilai specialpollinterval ke nilai yang masuk akal, katakan hingga 1 jam (3600).

Setelah konfigurasi, Anda perlu memperbarui konfigurasi layanan. Anda dapat membuatnya menggunakan perintah W32TM / CONFIG / UPDATE. Dan beberapa perintah lagi untuk mengkonfigurasi, memantau dan mendiagnosis layanan waktu:

w32TM / Monitor - Dengan opsi ini, Anda dapat mengetahui bagaimana waktu sistem komputer ini berbeda dari waktu ke pengontrol domain atau komputer lain. Sebagai contoh: w32tm / monitor / komputer.nist.gov
w32TM / Resync - Dengan perintah ini, Anda dapat memaksa komputer untuk disinkronkan dengan server waktu yang Anda gunakan.
w32TM / Stripchart - Menunjukkan perbedaan waktu antara komputer saat ini dan jarak jauh, dan dapat menampilkan hasil dalam bentuk grafis. Misalnya, tim w32TM / stripchart /computer: hist.gov / sampel: 5 / datalonon Melakukan 5 perbandingan dengan sumber yang ditentukan dan akan menampilkan hasil dalam bentuk teks.

w32TM / CONFIG adalah perintah utama yang digunakan untuk mengkonfigurasi layanan NTP. Dengan itu, Anda dapat mengatur daftar server waktu yang digunakan, jenis sinkronisasi dan banyak lagi. Misalnya, timpa nilai default dan konfigurasikan sinkronisasi waktu dengan sumber eksternal, Anda dapat memerintahkan W32tm / config / syncfromflags: manual /manualpeerlist:Time.nist.gov / update
w32TM / Query - menunjukkan pengaturan layanan saat ini. Misalnya, perintah W32TM / Query / Source akan menampilkan sumber waktu saat ini, dan W32TM / Query / Configuration akan menampilkan semua pengaturan layanan.

Nah, dalam kasus ekstrim 🙁
w32TM / UNREGISTER - Menghapus layanan waktu dari komputer.
w32TM / Registrasi - Mendaftarkan layanan waktu di komputer. Ini menciptakan seluruh cabang parameter dalam registri.

Selamat siang, tamu, dan pembaca biasa. Secara bertahap mengabaikan dari dasar-dasar untuk studi Linux yang lebih mendalam. Hari ini saya ingin mempertimbangkan operasi protokol NTP, serta pengaturan server Waktu di Linux (Server NTP). Jadi mari kita mulai dengan teorinya.

Protokol NTP.

Protokol Waktu Jaringan (NTP) - protokol jaringan Untuk menyinkronkan jam-jam internal komputer menggunakan latensi variabel (baca "lebar" / kualitas saluran).

NTP menggunakan untuk pekerjaannya protokol UDP dan port 123.

Versi protokol saat ini - Ntp 4.. Ntp.menggunakan sistem hierarkis "Tingkat Waktu" (Mereka juga disebut mereka Lapisan). Level 0 (atau stratum 0) - Ini biasanya perangkat yang merupakan jam atom (molekuler, kuantum), jam GPS atau frekuensi radio. Perangkat ini biasanya tidak dipublikasikan di jaringan di seluruh dunia, dan mereka terhubung langsung ke server Waktu Level 1melalui protokol RS-232 (pada ilustrasi ditandai dengan panah kuning). Tingkat 1. disinkronkan dengan jam presisi tinggi level 0., biasanya bekerja sebagai sumber untuk server level 2. Level 2. disinkronkan dengan salah satu mobil tingkat 1, serta sinkronisasi dengan server levelnya. Tingkat 3. Bekerja sama dengan yang kedua. Biasanya server jaringan dipublikasikan pada yang kedua dan bawah. Protokol NTP. Mendukung hingga 256 level. Saya juga ingin mencatat bahwa level level 1 and2, dan kadang-kadang 3 tidak selalu terbuka untuk akses universal. Terkadang, untuk menyinkronkan dengan mereka, Anda harus mengirim permintaan melalui surat - administrator domain.

Apa batasan akses ke server? Dengan transisi ke setiap level, kesalahan sedikit meningkat server utama, tetapi meningkatkan jumlah total server Dan maka dari itu,.

Penugasan Server NTP pada LAN

Mengapa kita bisa memerlukan server NTP? Misalnya, ada layanan dalam sistem operasi yang mungkin tergantung pada waktu yang disinkronkan. Contoh paling mencolok dari layanan tersebut adalah protokol otentikasi Kerberos. Untuk karyanya, perlu bahwa pada komputer, akses yang dilakukan menggunakan protokol ini, waktu sistem berbeda tidak lebih dari 5 menit. Selain itu, waktu yang tepat pada semua komputer dengan sangat memfasilitasi analisis log keamanan ketika menyelidiki insiden di jaringan lokal.

Mode operasi server / klien NTP

Server klien.

Mode ini paling sering digunakan di Internet. Diagram Kerja - Klasik. Klien mengirimkan permintaan untuk beberapa waktu, server mengirimkan jawaban. Pengaturan pelanggan dilakukan dengan menggunakan arahan server dalam file konfigurasi, di mana nama server DNS ditentukan.

Mode aktif / pasif simetris

Mode ini digunakan jika sinkronisasi waktu dilakukan antara sejumlah besar mesin yang sama. Selain fakta bahwa setiap mesin disinkronkan dengan sumber eksternal, juga melakukan sinkronisasi dengan tetangga (teman sebaya), berbicara untuk mereka sebagai server klien dan waktu. Oleh karena itu, bahkan jika mobil "akan kehilangan" sumber eksternal, itu masih bisa mendapatkan waktu yang tepat dari tetangganya. Tetangga dapat beroperasi dalam dua mode - aktif dan pasif. Bekerja dalam mode aktif, mesin itu sendiri mentransmisikan waktu untuk semua tetangga yang tercantum dalam bagian file konfigurasi NTP.conf. Jika tetangga tidak ditentukan dalam bagian ini, diyakini bahwa mesin bekerja dalam mode pasif. Agar penyerang tidak dapat berkompromi dengan mobil lain, memperkenalkan dirinya sebagai sumber aktif, perlu menggunakan otentikasi.

Mode siaran

Mode ini disarankan untuk digunakan dalam kasus-kasus di mana sejumlah kecil server berfungsi sejumlah besar Pelanggan. Bekerja dalam mode ini, server secara berkala mengirim paket menggunakan alamat broadcast subnet. Klien yang dikonfigurasi untuk menyinkronkan dengan cara ini menerima server siaran server dan menyinkronkan server. Fitur dari mode ini adalah waktu yang dikirimkan dalam subnet yang sama (Batas Broadcast-Paket). Selain itu, perlu untuk menggunakan otentikasi untuk melindungi terhadap penyusup.

Mode multicast.

Mode ini sebagian besar mirip dengan siaran. Perbedaannya adalah bahwa alamat multicast spasi alamat IP dari alamat IP digunakan untuk mengirimkan paket. Untuk pelanggan dan server, alamat grup multicast ditentukan untuk menyinkronkan waktu. Ini memungkinkan untuk menyinkronkan kelompok mesin yang terletak di berbagai subnet, asalkan router yang menghubungkan router mereka mendukung protokol IGMP dan dikonfigurasi untuk mengirimkan lalu lintas grup.

Mode Manycast.

Mode ini adalah inovasi versi keempat dari protokol NTP. Ini menyiratkan pencarian dari klien di antara tetangga jaringannya dari server yang banyak, memperoleh dari masing-masing sampel waktu (menggunakan kriptografi) dan memilih berdasarkan data ini dari tiga server "terbaik" yang akan dilakukan oleh klien sinkronisasi. Dalam hal kegagalan salah satu server, klien secara otomatis memperbarui daftarnya.

Untuk mentransfer sampel waktu, klien dan server yang berjalan dalam mode mungil menggunakan alamat grup multicast (jaringan kelas D). Klien dan server menggunakan alamat yang sama membentuk satu asosiasi. Jumlah asosiasi ditentukan oleh jumlah alamat multicast yang digunakan.

Waktu di Linux

Singkat memberitahu Anda jam berapa itu ada di Linux dan bagaimana cara menanyakannya. Di Linux, seperti pada OS lain, ada 2 kali. Pertama - perangkat keras Terkadang dipanggil Jam waktu nyata., disingkat ( Rtc.) (Mereka adalah - jam bios) biasanya dikaitkan dengan kristal kuarsa berosilasi, yang memiliki akurasi jalannya hingga beberapa detik per hari. Akurasi tergantung pada berbagai osilasi, misalnya, suhu sekitar. Jam kedua adalah internal softwear yang terus menerus, termasuk selama interupsi sistem. Mereka tunduk pada penyimpangan yang terkait dengan beban sistem besar dan keterlambatan interupsi. Namun, sistem biasanya membaca bacaan jam perangkat keras saat memuat dan kemudian menggunakan jam sistem.

Tanggal dan waktu sistem operasi Diinstal saat dimuat berdasarkan nilai menonton perangkat keras, sebaik pengaturan zona waktu. Pengaturan zona waktu diambil dari file / etc / localtime. File ini adalah tautan (tetapi lebih sering - salinan) dari salah satu file dalam struktur direktori / Usr / share / zoneinfo /.

Jam perangkat keras Linux dapat menyimpan waktu dalam format UTC.(Analog GMT) atau waktu teritorial saat ini. Rekomendasi umum adalah waktu untuk menginstal (?) Berikutnya: Jika beberapa OS diinstal pada komputer dan salah satunya adalah Windows, maka Anda perlu menggunakan waktu saat ini (karena Windows membutuhkan waktu dari BIOS / CMOS dan menganggapnya lokal). Jika hanya sistem keluarga Unix yang digunakan, disarankan untuk menyimpan waktu di BIOS dalam format UTC.

Setelah memuat sistem operasi, jam sistem operasi dan BIOS sepenuhnya independen. Inti dari sistem sekali dalam 11 detik menyinkronkan jam sistem dengan perangkat keras.

Setelah beberapa waktu, mungkin ada perbedaan antara hardware dan program yang jam dalam beberapa detik. Jam berapa waktu yang tepat? Baik itu maupun yang lain sampai kita mengkonfigurasi Sinkronisasi waktu.

catatan:

Kernel linux "dan selalu menjaga dan menghitung waktu sebagai jumlah detik dari masa lalu dari tengah malam 1 Januari 1970 di tahun ini, Kemandirian, Anda diinstal pada waktu lokal atau dunia Anda. Konversi ke waktu lokal dibuat selama proses permintaan.

Karena jumlah detik dari 1 Januari 1970, waktu global disimpan sebagai tanda integer 32-bit (ini berlaku untuk sistem Linux / Intel), arloji Anda akan berhenti bekerja di suatu tempat pada tahun 2038. Linux tidak memiliki masalah tahun 2000, tetapi memiliki masalah 2038. Untungnya, pada saat itu, semua Linux akan diluncurkan pada 64-x sistem pembuangan. Integer 64-bit akan berisi jam kami menjadi sekitar 292271 tahun.

NTP Server Linux.

pengantar

Ada banyak implementasi untuk sinkronisasi waktu untuk OS Linux. Yang paling terkenal adalah Xntpd (NTP versi 3), NTPD (NTP versi 4), Crony dan ClockSpeed. Dalam contoh kami, kami akan menggunakan NTP-server NTPD.

Daemon NTPD adalah server waktu dan klien, tergantung pada pengaturan file konfigurasi /etc/ntpd.conf (kadang-kadang /etc/ntp.conf), daemon dapat dan "mengambil" waktu dari server yang valid dan "mendistribusikan" ke host lain waktu.

Umum skema sinkronisasi waktudi jaringan lokal sebagai berikut: anda harus memiliki 1 atau 2 server dengan akses ke jaringan global yang akan menerima waktu dari Internet. Semua komputer jaringan lokal disinkronkan dengan server tertentu yang menerima waktu dari Internet.

Menginstal NTPD.

Sebenarnya, memasang daemon. Muncul untuk memasang paket-paket berikut: Ntp. (Paket termasuk demone itu sendiri) ntpdate.(Utilitas untuk sinkronisasi waktu manual - ketinggalan jaman), ntp-doc. (Dokumentasi paket), di beberapa distribusi Anda perlu menginstal yang sama ntp-utils. (Utilitas untuk diagnostik), di beberapa mereka termasuk dalam paket NTP. Cara menginstal program di Linux, saya jelaskan. Setelah menginstal paket, di sebagian besar distribusi, daemon akan dikonfigurasi sebagai klien NTP (misalnya, Debian begitu). Dengan demikian, file konfigurasi utama secara otomatis dibuat: /etc/ntp.conf dan /var/lib/ntp/ntp.drift dan daemon diluncurkan secara otomatis.

Sebelum mengatur iblis untuk sinkronisasi dengan dunia luar, saya akan menyarankan Anda untuk mengatur tanggal sistem saat ini pada nilai, sedekat mungkin dengan waktu nyata. Mengatur Tanggal di Linux Diproduksi oleh tim: tanggal mmddhhmccyy.sss,di mana MM - bulan, DD - hari dari bulan, HH - jam tangan, mm - menit, ccyy - 4 angka tahun ini, SS - detik. Pada saat yang sama, nilai Ccyy.ss. Belum tentu.

Seperti yang Anda lihat, perintah yang ditentukan akan menetapkan tanggal dan waktu saat ini pada 27 Desember 2010, 20:06:30. Perintah Tanggal Tanpa parameter, keluarkan waktu sistem saat ini. Tim ini memiliki banyak parameter yang dapat ditemukan pada tanggal pria.

Anda juga harus mengkonfigurasi jam perangkat keras dan zona waktu. Seperti disebutkan di atas, zona waktu dikonfigurasikan dengan menyalin file zona yang diperlukan dari katalog / Usr / share / zoneinfo /untuk mengajukan. / etc / localtime:

NTP-server: ~ # cp / usr / share / zoneinfo / eropa / moscow / etc / localtime

Perangkat keras saya mengatur jam di UTC:

# Kucing / etc / sysconfig / jam | Grep utc # utc \u003d true menunjukkan bahwa jam diatur ke UTC; UTC \u003d BENAR NTP2-server: ~ # kucing / etc / default / rcs | Grep utc utc \u003d ya

Pada contoh pertama, file konfigurasi ditentukan yang mendefinisikan penggunaan UTC untuk RH, yang kedua - untuk distribusi Deb.

Selain memasang pengaturan untuk penggunaan waktu dalam format UTC, Anda harus menentukan Perangkat keras. (Dalam kebanyakan kasus, ini tidak perlu, karena waktu sistem yang ditentukan disinkronkan dengan perangkat keras, pasukan inti). Tapi tetap saja, jika Anda memiliki keinginan untuk melakukannya ... Tim HWClock. Membaca dan menginstal perangkat keras berdasarkan parameter yang ditransfer ke sana. Opsi yang tersedia dijelaskan dalam halaman manual tim. Berikut adalah beberapa contoh menggunakan HWClock:

NTP-server # HWClock # Waktu baca dari NTP-server # hwclock - ssystohc - jam jam jam pengaturan jam jam jam sama # UTC Berdasarkan NTP-server # hwclock #systohc # pengaturan waktu # sama dengan lokal waktu NTP-server # hwclock --set --date "22 Mar 2002 13:17" # Set Waktu Jam Hardware # sama dengan baris yang ditentukan

Pilihan lain untuk mengubah waktu pada jam perangkat keras adalah akses ke BIOS saat memuat sistem. Karena waktu OS, terlepas dari jam perangkat keras, setiap perubahan pada BIOS akan diperhitungkan pada beban berikutnya.

Sekarang semuanya telah disiapkan dan dipasang, lanjutkan ke di lokasi konstruksi.

NTPD Demon Management.

Kontrol NTPD Demon. Tidak ada setan berbeda yang berbeda dari setan lainnya. Jalankan atau restart layanan NTPD:

# / etc / init.d / ntp mulai # / etc / init.d / ntp restart

Berhenti:

# / etc / init.d / ntp berhenti

# / Bin / bunuh `cat / var / run / ntpd.pid`

Demon memiliki parameter peluncuran berikut:

P - PID File,
-G - Biarkan transisi ke lompatan waktu besar
-c - konfigurasi file
-Q - sinkronisasi manual paksa

Menyiapkan server NTPD

Pertama-tama, Anda akan menyarankan mengubah parameter startup iblis dalam file konfigurasi berikut:

NTP-server: ~ # cat / etc / default / ntp ntpd_opts \u003d "- g"

# Kucing / etc / sysconfig / ntpd # parameter untuk daemon NTP. # Lihat NTPD (8) untuk detail lebih lanjut. .... # Menentukan parameter tambahan untuk NTPD. Ntpd_args \u003d "- g"

Parameter ini akan memungkinkan Anda untuk menyinkronkan jam, bahkan jika perbedaan waktu yang sangat besar terbentuk.

Jadi, seperti yang saya katakan, informasi konfigurasi iblis NTPD.terletak pada file /etc/ntp.conf. Sintaks file adalah standar, seperti dalam banyak konfigurasi lain: string dan baris kosong dimulai dengan simbol "#" abaikan. Ini adalah contoh sederhana:

NTP-server: ~ # cat /etc/ntp.conf server ntplocal.example.com lebih suka server timeserver.example.org server ntp2a.example.net driftfile /var/db/ntp.drift

Parameter server.menentukan server mana yang akan digunakan untuk sinkronisasi, satu di setiap baris. Jika server ditentukan dengan argumen lebih suka., sebagai ntplocal.example.com.Server ini diberikan preferensi untuk yang lain. Jawaban dari server yang disukai akan dibuang jika berbeda secara signifikan dari tanggapan server lain, jika tidak maka akan digunakan secara independen ke jawaban lain. Argumen lebih suka.biasanya digunakan untuk server NTP, yang diketahui bahwa mereka sangat akurat, yang digunakan oleh peralatan akurat khusus.

Parameter driftfile.menentukan file yang digunakan untuk menyimpan offset frekuensi jam sistem. Sejauh yang saya mengerti, file ini terus-menerus menyimpan nilai yang dibentuk berdasarkan analisis penyesuaian waktu lalu dan jika sumber waktu eksternal menjadi tidak tersedia, penyesuaian waktu terjadi dengan nilai dari file melayang. Seharusnya tidak mengubah proses lain. Dan sebelum menunjukkan file ini Dalam konfigurasi, file harus dibuat.

Secara default, server NTP akan tersedia untuk semua host ke Internet. Parameter mEMBATASI.dalam file /etc/ntp.conf. Memungkinkan Anda mengontrol mesin mana yang dapat mengakses server Anda. Jika Anda menghendaki Nonaktifkan semua mesin untuk menghubungi server NTP AndaMenambahkan baris berikutnya untuk mengajukan. /etc/ntp.conf.:

batasi Default Abaikan.

Jika Anda menghendaki mengizinkansinkronkan jam Anda hanya dengan server Anda mesin di jaringan Anda, tetapi melarangmereka kustomisasi server. Atau menjadi peserta yang sama dalam waktu sinkronisasi, maka bukan ditentukan, tambahkan baris:

batasi 192.168.1.0 Masker 255.255.255.0 NOMODIFY NOTRAP

di mana 192.168.1.0 adalah alamat IP dari jaringan Anda, dan 255.255.255.0 mask jaringan. /etc/ntp.conf. Dapat berisi beberapa arahan pembatas.

Untuk pekerjaan iblis yang benar dan lebih akurat, diinginkan untuk memilih server level - dari Stratum 2 (Anda tentu dapat stratum1, tetapi Anda harus membunuh waktu untuk mencari server seperti itu) dan dari strata 2 yang dipilih, dimana "jarak" minimum. Biasanya server semacam itu dapat disediakan oleh penyedia Anda. Jumlah server yang dipilih sebaiknya - lebih dari 2 3, lebih banyak lebih baik, tetapi dalam batas yang wajar. Jika Anda terlalu malas untuk memilih server TerbaikAnda dapat mengambil daftar server tingkat kedua terbuka dari sini: http://support.ntp.org/bin/view/servers/stratumtwotimeservers.

Pilih daftar server Referensi NTP

Kita pergi alamat yang ditentukan (Http://support.ntp.org/bin/view/servers/stratumtwotimeservers) dan pilih daftar server awal. Dari daftar ini, pilih server yang memenuhi persyaratan kami menggunakan analisis output perintah ntpdate.. Saat mengeksekusi perintah, sintaks berikut diterapkan:

ntpdate servers_tenere_belates.

Agar permintaan kami untuk membuat perubahan ke sistem, Anda harus menggunakan -Q parameter, yang menunjukkan penggunaan permintaan tanpa membuat perubahan. Dimungkinkan juga untuk menggunakan kunci -D, menunjukkan bahwa perintah akan dieksekusi dalam mode debug, dengan output informasi tambahan, tanpa membuat perubahan nyata (kapan kunci ini Sekelompok sampah lain diturunkan :), yang kita masuki saat ini tidak dibutuhkan). Parameter yang tersisa dapat dilihat pada pria 8 ntpdate. Dari link yang ditentukan, saya memilih semua server Open Access terletak di Rusia (RU) + salah satu yang disediakan penyedia dan meluncurkan tim, ternyata tentang berikut:

NTP-server: ~ # ntpdate -q ntp2.ntp-servers.net ntp1.vniiftri.ru ntp2.vniiftri.ru ntp4.vniiftri.ru ntp0.nttp-servers.net ntp1.ntiiftri.ru ntp.corbina.net server 88.147.255.85, strata 1, offset 0,006494, delay 0.09918 server 62.117.76.142, strata 1, offset 0,006920 server 62.117.76.141, strata 1, offset 0,006918 Server 62.117.76.140, stratum 1, offset 0,004823, delay 0,07350 Server 88.147.254.228, strata 1, offset -0,002355, delay 0,12030 Server 88.147.254.229, strata 1, offset -0,000922, delay 0,10577 Server 62.117.76.138, strata 1, offset 0,005331, 0,07401 Server delay 195,14 .40.141, Stratum 2, Offset 0.002846, delay 0.07188 13 Jan 19:14:09 Ntpdate: Menyesuaikan waktu server 62.117.76.141 Offset 0,003147 detik

Dalam contoh, server kami berhasil memberikan tingkat strataum1, yang tidak bisa tetapi bersukacita (kecuali server penyedia), offset adalah perbedaan waktu dengan server ini dalam hitungan detik, penundaan adalah penundaan sinkronisasi dalam hitungan detik. Biasanya, B. TENTANGlebih akurasi diperoleh dengan menggunakan server yang memiliki transfer delay yang rendah melalui jaringan. Untuk mengidentifikasi ini, adalah mungkin untuk digunakan. Dengan demikian, dengan memilih pertama mereka yang waktu respon kurang, dan orang-orang yang kurang dari hop. Saya tidak ke waktu kehilangan, saya akan menggunakan semua server tertentu dan menanamkan mereka ke dalam file konfigurasi. Total mengetahui semua hal di atas, saya akan menjelaskan file yang Anda hasilkan /etc/ntp.conf.:

NTP-server: ~ # cat /etc/ntp.conf # server jaringan lokal (dikomentari, tidak digunakan - satu server online) #serve 192.168.0.2 #server 192.168.0.5 # Server NTP2.VNIIFTRI .ru server ntp2.vniiftri.ru server ntp4.vniiftri.ru server ntp0.ntp-servers.net server ntp1.nttp-servers.net server ntp3.vniiftri.ru server ntp3.vniiftri.ru server ntp.corbina.net # driftfile File server /var/lib/ntp/ntp.drift logfile / var / log / ntpstats # membatasi akses ke server: # Secara default, saya abaikan semua batasi default abaikan # lockless tanpa parameter - itu berarti semuanya diizinkan. Parameter hanya berjalan pada larangan. Batasi 127.0.0.1 # Selanjutnya, server yang dengannya kami disinkronkan dalam jaringan lokal dijelaskan. # Kami mengizinkan semuanya kecuali label dan pertanyaan kepada kami membatasi 192.168.0.2 NoQuery notrap membatasi 192.168.0.5 NoQuery notrap # untuk LAN juga memungkinkan segalanya kecuali membatasi perangkap dan modifikasi 192.168.0.1 NOMODIFY NOTER NOPER # Izinkan Akses Sumber Waktu Eksternal : batasi ntp2.ntp-servers.net membatasi ntp1.vniiftri.ru membatasi ntp2.vniiftri.ru membatasi ntp4.vniiftri.ru membatasi ntp0.ntp-servers.net membatasi ntp1.ntp-servers.net membatasi ntp3.vniiftri.ru NTP.CORBINA.NET # Dan hack ini, yang menetapkan tingkat kepercayaan pada server (strata) dengan sendirinya sama dengan 3 # dalam singkat, semakin tinggi jumlahnya. 0 adalah jam atom, # 1 disinkronkan dengan mereka, 2 - dengan yang pertama, dan sebagainya. Server 127.127.1.1 Fudge 127.127.1.1 Strata 3

Untuk pemahaman dan konfigurasi server yang lebih mendalam, saya akan menjelaskan beberapa pengaturan konfigurasi NTPD yang tidak menyebutkan ::

  • aktifkan / Nonaktifkan auth / Monitor / PLL / PPS / Stats - nyalakan matikan modus operasi:
    • auth.- Dengan tetangga yang tidak sah untuk berkomunikasi hanya dalam mode otentikasi;
    • monitor- Izinkan pemantauan permintaan;
    • pLL.- Izinkan pengaturan frekuensi jam lokal di NTP;
    • statistik.- Memungkinkan koleksi statistik;
  • statistikloopstats.- Dengan setiap modifikasi jam lokal, tulis garis ke file loopstats.;
  • statistikpeerTats.- Setiap komunikasi dengan tetangga ditulis ke log yang disimpan dalam file peerTats.;
  • statistikclockstats.- Setiap pesan dari driver jam lokal ditulis ke log yang disimpan dalam file clockstats.;
  • statsdir.(Catalog_name_setatistics) - Menentukan nama direktori di mana akan ada file dengan statistik server;
  • fileGen. - Menentukan algoritma pembuatan file, yang terdiri dari:
    • awalan- Bagian permanen dari nama file diatur baik saat mengkompilasi atau perintah konfigurasi khusus;
    • nama file - ditambahkan ke awalan tanpa garis miring, dua poin dilarang, itu dapat diubah dengan kunci Berkas;
    • akhiran- dihasilkan tergantung pada typename;
  • mEMBATASI.numerik-alamat- Menentukan akses pembatasan: paket diurutkan dan masker, alamat awal diambil dan konsisten dibandingkan, bendera diambil dari perbandingan sukses terakhir. mengakses:
    • tidak ada bendera - Berikan akses;
    • mengabaikan.- abaikan semua paket;
    • noquery.- mengabaikan NTP 6 dan 7 paket (permintaan dan modifikasi negara);
    • nomodifikasi.- Abaikan paket NTP 6 dan 7 (modifikasi negara);
    • terbatas- Untuk melayani hanya sejumlah pelanggan dari jaringan ini;
    • nopeer.- Untuk melayani tuan rumah, tetapi tidak disinkronkan dengannya;
  • clientlimit.membatasi.- untuk bendera terbatasmenentukan jumlah maksimum pelanggan yang dilayani (secara default 3);

Total, kami mendapat NTPD-serveryang disinkronkan dengan dunia luar, memungkinkan Anda untuk menerima waktu untuk pelanggan dari jaringan area lokal 192.168.0.1 dengan masker 255.25.255.0, serta dapat menyinkronkan dengan server lokal (jika Anda melakukan beberapa baris). Kami telah pergi untuk menyesuaikan pelanggan dan belajar cara menonton server kami.

Pengamatan server dan sinkronisasi NTPD

Ketika Anda semua dikonfigurasi. Ntp akan menjaga waktu dalam keadaan tersinkronisasi. Proses ini dapat diamati menggunakan perintah NTP Query (NTPQ):

NTP-Server: ~ # ntpq -P Jarak Jauh refid St T KETIKA POLL REACH DELAY OFFSET JITTER \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d -N3. Time1.d6.hsd .pps. 1 u 34 64 177 70.162 2.375 8.618 + ntp1.vniiftri.r .pps. 1 u 33 64 177 43.479 -0.020 10.198 * ntp2.vniiftri.r .pps. 1 U 6 64 177 43,616 -0,192 0,688 + NTP4.Vniiftri.r pps. 1 u 4 64 177 43.623 0.440 0.546 -n1.time1.d6.hsd .pps. 1 u 53 64 77 92.865 -11.358 38.346 -NS1.HSDN.ORG .GPS. 1 U 40 64 177 78,057 -3,292 35,083 -NTP3.Vniiftri.r pps. 1 U 44 64 77 47,667 2,292 2,611 -Scylla-L0.msk.c 192.43.244.18 2 U 62 64 77 41,565 -1,564 28,914

Perintah ini dengan tombol -P menampilkan daftar sumber waktu dengan karakteristiknya (parameter perintah lain di Man NTPQ). Nilai setiap kolom sebagai berikut:

Nama server NTP jarak jauh. Jika Anda menentukan tombol -N, Anda akan menerima alamat IP server alih-alih nama.

Menunjukkan di mana setiap server mendapat waktu saat ini. Ini bisa menjadi nama host atau sesuatu seperti .gps., Menunjukkan sumbernya global System. Posisi (sistem posting global).

Strata nomor ini dari 1 hingga 16, menunjukkan keakuratan server. Unit berarti akurasi maksimum, 16 - server tidak tersedia. Level Anda akan sama dengan level server jarak jauh yang paling tidak akurat ditambah 1.

Interval antara polling (dalam detik). Nilai akan diubah antara frekuensi jajak pendapat minimum dan maksimum. Pada awalnya, intervalnya akan kecil sehingga sinkronisasi terjadi dengan cepat. Setelah jam disinkronkan, interval mulai meningkat untuk mengurangi lalu lintas dan beban pada server waktu yang populer.

Representasi oktal dari array 8 bit mencerminkan hasil dari delapan upaya terakhir untuk terhubung ke server. Bit diatur jika server jarak jauh merespons.

Jumlah waktu (dalam detik) diperlukan untuk menerima jawaban atas permintaan "jam berapa?".

Bidang yang paling penting. Perbedaan antara lokal dan server jarak jauh. Selama sinkronisasi, nilai ini harus dikurangi (pendekatan ke nol), menunjukkan bahwa jam dari mesin lokal meningkat lebih akurat.

Dispersi (Jitter) adalah ukuran penyimpangan statistik dari nilai offset (Offset lapangan) untuk beberapa parameter sukses meminta-respon. Nilai dispersi yang lebih kecil adalah lebih baik, karena memungkinkan untuk lebih akurat sinkronisasi waktu.

Arti tanda sebelum nama server

x adalah sumber palsu dalam algoritma persimpangan;
. - dikecualikan dari daftar kandidat karena jarak jauh;
- - Dihapus dari daftar calon algoritma clustering;
+ - memasuki daftar final kandidat;
# - dipilih untuk sinkronisasi, tetapi ada 6 kandidat terbaik;
* - dipilih untuk sinkronisasi;
o - dipilih untuk sinkronisasi, tetapi digunakan PPS;
Ruang - tingkat terlalu besar, siklus atau kesalahan eksplisit;

Layanan NTPD."Smart" dan menyaring sumber waktu terlalu merobohkan ruang lingkup yang masuk akal. Setelah beberapa waktu, setelah meluncurkan NTPD, itu akan memilih sumber data yang paling andal dan akan disinkronkan dengannya. Daftar Referensi Server NTP yang dikirimkan oleh kami secara teratur direvisi oleh layanan.

Periksa fitur sinkronisasi secara lokal di server dimungkinkan oleh perintah:

NTP-server: ~ # ntpdate -q localhost server 127.0.0.1, strata 2, offset -0.000053, delay 0.02573 server :: 1, stratum 2, offset -0.000048, delay 0.02571 14 Jan 14:49:57 NTPDate: Menyesuaikan waktu server :: 1 offset -0.000048 detik

Dari output dari perintah itu dapat dilihat bahwa server kami sudah menjadi tingkat Strata 2. Untuk mencapai dari level ini, perlu untuk sementara waktu. Mungkin dalam 10-15 menit pertama tingkat server akan lebih tinggi.

Pada operasi yang benar dari server NTP, Anda juga dapat menilai log daemon NTPD:

Ntp-server: ~ # cat / var / ntpstats / ntp 13 Jan 20:13:16 ntpd: mendengarkan di antarmuka # 5 eth0, fe80 :: A00: 27FF: FEC1: 8059 # 123 Diaktifkan 13 Jan 20:13: 16 ntpd: mendengarkan di antarmuka # 6 eth0, 192.168.0.8 # 123 Diaktifkan 14 Jan 14:31:00 Ntpd: disinkronkan ke 62.117.76.142, strata 1 14 Jan 14:31:10 NTPD: Time reset +10.291312 S 14 Jan 14 : 31: 10 NTPD: Kernel Waktu Sync Status Perubahan 0001 14 Jan 14:34:31 Ntpd: disinkronkan ke 88.147.255.85, strata 1 14 Jan 14:36:04 NTPD: disinkronkan ke 62.117.76.141, Strata 15: 04:36 NTPD: disinkronkan ke 62.117.76.142, strata 1 14 Jan 15:10:58 Ntpd: disinkronkan ke 62.117.76.140, strata 1 14 Jan 15:17:54 NTPD: Tidak ada server mencapai 14 Jan 15:31:49 NTPD : Disinkronkan ke 62.117.76.140, strata 1 14 Jan 15:32:14 NTPD: Waktu reset +13.139105 s

Mengatur Netfilter (iptables) untuk server NTP

Mengkonfigurasi kerja server, akan menyenangkan untuk melindunginya. Kita tahu bahwa server bekerja pada port 123 / UDP, sementara permintaan juga dikirim dari port 123 / UDP. Setelah membaca artikel, dan akrab dengan praktis, Anda dapat membuat aturan untuk memfilter lalu lintas jaringan:

NTP ~ # iptables-save # aturan iptables khas untuk DNS * Filter: Input Drop: Forward Drop: output drop -a input -AI -J menerima -A Input -M Conntrack - ActState-ActState -m conntrack - cctstate tidak valid -j drop # Izinkan akses jaringan lokal ke server NTP: -Aput -s 192.168.1/24 -d 192.168.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1/32 -P KonTrack - - Ctstate new -j menerima -a output -o lo -j menerima - output -p icmp -j menerima -a output -p udp -m udp 32768: 61000 -j menerima -p tcp -p --Sport 32768: 61000 -J menerima -A output -M Conntrack - Actate terkait, didirikan -j menerima # Izinkan akses server NTP untuk membuat permintaan keluar -A output -P UDP - Pedeport 123 -m conntrack --ctstate baru -j menerima komit

Ini adalah contoh khas! Untuk mengatur aturan iptables untuk tugas dan konfigurasi jaringan Anda, Anda perlu memahami prinsip Work Netfilter di Linux, membaca artikel di atas.

Menyiapkan Mesin Klien

Untuk menyinkronkan waktu pada mesin Unix Jaringan lokal disarankan untuk menggunakan utilitas NTPDate, meluncurkannya beberapa kali sehari, misalnya, setiap jam. Untuk melakukan ini, Anda perlu menambahkan baris berikut:

0 * * * * * / usr / sbin / ntpdate -s

Kunci mengirim output perintah. Jika mesin klien memiliki sepasang megabyte yang tidak perlu RAM, Anda dapat menjalankan daemon ntpd, seperti di server dengan konfigurasi sebagai berikut:

Server. Batasi Default Abaikan Batas NoQuery Notrap membatasi 127.0.0.1 NOMODIFY NOTRAP

Saya pikir dalam konfigurasi ini, semuanya jelas: sumber waktu (server) adalah server NTPD lokal, untuk menonaktifkan semuanya, hanya mengizinkan server NTPD lokal.

Juga, pada klien, Anda harus menentukan dengan benar dalam format mana untuk menyimpan waktu dan memilih zona waktu yang benar ,.

Untuk mengkonfigurasi Klien Windows NTPPerintah berikut harus dieksekusi di konsol:

C: \\\u003e waktu bersih / setsntp: Perintah selesai dengan sukses. C: \\\u003e Stop Net W32Time Layanan Windows Time berhenti. Layanan Windows Time dihentikan dengan sukses. C: \\\u003e NET START W32TIME Layanan Windows Time dimulai. Layanan Windows Time dimulai dengan sukses. C: \\\u003e Waktu net / querysntp Nilai SNTP saat ini adalah: Perintah selesai dengan sukses.

Kesimpulan

Yah, sepertinya semuanya! Volume artikel ternyata sangat besar ... Saya bahkan tidak berharap. Mari kita bawa hasil kecil yang diuraikan. Pada artikel ini, kami berharap itu menjadi jelas apa itu dan bagaimana server NTP berfungsi. Belajar menyesuaikan server dan klien di Unix dan Mesin Windows. Dalam beberapa kata, saat struktur sinkronisasi dalam jaringan lokal adalah sebagai berikut: ada 1,2 atau lebih akurat waktu server di jaringan lokal, mereka melakukan sinkronisasi waktu mereka dengan sumber eksternal dalam jaringan global. Server dan Pelanggan Pengaturan didasarkan pada file /etc/ntp.conf (Main File Konfigurasi dari ntpd Setan), / etc / localtime (waktu saat file zona), serta / etc / sysconfig / ntp (untuk RH) dan / ETC / DEFAULT / NTP (untuk DEB) - Setan awal file parameter. Untuk server NTP lokal dalam file konfigurasi, server eksternal ditentukan waktu untuk mendapatkan waktu dan akses untuk server ini diperbolehkan oleh MEMBATASI parameter, serta untuk komputer jaringan lokal, klien menunjukkan sumber waktu - server lokal Pada jaringan lokal, serta akses ke semua, kecuali sumber waktu pada jaringan lokal. Segala sesuatu. Terima kasih atas perhatian Anda! Saya akan dengan senang hati berkomentar!

  • (Arsip artikel) menjelaskan cara menghubungkan GPS ke server untuk mengatur stratum server waktu yang tepat.
  • Dijelaskan cara mengkonfigurasi otorisasi pada server NTP.

Selamat siang pembaca dan situs blog tamu, karena banyak orang berbicara tentang waktu itu cepat atau lambat berjalan, dan semua orang mengerti bahwa itu sangat berharga dan penting. Jadi di infrastruktur Active Directory, itu adalah salah satunya faktor-faktor penting, fungsi domain yang tepat. Dalam domain tersebut, semua orang saling percaya, dan setelah masuk dan setelah menerima semua tiket dari Kerberos, pengguna berjalan di mana saja, terbatas pada hak yang tersedia. Jadi, jika Anda tidak memiliki waktu yang tepat di workstation Anda ke pengontrol domain, Anda dapat mengasumsikan bahwa Anda memulai masalah serius yang akan kami bicarakan dan pertimbangkan bagaimana cara menghilangkannya dengan mereka pengaturan server NTP di Windows.

Sinkronisasi waktu di Direktori Aktif

Di antara komputer yang berpartisipasi dalam Active Directory, skema sinkronisasi waktu berikut ini berfungsi.

  • Pengontrol domain root di hutan iklan yang menjadi peran FSMO dari emulator PDC termasuk (sebut itu Root PDC), adalah sumber waktu untuk semua pengontrol lain dari domain ini.
  • Pengontrol anak perusahaan menyinkronkan waktu dengan topologi pengontrol domain AD.
  • Anggota yang tepat dari domain (server dan workstation) menyinkronkan waktu mereka dengan pengontrol domain yang terjangkau kepada mereka, mengamati topologi iklan.

Root PDC dapat menyinkronkan waktunya sebagai sumber eksternal dan dengan dirinya sendiri, konfigurasi default terakhir adalah absurd, yang secara berkala mengisyaratkan kesalahan dalam log sistem.

Sinkronisasi klien Root PDC dapat dilakukan baik dari jam-jam internal dan dari sumber eksternal. Dalam kasus pertama, server waktu PDC root menyatakan dirinya sebagai "dapat diandalkan" (dapat diandalkan).

Selanjutnya, saya akan memberikan konfigurasi yang optimal dari server waktu Root PDC dari sudut pandang saya, di mana Root PDC itu sendiri secara berkala menyinkronkan waktunya dari sumber yang dapat diandalkan di Internet, dan waktu klien yang menghubungi itu menyinkronkan dengan jam internal mereka .

Kami masuk netdom Query FSMO.Dalam contoh saya, peran server PDC dan NTP termasuk dalam pengontrol DC7

Konfigurasi server NTP pada PDC Root

Mengkonfigurasi server waktu di Windows (server NTP) dapat dilakukan sebagai menggunakan utilitas baris perintah. w32TM.dan melalui registri. Jika memungkinkan, saya akan memberikan kedua opsi. Tetapi pada awalnya, lihat pengaturan Anda di komputer Anda, ini dilakukan oleh tim:

w32TM / Kueri / Konfigurasi

Eventlogflags: 2 (lokal)
Announceflags: 10 (lokal)
TimejumpuditOffset: 28800 (lokal)
Minpollinterval: 6 (lokal)
MaxPollInterval: 10 (lokal)
MaxnegPhaseCrection: 172800 (lokal)
MaxposPhaseCrection: 172800 (lokal)
MaxallowEdphaseOffset: 300 (lokal)

FrekuensiCorrectrate: 4 (lokal)
Polladjustfactor: 5 (lokal)
LargephaseOffSet: 50000000 (lokal)
Spikewatchperiod: 900 (lokal)
LocalClockDispersi: 10 (lokal)
Holdperiod: 5 (lokal)
PhaseCorrectrate: 7 (lokal)
PerbaruanInterVal: 100 (lokal)

NtpClient (lokal)

Diaktifkan: 1 (lokal)
InputProvider: 1 (lokal)
CrossSitentSyncFlags: 2 (lokal)

ResolusiPeerbackOffMinuts: 15 (lokal)
ResolusiPeerbackOffMaxTimes: 7 (lokal)
Kompatibilitas: 2147483648 (lokal)
Eventlogflags: 1 (lokal)
LESTESAMPSEKEGH: 3 (lokal)
SpecialPollInterval: 3600 (lokal)
Jenis: NT5DS (lokal)

Ntserver (lokal)
DllName: C: \\ windows \\ system32 \\ w32time.dll (secara lokal)
Diaktifkan: 1 (lokal)
InputProvider: 0 (lokal)
AllownAnstandModecombinations: 1 (lokal)

Vmictimeprovider (lokal)
DllName: C: \\ windows \\ system32 \\ vmictimeprovider.dll (lokal)
Diaktifkan: 1 (lokal)
InputProvider: 1 (lokal)

Mengaktifkan sinkronisasi jam internal dengan sumber eksternal


Mengaktifkan NTP Server.

Server NTP default diaktifkan pada semua pengontrol domain, tetapi Anda dapat mengaktifkannya di server peringkat.


Mengatur daftar sumber eksternal untuk sinkronisasi


Bendera 0 × 8 pada akhirnya berarti sinkronisasi harus terjadi pada mode klien NTP, melalui interval waktu yang diusulkan oleh server ini. Untuk mengatur interval sinkronisasi Anda, Anda harus menggunakan bendera 0 × 1.

Mengatur interval sinkronisasi dengan sumber eksternal

Waktu dalam hitungan detik antara survei sumber sinkronisasi, 900C default \u003d 15 menit. Ini hanya berfungsi untuk sumber berlabel 0 × 1 bendera.


  • "SpecialPollInterval" \u003d DWORD: 00000384

Mengatur koreksi positif minimum dan negatif

Koreksi waktu positif dan negatif maksimum (perbedaan antara jam internal dan sumber sinkronisasi) dalam hitungan detik, ketika sinkronisasi terlampaui, tidak terjadi. Saya merekomendasikan 0xFFFFFFFFFFFFFFFFFFFF, di mana koreksi selalu dapat dilakukan.


"MaxposPhaseCrection" \u003d DWORD: FFFFFFFFF
"MaxnegPhaseCrection" \u003d DWORD: FFFFFFFFF

Semua satu baris yang diperlukan

w32tm.exe / config /manualpeerlist_"time.nist.gov.0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 pool.ntp.org, 0x8 "/ SyncFromFlags: Manual / SyncFlomFlags: Manual / Handal : Ya / Pembaruan

Tim yang berguna

  • Penerapan perubahan yang dilakukan pada konfigurasi
    W32TM / CONFIG / UPDATE
  • Sinkronisasi paksa dari sumber
    W32TM / Resync / Rediscover
  • Menampilkan status sinkronisasi pengontrol domain di domain
    W32TM / Monitor.
  • Menampilkan sumber sinkronisasi saat ini dan statusnya
    W32TM / Query / Peers

Menyiapkan Kebijakan NTP Server dan Grup Klien

Jika Anda memiliki domain direktori aktif domain, itu bodoh untuk tidak menggunakan kebijakan grup, untuk konfigurasi massal server dan workstation, saya akan menunjukkan cara mengkonfigurasi server NTP Anda di Windows dan klien. Buka alat "Editor Kebijakan Grup". Sebelum Anda mengkonfigurasi server NTP kami di Windows, kami perlu membuat filter WMI yang hanya akan menerapkan kebijakan ke server Wizard PDC.

Kami memasukkan nama kueri, namespace akan memiliki nilai "Root \\ CIMV2" dan meminta "Pilih * dari Win32_ComputerSystem di mana DomainRole \u003d 5". Simpan saja.

Kemudian Anda membuat kebijakan pada wadah pengontrol domain.

Di bagian bawah kebijakan, Anda menerapkan filter WMI Anda yang dibuat.

Pergi ke cabang: Konfigurasi Komputer\u003e Kebijakan\u003e Template administratif\u003e Sistem\u003e Layanan Waktu Windows\u003e Pemasok Waktu.

Di sini Anda membuka kebijakan "Konfigurasi NTP Client Windows". Atur parameter

  • Ntserver: 0.ru.pool.ntp.org.0x1, 1.ru.pool.ntp.0x1, 2.Ru.pool.ntp.0x1, 3.ru.pool.ng.0x1
  • Jenis: NTP.
  • CrossSitentSyncFlags: 2. Dua berarti jika parameter ini 2 (semua), Anda dapat menggunakan peserta sinkronisasi apa pun. Nilai ini diabaikan jika NT5DS tidak ditentukan. Nilai default: 2 (desimal) (0x02 (heksadesimal))
  • ResolusiPeerBackOffMinutes: 15. Nilai ini dinyatakan dalam hitungan menit, mendefinisikan interval ekspektasi layanan W32Time sebelum mencoba izin nama DNS jika terjadi kegagalan. Nilai default: 15 menit
  • Mengatasi Peer BackoffMaxTimes: 7. Nilai ini menentukan jumlah upaya untuk menyelesaikan nama DNS yang dilakukan oleh layanan W32Time sebelum memulai kembali proses deteksi. Dengan setiap resolusi nama DNS yang tidak berhasil, interval harapan sebelum upaya berikutnya berlipat ganda. Nilai default: tujuh upaya.
  • SpecilalpoolInterval: 3600. Nilai ini dari parameter klien NTP, dinyatakan dalam detik, menentukan frekuensi pemungutan suara sumber waktu manual yang dikonfigurasi yang menggunakan interval interval khusus. Jika parameter NTPCerver diatur ke bendera SpecialInterval, klien menggunakan nilai yang ditentukan sebagai specialpollinterval, alih-alih nilai minpollinterval dan maxpollinterval untuk menentukan frekuensi survei sumber waktu. Nilai default: 3600 detik (1 jam).
  • EventLogFlags: 0.

Kami memisahkan kebijakan Grup Untuk pekerja klien, di sini dengan parameter tersebut.

  • NTSERVER: Alamat pengontrol domain Anda dengan peran PDC.
  • Jenis: NT5DS.
  • Crosssitesyncflags: 2.
  • ResolusiPeerbackOffMinuts: 15.
  • Mengatasi BackoffmaxTime peer: 7
  • SpecilalpoolInterval: 3600.
  • EventLogFlags: 0.

Artikel serupa.