Ntp serveris pēc noklusējuma. Ntp instalēšana Ubuntu

Par NTP servera konfigurēšanu un pārvaldību sistēmā Windows Server

Visām Windows operētājsistēmām, sākot no Windows 2000, ir laika pakalpojums W32Laiks... Šis pakalpojums ir paredzēts, lai sinhronizētu sistēmas laiku organizācijā. Pakalpojums W32Time ir atbildīgs gan par laika pakalpojuma klienta, gan servera daļu darbību, savukārt viens un tas pats dators var būt gan klients, gan NTP (tīkla laika protokols) serveris.

Pēc noklusējuma Windows laika pakalpojums ir konfigurēts šādi:

Instalējot operētājsistēma Windows palaiž NTP klientu un sinhronizē ar ārēju laika avotu;
Kad domēnam tiek pievienots dators, tiek mainīts sinhronizācijas veids. Visi domēna klientu datori un dalībnieku serveri izmanto domēna kontrolleri, lai sinhronizētu savu laiku;
Kad biedra serveris tiek paaugstināts par domēna kontrolieri, tajā tiek palaists NTP serveris, kas kā laika avotu izmanto kontrolieri ar PDC emulatora lomu;
PDC emulators, kas atrodas meža saknes domēnā, ir galvenais laika serveris visai organizācijai. Tajā pašā laikā viņš pats tiek sinhronizēts arī ar ārēju laika avotu.

Šī shēma darbojas vairumā gadījumu un neprasa iejaukšanos. Tomēr laika pakalpojuma struktūra sistēmā Windows var neatbilst domēna hierarhijai, un jebkuru datoru var noteikt kā uzticamu laika avotu. Kā piemēru es aprakstīšu NTP servera iestatīšanu sistēmā Windows Server 2008 R2, lai gan kopš Windows 2000 procedūra nav daudz mainījusies.

NTP servera palaišana

Uzreiz atzīmēju, ka laika pakalpojumam Windows Server (no 2000. līdz 2012. gadam) nav grafiskais interfeiss un ir konfigurējams no abiem komandrinda vai tieši rediģējot sistēmas reģistrs... Personīgi otrā metode man ir tuvāka, tāpēc ejam uz reģistru.

Tātad, pirmā lieta, kas mums jādara, ir palaist NTP serveri. Atveriet reģistra filiāli
HKLM \ System \ CurrentControlSet \ services \ W32Time \ TimeProviders \ NtpServer.
Šeit, lai iespējotu NTP servera parametru Iespējots jāiestata vērtība 1 .

Pēc NTP pakalpojuma restartēšanas serveris jau ir aktīvs un var apkalpot klientus. Mēs to varam pārbaudīt, izmantojot komandu w32tm / query / configuration. Šī komanda parāda pilnu pakalpojumu parametru sarakstu. Ja sadaļa NtpServer satur virkni Iespējots: 1, tad viss ir kārtībā, darbojas laika serveris.

Lai NTP serveris apkalpotu klientus, neaizmirstiet atvērt UDP portu 123 ienākošajai un izejošajai trafikai ugunsmūrī (ugunsmūrī).

NTP servera pamatiestatījumi

NTP serveris tika ieslēgts, tagad jums tas jākonfigurē. Atveriet reģistra filiāli HKLM \ System \ CurrentControlSet \ services \ W32Time \ Parameters. Šeit mūs galvenokārt interesē parametrs Tips kas nosaka sinhronizācijas veidu. Tas var iegūt šādas vērtības:

NoSync - NTP serveris nav sinhronizēts ar nevienu ārēju laika avotu. Tiek izmantots servera CMOS mikroshēmā iebūvēts pulkstenis;
NTP - NTP serveris sinhronizējas ar ārējiem laika serveriem, kas norādīti reģistra parametrā NtpServer;
NT5DS - NTP serveris veic sinhronizāciju atbilstoši domēna hierarhijai;
AllSync - NTP serveris sinhronizācijai izmanto visus pieejamos avotus.

Datora, kas ir domēna dalībnieks, noklusējuma vērtība ir NT5DS, atsevišķi stāvošs dators - NTP.

Un parametrs NtpServer, kas norāda NTP serverus, ar kuriem tiks sinhronizēts laiks šis serveris... Pēc noklusējuma šis parametrs satur Microsoft NTP serveri (time.windows.com, 0x1); ja nepieciešams, varat pievienot vēl vairākus NTP serverus, ievadot to DNS nosaukumus vai IP adreses ar atstarpi. Pieejamo laika serveru sarakstu var apskatīt, piemēram.

Katra vārda beigās varat pievienot karodziņu (piem. , 0x1), kas nosaka sinhronizācijas režīmu ar laika serveri. Ir atļautas šādas vērtības:

0x1- SpecialInterval, izmantojot īpašu aptaujas intervālu;
0x2- UseAsFallbackOnly režīms;
0x4- SymmetricActive, simetrisks aktīvais režīms;
0x8- Klients, nosūtot pieprasījumu klienta režīmā.

Izmantojot SpecialInterval karodziņu, taustiņā jāiestata intervāla vērtība SpecialPollInterval... Ja ir iestatīts karodziņš UseAsFallbackOnly, laika pakalpojums tiek informēts, ka šis serveris tiks izmantots kā gaidīšanas serveris un ka pirms sinhronizācijas ar to tiks veikti zvani uz citiem sarakstā esošajiem serveriem. Simetrisko aktīvo režīmu pēc noklusējuma izmanto NTP serveri, un klienta režīmu var iespējot sinhronizācijas problēmu gadījumā. Microsoft iesaka visur ievietot = parametru 0x1.

Svarīgs parametrs Paziņot par karogiem atrodas reģistra atslēgā HKLM \ System \ CurrentControlSet \ services \ W32Time \ Config. Tas ir atbildīgs par to, kā apgalvo NTP serveris, un var iegūt šādas vērtības:

0x0 ( Nav laika serveris) - serveris sevi kā laika avotu nereklamē, izmantojot NetLogon. Tā var atbildēt uz NTP pieprasījumiem, bet kaimiņi to nevarēs atpazīt kā laika avotu;
0x1(Vienmēr laika serveris) - serveris vienmēr paziņos par sevi neatkarīgi no tā statusa;
0x2(Automātiskais laika serveris) - serveris reklamēs sevi tikai tad, ja saņems uzticams laiks no cita kaimiņa (NTP vai NT5DS);
0x4(Vienmēr uzticams laika serveris) - serveris vienmēr pasludinās sevi par uzticamu laika avotu;
0x8(Automātisks uzticams laika serveris) - domēna kontrolleris tiek automātiski atzīts par uzticamu, ja tas ir meža saknes domēna PDC emulators. Šis karogs ļauj meža galvenajam PDC sevi apstiprināt kā pilnvarotu laika avotu visam mežam, pat ja nav savienojuma ar augšupējiem NTP serveriem. Nav citu kontrolieru vai dalībnieku servera (ar noklusējuma karodziņu 0x2) nevar pasludināt sevi par uzticamu laika avotu, ja nevar atrast laika avotu sev.

Nozīme Paziņot par karogiem ir tā veidojošo karogu summa, piemēram:

10 = 2 + 8 - NTP serveris apgalvo, ka ir uzticams laika avots, ja tas saņem laiku no uzticama avota vai ir saknes domēna PDC. Karogs 10 ir noklusējums gan domēna dalībniekiem, gan atsevišķiem serveriem.

5 = 1 + 4 - NTP serveris vienmēr apgalvo, ka ir uzticams laika avots. Piemēram, karodziņš 5 ir nepieciešams, lai dalībnieka serveri (nevis domēna kontrolleri) pasludinātu par uzticamu laika avotu.

Nosakīsim intervālu starp atjauninājumiem. Par to ir atbildīga iepriekš minētā atslēga. SpecialPollInterval, kas atrodas reģistra filiālē HKLM \ System \ CurrentControlSet \ services \ W32Time \ TimeProviders \ NtpClient. Tas ir iestatīts sekundēs, un pēc noklusējuma tā vērtība ir 604800, kas ir 1 nedēļa. Tas ir daudz, tāpēc ir vērts samazināt SpecialPollInterval vērtību līdz saprātīgai vērtībai, teiksim, 1 stundai (3600).

Laika pakalpojumu kontroles komandas W32Laiks:

w32tm / config / update - atjauniniet pakalpojuma konfigurāciju.

w32tm / monitors - uzziniet, cik ilgs ir sistēmas laiks šis dators atšķiras no laika domēna kontrollerī vai citos datoros. Piemēram: w32tm / monitor /computers:time.nist.gov
w32tm / resync - piespiedu sinhronizācija ar izmantoto laika serveri.
w32tm / stripchart - parāda laika starpību starp pašreizējo un attālais dators, un var parādīt rezultātu grafiskā formā. Piemēram, komanda w32tm / stripchart /computer:time.nist.gov / sample: 5 / dataonly veiks 5 salīdzinājumus ar norādīto avotu un parādīs rezultātu kā tekstu.

w32tm / config ir komanda, ko izmanto, lai konfigurētu NTP pakalpojumu. Ar tās palīdzību jūs varat iestatīt izmantoto laika serveru sarakstu, sinhronizācijas veidu un daudz ko citu. Piemēram, lai ignorētu noklusējuma vērtības un konfigurētu laika sinhronizāciju ar ārēju avotu, varat izmantot komandu w32tm / config / syncfromflags: manual /manualpeerlist:time.nist.gov / update
w32tm / query - parāda pakalpojuma pašreizējos iestatījumus. Piemēram, komanda w32tm / query / source parādīs pašreizējo laika avotu, un w32tm / query / configuration parādīs visus pakalpojuma parametrus.
w32tm / atcelt reģistrāciju - noņem datora laika pakalpojumu
w32tm / register - reģistrē laika pakalpojumu personālajā datorā, visa parametru filiāle tiek atkārtoti izveidota reģistrā.

Sazinoties ar

Windows laika pakalpojums, neskatoties uz šķietamo vienkāršību, ir viens no pamatiem, kas nepieciešami normālai domēna darbībai. Active Directory... Pareizi konfigurētā AD vidē laika pakalpojums darbojas šādi: lietotāju datori iegūst precīzu laiku no tuvākā domēna kontrollera, kurā viņi reģistrējās. Visi domēna kontrolleri savukārt saņem precīzu laiku no DC ar " PDC emulators”, Un PDC kontrolieris sinhronizē savu laiku ar kādu. Viens vai vairāki NTP serveri var darboties kā ārējs laika avots, piemēram, time.windows.com vai jūsu interneta pakalpojumu sniedzēja NTP serveris. Jāatzīmē arī, ka pēc noklusējuma klienti domēnā sinhronizē savu laiku, izmantojot Windows laika pakalpojumu, nevis izmantojot NTP.

Ja jūs saskaraties ar situāciju, kad laiks klientiem un domēna kontrolleriem ir atšķirīgs, iespējams, ka jūsu domēnam ir problēmas ar laika sinhronizāciju, un šis raksts jums būs noderīgs.

Vispirms izvēlieties piemērotu NTP serveri, kuru varat izmantot. Publiski pieejamo NTP serveru saraksts ir pieejams vietnē http://ntp.org. Mūsu piemērā mēs izmantosim NTP serverus no pūla ru.pool.ntp.org:

0.ru.pool.ntp.org
1.ru.pool.ntp.org
2.ru.pool.ntp.org
3.ru.pool.ntp.org

Domēna laika sinhronizācijas konfigurēšana, izmantojot grupas politiku, sastāv no divām darbībām:

1) Izveidojiet GPO domēna kontrolierim ar PDC lomu
2) Izveidojiet GPO klientiem (pēc izvēles)

NTP sinhronizācijas politikas konfigurēšana PDC domēna kontrollerī

Šis solis ietver domēna kontrollera konfigurēšanu ar PDC emulatora lomu, lai sinhronizētu tā laiku ar ārēju NTP serveri. Jo teorētiski PDC emulatora loma var pārvietoties starp domēna kontrolieriem, mums ir jāizveido politika, kas attiecas tikai uz pašreizējo PDC lomas īpašnieku. Lai to izdarītu, pārvaldības konsolē Grupas politikas pārvaldības konsole(GPMC.msc), izveidojiet jaunu. Lai to izdarītu, sadaļā WMI filtri izveidojiet filtru un nosaukumu PDC emulators un WMI vaicājums: Win32_ComputerSystem atlasiet *, kur DomainRole = 5

Pēc tam izveidojiet jaunu GPO un piešķiriet to domēna kontrolleru konteineram.

Pārslēdzieties uz politikas rediģēšanas režīmu un izvērsiet šādu politikas sadaļu: Datora konfigurācija-> Administratīvās veidnes-> Sistēma-> Windows laika pakalpojums-> Laika nodrošinātāji

Mūs interesē trīs politiķi:

Konfigurējiet Windows NTP klientu: Iespējots (politikas iestatījumi ir aprakstīti zemāk)
Iespējot Windows NTP klientu: Iespējots
Iespējot Windows NTP serveri: Iespējots

Politikas iestatījumos Konfigurējiet Windows NTP klientu norādiet šādus parametrus:

NtpServer: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.ntp.org, 0x1
Tips: NTP
CrossSiteSyncFlags: 2
ResolvePeerBackoffMinutes: 15
Atrisiniet Peer BAckoffMaxTimes: 7
SpecilalPoolInterval: 3600
EventLogFlags: 0

Padoms... Neaizmirstiet pielāgot ugunsmūris lai PDC serveris varētu piekļūt ārējiem NTP serveriem, izmantojot NTP protokolu (UDP ports 123).

Piezīme... Pievērsiet uzmanību sintaksei laukā NtpServer. Vairāku NTP serveru norādīšanas formāts ir šāds: ntsrv1.org, 0x1 ntpsrv2.org, 0x1(atstarpju atdalītājs). Ekrānuzņēmumā ir kļūdaini dati!

Lietot iepriekš izveidoto filtru PDC emulatorsšai politikai.

Padoms... Jūs varat atrast servera nosaukumu ar PDC lomu, izmantojot komandu: netdom query fsmo

Atliek atjaunināt PDC kontroliera politikas:
gpupdate / force

Manuāla laika sinhronizācijas sākšana:
w32tm / resync

Pārbaudiet pašreizējos NTP iestatījumus:
w32tm / query / status

Padoms... Ja laiks nebija sinhronizēts, restartējiet Windows laika pakalpojumu un atiestatiet pašreizējos iestatījumus:
neto pietura w32time
w32tm.exe / atcelt reģistrāciju
w32tm.exe / reģistrēties
neto sākums w32time

Laika sinhronizācijas konfigurēšana domēna klientiem

Active Directory vidē pēc noklusējuma domēna klienti sinhronizē savu laiku ar domēna kontrolleriem (opcija Nt5DS- sinhronizēt laiku atbilstoši domēna hierarhijai). Parasti šī shēma darbojas un neprasa pārkonfigurāciju. Tomēr, ja jums ir problēmas ar laika sinhronizāciju domēna klientiem, varat mēģināt piespiest laika serveri klientiem, izmantojot GPO.

Lai to izdarītu, izveidojiet jaunu GPO un piešķiriet to konteineriem (OU) ar datoriem. GPO redaktorā dodieties uz sadaļu Datora konfigurācija -> Administratīvās veidnes -> Sistēma -> Windows laika pakalpojums -> Laika nodrošinātāji un iespējojiet politiku Konfigurējiet Windows NTP klientu.

Norādiet PDC nosaukumu vai IP adresi kā NTP serveri, piemēram, msk-dc1.site, 0x9 un kā sinhronizācijas veidu NT5DS

Atjauniniet klientu grupas politikas iestatījumus un pārbaudiet, vai klienti ir veiksmīgi sinhronizējuši savu laiku ar PDC.

Padoms... Iepriekš minētā shēma attiecas tikai uz maziem domēniem. Lieliem izplatītiem domēniem ar liela summa DC un vietnēm katrai vietnei būs jāizveido atsevišķa politika, lai klienti varētu sinhronizēt savu laiku ar vietnes DC.

NTP servera iestatīšana sistēmā Windows

Kopš Windows 2000, viss darbojas Windows sistēmas ietver laika pakalpojumu W32Laiks... Šis pakalpojums ir paredzēts laika sinhronizēšanai organizācijā. W32Time ir atbildīgs gan par laika pakalpojuma klienta, gan servera daļu darbību, un viens un tas pats dators var būt gan klients, gan NTP (tīkla laika protokols) serveris.

Pēc noklusējuma Windows laika pakalpojums ir konfigurēts šādi:

Instalējot operētājsistēmu, Windows palaiž NTP klientu un sinhronizējas ar ārēju laika avotu;
Kad domēnam tiek pievienots dators, tiek mainīts sinhronizācijas veids. Visi domēna klientu datori un dalībnieku serveri izmanto domēna kontrolleri, lai sinhronizētu savu laiku;
Kad biedra serveris tiek paaugstināts par domēna kontrolieri, tajā tiek palaists NTP serveris, kas kā laika avotu izmanto kontrolieri ar PDC emulatora lomu;
PDC emulators, kas atrodas meža saknes domēnā, ir galvenais laika serveris visai organizācijai. Tajā pašā laikā viņš pats tiek sinhronizēts arī ar ārēju laika avotu.

NTP servera palaišana

Uzreiz atzīmēju, ka laika pakalpojumam Windows Server (no 2000. līdz 2012. gadam) nav grafiska interfeisa un tas ir konfigurēts vai nu no komandrindas, vai tieši rediģējot sistēmas reģistru. Personīgi otrā metode man ir tuvāka, tāpēc ejam uz reģistru.

Tad mēs restartējam laika pakalpojumu ar komandu neto apstāšanās w32time && neto sākums w32time

Pēc NTP pakalpojuma restartēšanas serveris jau ir aktīvs un var apkalpot klientus. To var pārbaudīt, izmantojot komandu w32tm / query / configuration. Šī komanda parāda pilnu pakalpojumu parametru sarakstu. Ja sadaļa NtpServer satur virkni Iespējots: 1, tad viss ir kārtībā, darbojas laika serveris.

Lai NTP serveris apkalpotu klientus, neaizmirstiet atvērt ugunsmūra UDP portu 123 ienākošajai un izejošajai datplūsmai.

NTP servera pamatiestatījumi

NTP serveris ir ieslēgts, tagad jums tas jākonfigurē. Atveriet reģistra filiāli HKLM \ System \ CurrentControlSet \ services \ W32Time \ Parameters. Šeit mūs galvenokārt interesē parametrs Tips kas nosaka sinhronizācijas veidu. Tas var iegūt šādas vērtības:

Datora, kas pievienojas domēnam, noklusējuma vērtība ir NT5DS, atsevišķam datoram - NTP.

Un parametrs NtpServer, kas norāda NTP serverus, ar kuriem šis serveris sinhronizēs laiku. Pēc noklusējuma šis parametrs satur Microsoft NTP serveri (time.windows.com, 0x1); ja nepieciešams, varat pievienot vēl vairākus NTP serverus, ievadot to DNS nosaukumus vai IP adreses, kuras atdala ar atstarpi. Pieejamo laika serveru sarakstu var apskatīt, piemēram.

Katra vārda beigās varat pievienot karodziņu (piem. , 0x1), kas nosaka sinhronizācijas režīmu ar laika serveri. Ir atļautas šādas vērtības:

Izmantojot SpecialInterval karodziņu, taustiņā jāiestata intervāla vērtība SpecialPollInterval... Ja ir iestatīts karodziņš UseAsFallbackOnly, laika pakalpojums tiek informēts, ka šis serveris tiks izmantots kā rezerves kopija, un pirms sinhronizācijas ar to tiks veikti zvani uz citiem sarakstā iekļautajiem serveriem. Simetrisko aktīvo režīmu pēc noklusējuma izmanto NTP serveri, un klienta režīmu var iespējot sinhronizācijas problēmu gadījumā. Jūs varat redzēt sīkāku informāciju par sinhronizācijas režīmiem, vai arī nemānieties un vienkārši ievietojiet to visur , 0x1(kā ieteikusi Microsoft).

Vēl viens svarīgs parametrs Paziņot par karogiem atrodas reģistra atslēgā HKLM \ System \ CurrentControlSet \ services \ W32Time \ Config. Tas ir atbildīgs par to, kā apgalvo NTP serveris, un var iegūt šādas vērtības:

0x0 ( Nav laika serveris) - serveris sevi kā laika avotu nereklamē, izmantojot NetLogon. Tā var atbildēt uz NTP pieprasījumiem, bet kaimiņi to nevarēs atpazīt kā laika avotu;
0x1(Vienmēr laika serveris) - serveris vienmēr paziņos par sevi neatkarīgi no tā statusa;
0x2(Automātiskais laika serveris) - serveris reklamēs sevi tikai tad, ja saņems uzticamu laiku no cita kaimiņa (NTP vai NT5DS);
0x4(Vienmēr uzticams laika serveris) - serveris vienmēr pasludinās sevi par uzticamu laika avotu;
0x8(Automātisks uzticams laika serveris) - domēna kontrolieris tiek automātiski pasludināts par uzticamu, ja tas ir meža saknes domēna PDC emulators. Šis karogs ļauj meža galvenajam PDC sevi apstiprināt kā pilnvarotu laika avotu visam mežam, pat ja nav savienojuma ar augšupējiem NTP serveriem. Nav citu kontrolieru vai dalībnieku servera (ar noklusējuma karodziņu 0x2) nevar pasludināt sevi par uzticamu laika avotu, ja nevar atrast laika avotu sev.

Nozīme Paziņot par karogiem ir tā veidojošo karogu summa, piemēram:

Pēc iestatīšanas jums ir jāatjaunina pakalpojuma konfigurācija. To var izdarīt, izmantojot komandu w32tm / config / update. Un vēl dažas komandas laika pakalpojuma konfigurēšanai, uzraudzībai un diagnosticēšanai:

w32tm / monitors - izmantojot šo opciju, jūs varat uzzināt, kā šī datora sistēmas laiks atšķiras no laika domēna kontrollerī vai citos datoros. Piemēram: w32tm / monitors / datori: time.nist.gov
w32tm / resync - Izmantojot šo komandu, varat piespiest datoru veikt sinhronizāciju ar tā izmantoto laika serveri.
w32tm / stripchart - parāda laika starpību starp pašreizējo un attālo datoru, un rezultātu var attēlot grafiskā veidā. Piemēram, komanda w32tm / stripchart /computer:time.nist.gov / paraugi: 5 / dataonly veiks 5 salīdzinājumus ar norādīto avotu un rezultātu parādīs kā tekstu.

w32tm / config ir galvenā komanda, ko izmanto, lai konfigurētu NTP pakalpojumu. Ar tās palīdzību jūs varat iestatīt izmantoto laika serveru sarakstu, sinhronizācijas veidu un daudz ko citu. Piemēram, lai ignorētu noklusējuma vērtības un konfigurētu laika sinhronizāciju ar ārēju avotu, varat izmantot komandu w32tm / config / syncfromflags: manual /manualpeerlist:time.nist.gov / update
w32tm / query - parāda pakalpojuma pašreizējos iestatījumus. Piemēram, komanda w32tm / query / source parādīs pašreizējo laika avotu, un w32tm / query / configuration parādīs visus pakalpojuma parametrus.

Nu, kā pēdējais līdzeklis
w32tm / atcelt reģistrāciju - noņem datora laika pakalpojumu.
w32tm / register - reģistrē laika pakalpojumu datorā. Šajā gadījumā visa parametru filiāle reģistrā tiek izveidota no jauna.

Laba diena, viesi un pastāvīgie lasītāji. Pamazām pāreju no pamatiem uz padziļinātu Linux izpēti. Šodien es vēlos apsvērt ntp protokola darbība, kā arī iestatījumu laika serveri Linux(ntp serveris)... Tātad sāksim ar teoriju.

NTP protokols

Tīkla laika protokols (NTP) - tīkla protokols lai sinhronizētu datora iekšējo pulksteni, izmantojot tīklus ar mainīgu latentumu (lasiet "kanāla platums" / kvalitāte).

NTP izmanto savam darbam UDP protokols un ports 123.

Pašreizējā protokola versija ir NTP 4. NTP izmanto hierarhisku sistēmu "Stundu līmeņi"(tos sauc arī Stratum). 0 līmenis (vai 0 slānis)- parasti tās ir ierīces, kas ir atomu pulksteņi (molekulārie, kvantu), GPS vai radio pulksteņi. Šīs ierīces parasti netiek publicētas pasaules tīklā, bet ir tieši savienotas ar pirmā līmeņa laika serveri izmantojot RS-232 protokolu (attēlā norādīts ar dzeltenām bultiņām). 1. līmenis sinhronizēts ar augstas precizitātes pulksteņiem 0 līmenis parasti darbojas kā serveru avoti 2. līmenis. 2. līmenis sinhronizēta ar kādu no mašīnām 1. līmenis, kā arī iespējamo sinhronizāciju ar tā līmeņa serveriem. 3. līmenis darbojas līdzīgi kā otrais. Parasti tīklā tiek publicēti otrā un zemākā līmeņa serveri. NTP protokols atbalsta līdz 256 līmeņiem. Es vēlos arī atzīmēt, ka 1. un 2. līmeņa serveri un dažreiz pat 3. līmenis ne vienmēr ir publiski pieejami. Dažreiz, lai sinhronizētu ar tiem, jums ir jānosūta pieprasījums pa pastu - domēna administratoriem.

Kāds ir mērķis ierobežot piekļuvi serveriem? Pārejot uz katru līmeni, kļūda attiecībā pret primārais serveris, bet kopējais serveru skaits palielinās un tāpēc.

NTP servera piešķiršana vietējā tīklā

Kāpēc mums ir nepieciešams NTP serveris? Piemēram, operētājsistēmās ir pakalpojumi, kas var būt atkarīgi no sinhronizētā laika. Spilgtākais šādu pakalpojumu piemērs ir Kerberos autentifikācijas protokols. Lai tas darbotos, datoros, kuriem piekļūst, izmantojot šo protokolu, sistēmas laiks atšķiras ne vairāk kā par 5 minūtēm. Turklāt precīzs laiks visos datoros ievērojami atvieglo drošības žurnālu analīzi, izmeklējot incidentus vietējais tīkls.

NTP servera / klienta darbības režīmi

Klients / serveris

Šis režīms ir visizplatītākais internetā. Darba shēma ir klasiska. Klients nosūta pieprasījumu, uz kuru serveris kādu laiku nosūta atbildi. Klients tiek konfigurēts, izmantojot konfigurācijas failā esošo servera direktīvu, kurā ir norādīts laika servera DNS nosaukums.

Simetrisks aktīvs / pasīvs režīms

Šo režīmu izmanto, ja tiek veikta laika sinhronizācija starp lielu skaitu vienādranga mašīnu. Papildus tam, ka katra iekārta ir sinhronizēta ar ārēju avotu, tā sinhronizējas arī ar vienaudžiem, darbojoties kā klients un laika serveris. Tāpēc, pat ja iekārta “zaudē” ārēju avotu, tā joprojām var iegūt precīzu laiku no kaimiņiem. Kaimiņi var strādāt divos režīmos - aktīvā un pasīvā. Strādājot aktīvajā režīmā, iekārta pati nodod savu laiku visām blakus esošajām mašīnām, kas uzskaitītas konfigurācijas faila ntp.conf vienaudžu sadaļā. Ja kaimiņi šajā sadaļā nav norādīti, tad mašīna tiek uzskatīta par pasīvo režīmu. Lai uzbrucējs nevarētu apdraudēt citas mašīnas, uzdodoties par aktīvu avotu, ir jāizmanto autentifikācija.

Apraides režīms

Šo režīmu ieteicams izmantot gadījumos, kad tiek izmantots neliels skaits serveru liels skaits klientiem. Šajā režīmā serveris periodiski izsūta paketes, izmantojot apraides apakštīkla adresi. Šādā veidā sinhronizēt konfigurēts klients saņem servera apraides paketi un sinhronizējas ar serveri. Šī režīma īpatnība ir tāda, ka laiks tiek piegādāts vienā apakštīklā (apraides pakešu ierobežojums). Turklāt, lai aizsargātu pret iebrucējiem, jāizmanto autentifikācija.

Multicast režīms

Šis režīms ir ļoti līdzīgs apraidei. Atšķirība ir tāda, ka pakešu piegādei tiek izmantotas D klases tīklu multicast adreses IP adrešu telpā. Klientiem un serveriem ir iestatīta multicast grupas adrese, ko viņi izmanto laika sinhronizācijai. Tas ļauj sinhronizēt mašīnu grupas, kas atrodas dažādos apakštīklos, ar nosacījumu, ka tos savienojošie maršrutētāji atbalsta IGMP un ir konfigurēti multicast trafika pārraidei.

Manycast režīms

Šis režīms ir jauns NTP protokola ceturtajā versijā. Tas nozīmē, ka klients meklē daudzapraides serverus starp saviem tīkla kaimiņiem, saņem laika paraugus no katra no tiem (izmantojot kriptogrāfiju) un, pamatojoties uz šiem datiem, izvēlas trīs "labākos" daudzapraides serverus, ar kuriem klients sinhronizēsies. Viena servera kļūmes gadījumā klients automātiski atjaunina savu sarakstu.

Lai pārsūtītu laika paraugus, klienti un serveri, kas darbojas daudzapraides režīmā, izmanto multicast grupu (D klases tīkli) adreses. Klienti un serveri, kas izmanto vienu un to pašu adresi, veido to pašu asociāciju. Asociāciju skaitu nosaka izmantoto multicast adrešu skaits.

Laiks Linux

Es īsi pastāstīšu, kāds laiks pastāv Linux un kā to iestatīt. Linux, kā arī citās OS ir 2 reizes. Pirmais - aparatūra dažreiz sauc Reālā laika pulkstenis, saīsināts ( RTC) (tie ir arī BIOS pulkstenis), tie parasti ir saistīti ar svārstīgu kvarca kristālu, kura precizitāte ir līdz vairākām sekundēm dienā. Precizitāte ir atkarīga no dažādām svārstībām, piemēram, apkārtējās vides temperatūras. Otrais pulkstenis ir iekšējs programmas pulkstenis kas darbojas nepārtraukti, arī sistēmas darbības pārtraukumu laikā. Viņi ir pakļauti svārstībām lielas sistēmas slodzes un pārtraukuma latentuma dēļ. Tomēr sistēma parasti nolasa aparatūras pulksteni sāknēšanas laikā un pēc tam izmanto sistēmas pulksteni.

Operētājsistēmas datums un laiks iestatīts sāknēšanas laikā, pamatojoties uz vērtību aparatūras pulkstenis, un laika joslas iestatījumi... Laika joslas iestatījumi tiek ņemti no faila / etc / localtime... Šis fails ir saite (bet biežāk tā kopija) vienam no direktoriju struktūras failiem / usr / share / zoneinfo /.

Linux aparatūras pulkstenis var saglabāt laiku formātā UTC(GMT analogs) vai pašreizējais vietējais laiks. Vispārējais ieteikums par instalēšanas laiku (?) Ir šāds: ja datorā ir instalētas vairākas operētājsistēmas un viena no tām ir Windows, tad ir jāizmanto pašreizējais laiks (jo operētājsistēmai Windows ir vajadzīgs laiks no BIOS / CMOS un uzskata to par vietējo). Ja tiek izmantotas tikai ģimenes UNIX operētājsistēmas, tad vēlams laiku BIOS saglabāt UTC formātā.

Kad operētājsistēma ir ielādēta, operētājsistēmas pulkstenis un BIOS pulkstenis ir pilnīgi neatkarīgi. Sistēmas kodols ik pēc 11 sekundēm sinhronizē sistēmas pulksteni ar aparatūras pulksteni.

Pēc kāda laika starp aparatūras pulksteni un programmatūras pulksteni var būt dažu sekunžu atšķirība. Kurš pulkstenis satur pareizo laiku? Ne viens, ne otrs, kamēr neesam iekārtojušies laika sinhronizācija.

Piezīme:

Linux kodols vienmēr saglabā un aprēķina laiku kā sekundēs, kas pagājušas kopš pusnakts 1970. gada 1. janvāris gadā neatkarīgi no tā, vai jūsu pulkstenis ir iestatīts uz vietējo laiku vai universālo laiku. Konversija uz vietējo laiku tiek veikta pieprasījuma procesa laikā.

Tā kā sekunžu skaits kopš 1970. gada 1. janvāra UTC tiek saglabāts kā parakstīts 32 bitu vesels skaitlis (tas attiecas uz Linux / Intel sistēmām), jūsu pulkstenis pārstās darboties kaut kur 2038. gadā. Linux nav Y2K problēmu, bet ir Y2K problēma. Par laimi, līdz tam visi linux darbosies 64s. bitu sistēmas... 64 bitu vesels skaitlis turēs mūsu pulksteni līdz aptuveni 292 271 miljonam gadam.

NTP serveris Linux

Ievads

Linux operētājsistēmai ir daudz laika sinhronizācijas ieviešanas iespēju. Slavenākie ir Xntpd (NTP versija 3), ntpd (NTP versija 4), Crony un ClockSpeed. Mūsu piemērā mēs izmantosim ntp serveri ntpd.

Ntpd dēmons ir gan laika serveris, gan klients, atkarībā no iestatījumiem /etc/ntpd.conf konfigurācijas failā (dažreiz /etc/ntp.conf) dēmons var gan "saņemt" laiku no attāliem serveriem, gan "izplatīt" "laiks citiem saimniekiem.

Vispārīgi laika sinhronizācijas ķēde vietējā tīklā ir šāds: jums ir jābūt 1 vai 2 serveriem ar piekļuvi globālajam tīklam, kas saņems laiku no interneta. Sinhronizējiet visus vietējā tīkla datorus ar norādītajiem serveriem, kas saņem laiku no interneta.

Ntpd instalēšana

Patiesībā, dēmona uzstādīšana ir jāinstalē šādas paketes: ntp(iepakojumā, ieskaitot pašu dēmonu), ntpdate(manuālās laika sinhronizācijas utilīta ir novecojusi), ntp-doc(pakotnes dokumentācija), dažos izplatījumos tas būs jāinstalē ntp-utils(diagnostikas utilītas), daži ir iekļauti ntp pakotnē. Kā instalēt programmas Linux, es aprakstīju sadaļā. Pēc pakotnes instalēšanas lielākajā daļā izplatījumu dēmons jau tiks konfigurēts kā ntp klients (piemēram, Debian tas bija). Attiecīgi automātiski tika izveidoti galvenie konfigurācijas faili: /etc/ntp.conf un /var/lib/ntp/ntp.drift, un dēmons tika automātiski palaists.

Pirms dēmona konfigurēšanas sinhronizācijai ar ārpasauli es ieteiktu iestatīt pašreizējo sistēmas datumu uz vērtību, kas ir pēc iespējas tuvāka reālajam laikam. Datuma iestatīšana operētājsistēmā Linux ko ražo komanda: datums MMDDhhmmCCYY.ss, kur MM - mēnesis, DD - mēneša diena, hh - stundas, mm - minūtes, CCYY - 4 gada cipari, ss - sekundes. Turklāt vērtības CCYY.ss nav nepieciešams precizēt.

Kā redzat, norādītā komanda pašreizējo datumu un laiku iestatīs uz 2010. gada 27. decembri, 20:06:30. Datuma komanda bez parametriem, parādiet pašreizējo sistēmas laiku. Šai komandai ir virkne parametru, kas atrodami man datumā.

Turklāt ir pareizi jākonfigurē aparatūras pulkstenis un laika josla. Kā minēts iepriekš, laika josla tiek konfigurēta, nokopējot vajadzīgo zonas failu no direktorija / usr / share / zoneinfo / uz failu / etc / localtime:

Ntp serveris: ~ # cp / usr / share / zoneinfo / Europe / Moscow / etc / localtime

Aparatūra Es iestatīju pulksteni uz UTC:

# cat / etc / sysconfig / clock | grep UTC # UTC = true norāda, ka pulkstenis ir iestatīts uz UTC; UTC = true ntp2-server: ~ # cat / etc / default / rcS | grep UTC UTC = jā

Pirmajā piemērā ir norādīts konfigurācijas fails, kas nosaka UTC izmantošanu RH, otrais - Deb sadalījumiem.

Papildus UTC laika izmantošanas iestatījumu iestatīšanai ir jāiestata arī aparatūras laiks... (vairumā gadījumu tas nav nepieciešams, jo kodola spēki neizbēgami sinhronizē noteikto sistēmas laiku ar aparatūru). Bet tomēr, ja jums ir vēlme to darīt ... Hwclock komanda nolasa un iestata aparatūras pulksteni, pamatojoties uz tam nodotajiem parametriem. Pieejamās opcijas ir aprakstītas komandas rokasgrāmatā. Šeit ir daži hwclock izmantošanas piemēri:

Ntp-serveris # hwclock # nolasa laiku no aparatūras pulksteņa ntp-server # hwclock --systohc --utc # nosaka aparatūras pulksteni uz # UTC, pamatojoties uz sistēmas laiku ntp-server # hwclock --systohc # nosaka aparatūras pulksteni # uz vietējo, pamatojoties uz sistēmas laiku ntp-serveris # hwclock --set --date "22 Mar 2002 13:17" # nosaka aparatūras pulksteņa laiku # uz norādīto virkni

Vēl viena iespēja mainīt laiku aparatūras pulkstenī ir piekļuve BIOS sistēmas sāknēšanas laikā. Tā kā OS laiks nav atkarīgs no aparatūras pulksteņa, visas BIOS izmaiņas tiks ņemtas vērā nākamajā sāknēšanas reizē.

Tagad, kad viss ir sagatavots un instalēts, turpinām būvlaukumā.

Ntpd dēmona pārvaldīšana

Kontrole dēmons ntpd neatšķiras no citu dēmonu kontroles. Sāciet vai restartējiet ntpd pakalpojumu:

# / etc / init.d / ntp start # / etc / init.d / ntp restart

Pietura:

# / etc / init.d / ntp stop

# / bin / kill `cat / var / run / ntpd.pid`

Dēmonam ir šādas palaišanas iespējas:

P - PID fails,
-g - iespējot pāreju uz lielu lēcienu laikā
-c - konfigurācijas fails
-q - piespiedu manuālā sinhronizācija

Ntpd servera iestatīšana

Pirmkārt, es ieteiktu jums mainīt dēmona palaišanas parametrus šādā konfigurācijas failā:

Ntp serveris: ~ # cat / etc / default / ntp NTPD_OPTS = "- g"

# cat / etc / sysconfig / ntpd # NTP dēmona parametri. # Sīkāku informāciju skatiet ntpd (8). .... # Norāda papildu parametrus ntpd. NTPD_ARGS = "- g"

Šis parametrs ļaus sinhronizēt pulksteni, pat ja ir ļoti liela laika starpība.

Tātad, kā jau teicu, informācija par konfigurāciju dēmons ntpd atrodas failā /etc/ntp.conf. Faila sintakse ir standarta, tāpat kā daudzās citās konfigurācijās: tukšās rindas un rindas, kas sākas ar rakstzīmi "#", tiek ignorētas. Šeit ir vienkāršs piemērs:

Ntp serveris: ~ # cat /etc/ntp.conf server ntplocal.example.com dod priekšroku servera timeserver.example.org serverim ntp2a.example.net driftfile /var/db/ntp.drift

Parametrs serveris norāda, kurus serverus izmantot sinhronizācijai, pa vienam katrā rindā. Ja serveris ir norādīts ar argumentu dod priekšroku, kā ntplocal.example.com, tad šim serverim tiek dota priekšroka pār citiem. Atbilde no vēlamā servera tiks atmesta, ja tā būtiski atšķirsies no citu serveru atbildēm, pretējā gadījumā tā tiks izmantota, neņemot vērā citas atbildes. Arguments dod priekšroku parasti izmanto NTP serveriem, kas ir ļoti precīzi, piemēram, izmantojot īpašu laika aprīkojumu.

Parametrs driftfile norāda failu, kas tiek izmantots sistēmas pulksteņa frekvences nobīdes saglabāšanai. Cik es saprotu, šis fails pastāvīgi saglabā kādu vērtību, kas tiek veidota, pamatojoties uz pagātnes laika korekciju analīzi, un, ja ārējie laika avoti kļūst nepieejami, tad laiks tiek koriģēts pēc faila vērtības dreifs. To nedrīkst mainīt ar citu procesu. Un pirms norādīšanas no šī faila konfigurācijā - fails ir jāizveido.

Pēc noklusējuma NTP serveris būs pieejams visiem interneta resursdatoriem. Parametrs ierobežot failā /etc/ntp.confļauj jums kontrolēt, kuras mašīnas var piekļūt jūsu serverim. Ja Tu gribi neļaut visām iekārtām piekļūt jūsu NTP serverim, pievienot nākamā rinda uz failu /etc/ntp.conf:

ierobežot noklusējuma ignorēšanu

Ja Tu gribi Atļaut sinhronizējiet pulksteni tikai ar savu serveri mašīnas jūsu tīklā, bet aizliegums viņus konfigurēt serveri vai būt vienlīdzīgiem laika sinhronizācijas dalībniekiem, tad norādītā vietā pievienojiet rindu:

ierobežot 192.168.1.0 maska 255.255.255.0 nomodify notrap

kur 192.168.1.0 ir jūsu tīkla IP adrese un 255.255.255.0 ir tā tīkla maska. /etc/ntp.conf var ietvert vairākas ierobežojošas direktīvas.

Pareizam un precīzākam dēmona darbam ieteicams izvēlēties tāda līmeņa serverus - no 2. slāņa (jūs, protams, varat 1. slāni, bet jums būs jānogalina laiks, meklējot šādu serveri), un no izvēlētā 2. slāņa līdz kuram ir minimālais "attālums". Parasti šos serverus var nodrošināt jūsu ISP. Izvēlēto serveru skaits ir vēlams - vairāk par 2 3, jo vairāk, jo labāk, bet saprātīgās robežās. Ja esat pārāk slinks, lai izvēlētos labākie serveri, tad varat atvērt atvērtā otrā līmeņa serveru sarakstu šeit: http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers.

Atsauces NTP serveru saraksta izvēle

Mēs ejam tālāk norādīto adresi(http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers) un atlasot sākuma serveru sarakstu. Šajā sarakstā atlasiet serverus, kas atbilst mūsu prasībām, analizējot komandu izvadi ntpdate... Izpildot komandu, tiek izmantota šāda sintakse:

ntpdate parametri space_servers

Lai mūsu pieprasījumā netiktu veiktas izmaiņas sistēmā, ir jāizmanto parametrs -q, kas norāda uz pieprasījuma izmantošanu, neveicot izmaiņas. Ir iespējams izmantot arī slēdzi -d, norādot, ka komanda tiks izpildīta atkļūdošanas režīmā, izvadot papildu informāciju, neveicot nekādas reālas izmaiņas (ja šo atslēgu tiek parādīts ķekars citu atkritumu :), kas atrodas Šis brīdis nav vajadzīgs). Pārējos parametrus var atrast man 8 ntpdate. No norādītās saites es izvēlējos visus atvērtās piekļuves serverus, kas atrodas Krievijā (RU) + pakalpojumu sniedzēja nodrošināto, un palaidu komandu, izrādījās kaut kas līdzīgs šim:

Ntp serveris: ~ # ntpdate -q ntp2.ntp-servers.net ntp1.vniiftri.ru ntp2.vniiftri.ru ntp4.vniiftri.ru ntp0.ntp-servers.net ntp1.ntp-servers.net ntp3.vniiftri.ru ntp.corbina.net serveris 88.147.255.85, 1. slānis, nobīde 0.006494, aizkave 0.09918 serveris 62.117.76.142, 1. slānis, nobīde 0.002552, aizkave 0.06920 serveris 62.117.76.141, 1. slānis, nobīde 0.003147, kavēšanās 0.06918 serveris 62.117.76.140, stratum 1, nobīde 0.004823, kavēšanās 0.07350 serveris 88.147.254.228, 1. slānis, nobīde -0.002355, kavēšanās 0.12030 serveris 88.147.254.229, 1. slānis, nobīde -0.000922, kavēšanās 0.10577 serveris 62.117.76.138, 1. slānis, nobīde 0.005331, kavēšanās 0.07401 serveris 195.14 .40.141, 2. slānis, nobīde 0.002846, aizkave 0.07188 13. janvāris 19:14:09 ntpdate: noregulēt laika serveri 62.117.76.141 nobīde 0.003147 sek

Piemērā mūsu serveri veiksmīgi atgriezās stratum1 līmenī, kas ir laba ziņa (izņemot pakalpojumu sniedzēja serveri), nobīde ir laika starpība ar šo serveri sekundēs, kavēšanās ir sinhronizācijas aizkave sekundēs. Parasti, b O Vislabāko precizitāti iegūst, izmantojot serverus ar zemu latentumu pakešu pārsūtīšanai tīklā. Lai to identificētu, ir iespējams izmantot. Attiecīgi vispirms izvēloties tos, kuriem ir īsāks reakcijas laiks, un no tiem - tos, kuriem ir mazāk apiņu. Lai netērētu laiku, es izmantošu visus norādītos serverus un ierakstīšu tos konfigurācijas failā. Kopumā, zinot visu iepriekš minēto, es aprakstīšu savu iegūto failu /etc/ntp.conf:

Ntp-serveris: ~ # cat /etc/ntp.conf # Vietējā tīkla serveri (komentēti, neizmantoti- viens serveris tīklā) # serveris 192.168.0.2 # serveris 192.168.0.5 # no interneta servera servera ntp2.ntp- serveri.net serveris ntp1.vniiftri.ru serveris ntp2.vniiftri.ru serveris ntp4.vniiftri.ru serveris ntp0.ntp-servers.net serveris ntp1.ntp-servers.net serveris ntp3.vniiftri.ru serveris ntp.corbina.net # Servera faili driftfile /var/lib/ntp/ntp.drift logfile /var /log /ntpstats # ierobežo piekļuvi serverim: # pēc noklusējuma mēs ignorējam visu ierobežot noklusējuma ignorēt # localhost bez parametriem nozīmē, ka viss ir atļauts. Parametrus izmanto tikai aizliegumiem. ierobežot 127.0.0.1 # tālāk aprakstīti serveri, ar kuriem mēs sinhronizējam vietējā tīklā. # Atļaut viņiem visu, izņemot slazdus un pieprasījumus mums ierobežot 192.168.0.2 noquery notrap ierobežot 192.168.0.5 noquery notrap # LAN, mēs arī atļaujam visu, izņemot slazdus un modifikācijas 192.168.0.1 maska 255.255.255.0 nomodify notrap nopeer # atļaut piekļuvi ārējiem laika avotiem : ierobežot ntp2.ntp-servers.net ierobežot ntp1.vniiftri.ru ierobežot ntp2.vniiftri.ru ierobežot ntp4.vniiftri.ru ierobežot ntp0.ntp-servers.net ierobežot ntp1.ntp-servers.net ierobežot ntp3.vniiftri.ru ierobežot ntp.corbina. 0 ir atomu pulkstenis, # 1 tiek sinhronizēts ar to, 2 ir ar pirmo utt. servera 127.127.1.1 fudge 127.127.1.1 3. slānis

Lai dziļāk izprastu un konfigurētu serveri, es aprakstīšu dažus ntpd konfigurācijas parametrus, kurus es neminēju:

atļaut liegt auth / monitors / pll / pps / stats - Ieslēdz, izslēdz darbības režīms:
- aut- sazināties ar nepieminētajiem kaimiņiem tikai autentifikācijas režīmā;
- monitors- ļauj uzraudzīt pieprasījumus;
- pll- ļauj iestatīt vietējā pulksteņa frekvenci, izmantojot NTP;
- statistika- ļauj apkopot statistiku;
statistikacilpas statistika- ar katru vietējā pulksteņa modifikāciju ieraksta rindiņu failā cilpas statistika;
statistikapeerstats- katra saziņa ar kaimiņu tiek ierakstīta žurnālā, kas saglabāts failā peerstats;
statistikapulkstenis- katrs ziņojums no vietējā pulksteņa draivera tiek ierakstīts žurnālā, kas saglabāts failā pulkstenis;
statsdir(kataloga_nosaukums ar_statistiku)- nosaka tā direktorija nosaukumu, kurā atradīsies faili ar servera statistiku;
filegen - definē algoritmu failu nosaukumu ģenerēšanai, kas sastāv no:
- priedēklis- nemainīga faila nosaukuma daļa, kas iestatīta kompilācijas laikā vai ar īpašām konfigurācijas komandām;
- Faila nosaukums- pievienots prefiksam bez slīpsvītras, divi punkti ir aizliegti, tos var mainīt ar faila atslēgu;
- sufikss- ģenerēts atkarībā no tipa nosaukuma;
ierobežotciparu adrese- nosaka piekļuves ierobežojumus: paketes tiek sakārtotas un maskētas, avota adrese tiek ņemta un salīdzināta secīgi, karogs tiek ņemts no pēdējā veiksmīgā salīdzinājuma piekļuve:
- nav karogu- dot piekļuvi;
- ignorēt- ignorēt visus iepakojumus;
- noquery- ignorēt NTP paketes 6 un 7 (pieprasījums un stāvokļa modifikācija);
- nomodificēt- ignorēt NTP paketes 6 un 7 (stāvokļa modifikācija);
- ierobežots- apkalpot tikai ierobežotu klientu skaitu no konkrēta tīkla;
- nē- kalpot saimniekam, bet ne sinhronizēt ar to;
klienta limitsierobežojums- par karogu ierobežots nosaka maksimālo apkalpoto klientu skaitu (pēc noklusējuma 3);

Tātad mēs saņēmām ntpd-serveri, kas ir sinhronizēts ar ārpasauli, ļauj iegūt laiku klientiem no vietējā tīkla 192.168.0.1 ar masku 255.255.255.0, kā arī var sinhronizēt ar vietējo serveri (ja atcelsit dažas rindiņas). Mums atliek konfigurēt klientus un uzzināt, kā uzraudzīt savu serveri.

Ntpd servera uzraudzība un sinhronizācija

Kad viss ir iestatīts. NTP sinhronizēs laiku. Šo procesu var novērot, izmantojot komandu NTP vaicājums (ntpq):

Ntp serveris: ~ # ntpq -p tālvadības refid st t, kad aptaujas sasniegšanas aizkaves nobīde nervozēt ============================ = ============================================== -n3. laiks1 .d6.hsd .PPS. 1 u 34 64 177 70,162 2,375 8,618 + ntp1.vniiftri.r. PPS. 1 u 33 64 177 43.479 -0.020 10.198 * ntp2.vniiftri.r. PPS. 1 u 6 64 177 43.616 -0.192 0.688 + ntp4.vniiftri.r. PPS. 1 u 4 64 177 43.623 0.440 0.546 -n1.time1.d6.hsd .PPS. 1 u 53 64 77 92,865 -11,358 38,334 -ns1.hsdn.org .GPS. 1 u 40 64 177 78,057 -3,292 35,083 -ntp3.vniiftri.r. PPS. 1 u 44 64 77 47,666 2,292 2,611 -scylla -l0.msk.c 192.43.244.18 2 u 62 64 77 41.565 -1,564 28.914

Šī komanda ar slēdzi -p izdrukā standarta izejā laika avotu sarakstu ar to īpašībām (pārējie komandas parametri ir norādīti man ntpq). Katras slejas nozīme ir šāda:

Attālā NTP servera nosaukums. Norādot slēdzi -n, jūs saņemat serveru IP adreses, nevis nosaukumus.

Norāda, no kurienes katrs serveris iegūst laiku. Tas var būt saimniekdatora nosaukums vai kaut kas līdzīgs GPS. Norāda avotu globālā sistēma pozicionēšana (globālā pozicionēšanas sistēma).

Stratum (līmenis) ir skaitlis no 1 līdz 16, kas norāda servera precizitāti. Viens nozīmē maksimālu precizitāti, 16 nozīmē, ka serveris nav pieejams. Jūsu līmenis būs vienāds ar vismazāk precīzā attālā servera līmeni plus 1.

Intervāls starp aptaujām (sekundēs). Vērtība mainīsies starp minimālo un maksimālo vēlēšanu likmi. Sākumā intervāls būs mazs, lai sinhronizācija notiktu ātri. Pēc pulksteņu sinhronizācijas intervāls sāk palielināties, lai samazinātu trafiku un ielādētu populāros laika serverus.

Astoņu astoņu bitu masīva attēlojums, kas attēlo pēdējo astoņu mēģinājumu izveidot savienojumu ar serveri rezultātus. Bits ir iestatīts, ja attālais serveris atbildēja.

Laiks (sekundēs), kas nepieciešams, lai saņemtu atbildi uz jautājumu "cik ir pulkstenis?"

Vissvarīgākā joma. Atšķirība starp vietējo laiku un attālie serveri... Sinhronizācijas laikā šai vērtībai vajadzētu samazināties (tuvināties nullei), norādot, ka vietējās mašīnas pulkstenis kļūst precīzāks.

Dispersija (nervozitāte) ir statistiskās novirzes mērs no nobīdes vērtības (nobīdes lauks) vairākos veiksmīgos pieprasījumu un atbilžu pāros. Vēlama zemāka dispersijas vērtība, jo tā ļauj precīzāk sinhronizēt laiku.

Rakstzīmju nozīme servera nosaukumu priekšā

x - viltus avots saskaņā ar krustošanās algoritmu;
... - izslēgts no kandidātu saraksta lielā attāluma dēļ;
- - ar klasterizācijas algoritmu izslēgts no kandidātu saraksta;
+ - iekļauts galīgajā kandidātu sarakstā;
# - atlasīts sinhronizācijai, bet ir 6 labākie kandidāti;
* - atlasīts sinhronizācijai;
o - izvēlēts sinhronizācijai, bet tiek izmantots PPS;
atstarpe - pārāk augsts līmenis, cilpa vai acīmredzama kļūda;

Ntpd pakalpojums"gudrs" un pati izskauž laika avotus, kas ir pārāk tālu no saprātīgā. Kādu laiku pēc ntpd palaišanas izvēlēsies visdrošākos datu avotus un sinhronizēsies ar tiem. Pakalpojums regulāri pārskata mūsu iesniegto atsauces NTP serveru sarakstu.

Ir iespējams pārbaudīt sinhronizācijas iespēju lokāli serverī ar komandu:

Ntp -serveris: ~ # ntpdate -q localhost server 127.0.0.1, 2. slānis, nobīde -0.000053, kavēšanās 0.02573 serveris :: 1, 2. slānis, nobīde -0.000048, aizkave 0.02571 14. janvāris 14:49:57 ntpdate: pielāgot laika serveri :: 1 nobīde -0.000048 sek

No komandu izvades var redzēt, ka mūsu serveris jau ir kļuvis par 2. slāni šo līmeni, tas prasa zināmu laiku. Iespējams, pirmajās 10-15 minūtēs servera līmenis būs augstāks.

Par ntp servera pareizu darbību var spriest arī pēc ntpd dēmona žurnāliem:

Ntp-serveris: ~ # cat / var / log / ntpstats / ntp 13. janvāris 20:13:16 ntpd: Klausīšanās saskarnē # 5 eth0, fe80 :: a00: 27ff: fec1: 8059 # 123 Iespējots 13. janvārī 20:13: 16 ntpd: Klausīšanās interfeisā # 6 eth0, 192.168.0.8 # 123 Iespējots 14. janvāris 14:31:00 ntpd: sinhronizēts ar 62.117.76.142, 1. slānis 14. janvāris 14:31:10 ntpd: laika atiestatīšana : 31: 10 ntpd: kodola laika sinhronizācijas statusa maiņa 0001 14. janvāris 14:34:31 ntpd: sinhronizēts ar 88.147.255.85, 1. slānis 14. janvāris 14:36:04 ntpd: sinhronizēts ar 62.117.76.141, 1. slānis 04:36 ntpd: sinhronizēts ar 62.117.76.142, 1. slānis 14. janvāris 15:10:58 ntpd: sinhronizēts ar 62.117.76.140, 1. slānis 14. janvāris 15:17:54 ntpd: serveri nav pieejami 14. janvāris 15:31:49 ntpd : sinhronizēts ar 62.117.76.140, 1. slānis 14. janvāris 15:32:14 ntpd: laika atiestatīšana +13,139105 s

Netfilter (iptables) iestatīšana NTP serverim

Pēc servera konfigurēšanas būtu jauki to aizsargāt. Mēs zinām, ka serveris darbojas portā 123 / udp, bet pieprasījumi tiek nosūtīti arī no porta 123 / udp. Izlasot rakstu un iepazīstoties ar praktiskajiem, varat izveidot tīkla trafika filtrēšanas noteikumus:

Ntp ~ # iptables -save # tipiski iptables DNS noteikumi * filtrs: INPUT DROP: FORWARD DROP: OUTPUT DROP -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED, STATBLISHED -j ACCEPT -A INPUT - m conntrack -statuss INVALID -j DROP # atļaut LAN piekļuvi NTP serverim: -A INPUT -s 192.168.1.1/24 -d 192.168.1.1/32 -p udp -m udp --dport 123 -m conntrack - - ctstate NEW -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -p icmp -j ACCEPT -A OUTPUT -p udp -m udp --sports 32768: 61000 -j ACCEPT -A OUTPUT -p tcp -m tcp --sports 32768: 61000 -j ACCEPT -A OUTPUT -m conntrack -statuss SAISTĪTS, IZVEIDOTS -j ACCEPT # ļauj NTP serverim piekļūt izejošo pieprasījumu veikšanai -A OUTPUT -p udp -m udp --sport 123 --port 123 -m conntrack --valsts JAUNUMS -j PIEŅEMT APŅEMŠANOS

Tas ir tipisks piemērs! Lai iestatītu iptables noteikumus saviem uzdevumiem un tīkla konfigurācijai, jums ir jāsaprot, kā netfilter darbojas Linux, izlasot iepriekš minētos rakstus.

Klienta mašīnu konfigurēšana

Lai sinhronizētu laiku UNIX iekārtās vietējā tīklā, ieteicams izmantot utilītu ntpdate, palaižot to vairākas reizes dienā, piemēram, katru stundu. Lai to izdarītu, pievienojiet šādu rindu:

0 * * * * / usr / sbin / ntpdate -s

Slēdzis -s vada komandas izvadi. Ja klienta mašīnās ir pāris papildu megabaiti RAM, tad varat palaist ntpd dēmonu, kā arī serverī ar šādu konfigurāciju:

Serveris ierobežot noklusējumu ignorēt ierobežojumu noquery notrap limits 127.0.0.1 nomodify notrap

Es domāju, ka šajā konfigurācijā viss ir skaidrs: laika avots (serveris) ir vietējais ntpd serveris, liegt piekļuvi visiem, atļaut tikai vietējo ntpd serveri.

Tāpat klientiem ir pareizi jānorāda, kādā formātā saglabāt laiku, un jāizvēlas pareizā laika josla.

Lai konfigurētu Windows NTP klientu, konsolē jāizpilda šādas komandas:

C: \> neto laiks / setsntp: Komanda tika veiksmīgi pabeigta. C: \> net stop w32time Pakalpojums Windows Time tiek pārtraukts. Pakalpojums Windows Time tika veiksmīgi apturēts. C: \> net start w32time Tiek palaists pakalpojums Windows Time. Pakalpojums Windows Time tika veiksmīgi palaists. C: \> neto laiks / querysntp Pašreizējā SNTP vērtība ir: Komanda tika veiksmīgi pabeigta.

Secinājums

Nu, tas arī viss! Raksta apjoms izrādījās milzīgs ... es pat to negaidīju. Es apkopošu iepriekš minēto. Šajā rakstā es ceru, ka mums kļuva skaidrs, kas ir un kā darbojas NTP serveris. Uzzināja, kā konfigurēt serveri un klientus UNIX un Windows mašīnas... Dažos vārdos sakot, laika sinhronizācijas struktūra vietējā tīklā ir šāda: Vietējā tīklā ir 1,2 vai vairāk laika serveru, tie sinhronizē savu laiku ar ārējiem avotiem globālajā tīklā. Servera un klienta iestatījumu pamatā ir /etc/ntp.conf (galvenais ntpd dēmona konfigurācijas fails), / etc / localtime (pašreizējās laika joslas fails), kā arī / etc / sysconfig / ntp (RH) un / etc / default / ntp (Deb) - dēmona palaišanas parametru faili. Vietējam ntp serverim konfigurācijas fails norāda ārējos serverus, lai iegūtu laiku un ļautu piekļūt šiem serveriem ar ierobežojuma parametru, kā arī datoriem lokālajā tīklā, klientiem ir norādīts laika avots - vietējie serveri vietējā tīklā, kā arī liegta piekļuve visiem, izņemot laika avotu vietējā tīklā. Viss. Paldies visiem par uzmanību! Es labprāt dzirdētu jūsu komentārus!

(rakstu arhīvs) ir aprakstīts, kā savienot GPS ar serveri, lai organizētu savu Stratum1 līmeņa laika serveri.
aprakstīts, kā konfigurēt autorizāciju ntp serverī.

Labdien, dārgie emuāra vietnes lasītāji un viesi, cik daudz cilvēku runā par laiku, ka tas skrien ātri vai lēni, un visi saprot, ka tas ir nenovērtējams un svarīgs. Tātad Active Directory infrastruktūrā tā ir viena no kritiskie faktori, domēna pareizu darbību. Domēnā visi uzticas viens otram, un, kad ir pieteicies un saņēmis visas biļetes no Kerberos, lietotājs dodas jebkur, un to ierobežo tikai viņa pieejamās tiesības. Tātad, ja jūsu darbstacijās nav pieejams precīzs laiks domēna kontrolleram, varat pieņemt, ka jums sāk rasties nopietnas problēmas, par kurām mēs runāsim tālāk un apsvērsim, kā tās novērst, izmantojot NTP servera iestatījumi sistēmā Windows.

Laika sinhronizācija Active Directory

Tālāk norādītā laika sinhronizācijas shēma darbojas starp datoriem, kas piedalās Active Directory.

Saknes domēna kontrolleris AD mežā, kuram ir PDC emulatora FSMO loma (sauksim to par saknes PDC), ir laika avots visiem pārējiem domēna kontrolieriem šajā domēnā.
Bērnu domēna kontrolleri sinhronizē laiku no saviem augšupējās AD topoloģijas domēna kontrolleriem.
Regulāri domēna dalībnieki (serveri un darbstacijas) sinhronizē savu laiku ar tuvāko pieejamo domēna kontrolieri, ievērojot AD topoloģiju.

Saknes PDC var sinhronizēt savu laiku gan ar ārēju avotu, gan ar sevi, pēdējo nosaka noklusējuma konfigurācija un tas ir absurds, par ko periodiski liecina kļūdas sistēmas žurnālā.

Saknes PDC klientu sinhronizāciju var veikt gan no tā iekšējā pulksteņa, gan no ārēja avota. Pirmajā gadījumā saknes PDC laika serveris reklamē sevi kā “uzticamu”.

Tālāk es sniegšu optimālu saknes PDC laika servera konfigurāciju no mana viedokļa, kurā pati saknes PDC periodiski sinhronizē savu laiku no uzticama avota internetā, un klientu laiks, kas tam piekļūst, tiek sinhronizēts ar tā iekšējo pulksteni .

Iepazīstināt netdom query fsmo. Manā piemērā PDC un NTP servera loma pieder kontrolierim dc7

NTP servera konfigurācija saknes PDC

Laika servera konfigurēšanu sistēmā Windows (NTP serveris) var veikt, izmantojot komandrindas utilītu w32tm un caur reģistru. Ja iespējams, es sniegšu abas iespējas. Bet vispirms apskatiet visus datora iestatījumus, tas tiek darīts ar komandu:

w32tm / query / configuration

EventLogFlags: 2 (vietējais)
Karodziņi: 10 (vietējais)
TimeJumpAuditOffset: 28800 (vietējais)
Min. Aptaujas intervāls: 6 (vietējais)
Maksimālais aptaujas intervāls: 10 (vietējais)
MaxNegPhase korekcija: 172800 (vietējā)
MaxPosPhaseCorrection: 172800 (vietējais)
MaxAllowedPhaseOfset: 300 (vietējais)

FrekvencePareizsRate: 4 (vietējais)
PollAdjustFactor: 5 (vietējais)
Liela fāzes nobīde: 50000000 (lokāls)
SpikeWatchPeriods: 900 (vietējais)
LocalClockDispersija: 10 (vietējā)
Aizturēšanas periods: 5 (vietējais)
PhaseCorrectRate: 7 (vietējais)
UpdateInterval: 100 (vietējais)

NtpClient (vietējais)

Iespējots: 1 (vietējais)
Ievades nodrošinātājs: 1 (vietējais)
CrossSiteSyncFlags: 2 (vietējais)

ResolvePeerBackoffMinutes: 15 (vietējais)
ResolvePeerBackoffMaxTimes: 7 (vietējais)
Karodziņi: 2147483648 (vietējais)
EventLogFlags: 1 (vietējais)
LargeSampleSvew: 3 (vietējais)
SpecialPollInterval: 3600 (vietējais)
Tips: NT5DS (vietējais)

NtpServer (vietējais)
DllName: C: \ Windows \ system32 \ w32time.dll (lokāls)
Iespējots: 1 (vietējais)
Ievades nodrošinātājs: 0 (vietējais)
Atļaut Nestandarta režīmu kombinācijas: 1 (vietējais)

VMICTimeProvider (vietējais)
DllName: C: \ Windows \ System32 \ vmictimeprovider.dll (vietējais)
Iespējots: 1 (vietējais)
Ievades nodrošinātājs: 1 (vietējais)

Iespējo iekšējā pulksteņa sinhronizāciju ar ārēju avotu

NTP servera iespējošana

NTP serveris pēc noklusējuma ir iespējots visos domēna kontrolleros, bet to var iespējot arī dalībnieku serveros.

Ārējo avotu saraksta iestatīšana sinhronizācijai

Karodziņš 0x8 beigās nozīmē, ka sinhronizācijai jānotiek NTP klienta režīmā šī servera ieteiktajos laika intervālos. Lai iestatītu savu sinhronizācijas intervālu, jāizmanto karodziņš 0x1.

Sinhronizācijas intervāla iestatīšana ar ārēju avotu

Laiks sekundēs starp sinhronizācijas avota aptaujām, pēc noklusējuma 900s = 15min. Darbojas tikai avotiem, kas atzīmēti ar karodziņu 0x1.

"SpecialPollInterval" = dword: 00000384

Minimālās pozitīvās un negatīvās korekcijas iestatīšana

Maksimālā pozitīvā un negatīvā laika korekcija (starpība starp iekšējo pulksteni un sinhronizācijas avotu) sekundēs, ja tā tiek pārsniegta, sinhronizācija nenotiek. Es iesaku vērtību 0xFFFFFFFF, pie kuras korekciju vienmēr var veikt.

"MaxPosPhaseCorrection" = dword: FFFFFFFF
"MaxNegPhaseCorrection" = dword: FFFFFFFF

Viss nepieciešamais vienā rindā

w32tm.exe / config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 pool.ntp.org, 0x8 " / syncfromflags: manual / uzticams: jā / atjauninājums

Noderīgas komandas

Izmaiņu veikšana laika pakalpojuma konfigurācijā
w32tm / config / update
Piespiest sinhronizāciju no avota
w32tm / resync / rediscover
Domēna kontrolleru sinhronizācijas statusa parādīšana domēnā
w32tm / monitors
Pašreizējo sinhronizācijas avotu un to statusa parādīšana
w32tm / query / vienaudži

NTP servera un klienta konfigurēšana, izmantojot grupas politiku

Tā kā mums ir Active Directory domēns, ir stulbi neizmantot grupu politikas serveru un darbstaciju masveida konfigurēšanai, es jums parādīšu, kā konfigurēt NTP serveri logos un klientā. Atveriet grupas politikas redaktora papildinājumu. Pirms NTP servera konfigurēšanas operētājsistēmā Windows, mums ir jāizveido WMI filtrs, kas politiku piemēros tikai PDC galvenajam serverim.

Ievadiet vaicājuma nosaukumu, nosaukumvietai būs vērtība "root \ CIMv2" un vaicājumam "Select * from Win32_ComputerSystem where DomainRole = 5". Mēs to ietaupām.

Pēc tam izveidojiet politiku domēna kontrolieru konteinerā.

Politikas pašā apakšā izmantojiet savu izveidoto WMI filtru.

Dodieties uz filiāli: Datora konfigurācija> Politikas> Administratīvās veidnes> Sistēma> Windows laika pakalpojums> Laika nodrošinātāji.

Šeit mēs atveram politiku "Windows NTP klienta konfigurēšana". Parametru iestatīšana

NtpServer: 0.ru.pool.ntp.org.0x1, 1.ru.pool.ntp.org.0x1, 2.ru.pool.ntp.org.0x1, 3.ru.pool.ntp.org.0x1
Tips: NTP
CrossSiteSyncFlags: 2. Ja šis parametrs ir 2 (visi), var izmantot jebkuru sinhronizācijas dalībnieku. Šī vērtība tiek ignorēta, ja NT5DS nav norādīts. Noklusējuma vērtība: 2 (aiz komata) (0x02 (heksadecimāls))
ResolvePeerBackoffMinutes: 15. Šī vērtība minūtēs norāda, cik ilgi pakalpojums W32time gaidīs, pirms mēģinās atrisināt DNS nosaukumu, ja tas neizdodas. Noklusējuma vērtība: 15 minūtes
Atrisiniet vienādranga BAckoffMaxTimes: 7. Šī vērtība kontrolē DNS izšķirtspējas mēģinājumu skaitu, ko pakalpojums W32time veiks pirms atklāšanas procesa restartēšanas. Katru reizi, kad DNS nosaukuma izšķirtspēja neizdodas, gaidīšanas intervāls pirms nākamā mēģinājuma tiek dubultots. Noklusējums ir septiņi mēģinājumi.
SpecilalPoolInterval: 3600. Šī NTP klienta parametra vērtība, kas izteikta sekundēs, nosaka manuāli konfigurēta laika avota, kas izmanto noteiktu aptaujas intervālu, aptaujas ātrumu. Ja parametram NTPServer ir iestatīts karodziņš SpecialInterval, klients izmanto vērtību, kas norādīta SpecialPollInterval, nevis MinPollInterval un MaxPollInterval vērtībām, lai noteiktu laika avota aptauju biežumu. Noklusējuma vērtība: 3600 sekundes (1 stunda).
EventLogFlags: 0