Varsayılan olarak Ntp sunucusu. Ubuntu'da ntp kurulumu

Windows Server'da bir NTP sunucusunu yapılandırma ve yönetme hakkında

Windows 2000'den başlayarak tüm Windows işletim sistemlerinde bir zaman hizmeti vardır W32Zaman... Bu hizmet, kuruluş içindeki sistem zamanını senkronize etmek için tasarlanmıştır. W32Time hizmeti, zaman hizmetinin hem istemci hem de sunucu bölümlerinin çalışmasından sorumludur, aynı bilgisayar hem istemci hem de NTP (Ağ Zaman Protokolü) sunucusu olabilir.

Varsayılan olarak, Windows Zaman Hizmeti aşağıdaki gibi yapılandırılır:

yüklerken işletim sistemi Windows, NTP istemcisini başlatır ve harici bir zaman kaynağıyla senkronize olur;
Etki alanına bir bilgisayar eklendiğinde, eşitleme türü değişir. Etki alanındaki tüm istemci bilgisayarlar ve üye sunucular, zamanlarını eşitlemek için bir etki alanı denetleyicisi kullanır;
Bir üye sunucu bir etki alanı denetleyicisine yükseltildiğinde, üzerinde bir zaman kaynağı olarak PDC öykünücü rolüne sahip bir denetleyici kullanan bir NTP sunucusu başlatılır;
Orman kök etki alanında bulunan PDC öykünücüsü, tüm kuruluş için birincil zaman sunucusudur. Aynı zamanda kendisi de harici bir zaman kaynağı ile senkronize olur.

Bu şema çoğu durumda çalışır ve müdahale gerektirmez. Ancak, Windows'taki zaman hizmetinin yapısı, etki alanı hiyerarşisini takip etmeyebilir ve herhangi bir bilgisayar güvenilir bir zaman kaynağı olarak atanabilir. Örnek olarak, prosedür Windows 2000'den beri pek değişmemiş olsa da, Windows Server 2008 R2'de bir NTP sunucusu kurmayı anlatacağım.

NTP sunucusu başlatma

Windows Server'daki (2000'den 2012'ye kadar) zaman hizmetinin grafik arayüzü ve her ikisinden de yapılandırılabilir Komut satırı veya doğrudan düzenleme yoluyla sistem kayıt defteri... Şahsen, ikinci yöntem bana daha yakın, o yüzden kayıt defterine gidelim.

Yani, yapmamız gereken ilk şey NTP sunucusunu başlatmak. Kayıt şubesini açın
HKLM \ System \ CurrentControlSet \ hizmetler \ W32Time \ TimeProviders \ NtpServer.
NTP sunucu parametresini etkinleştirmek için burada Etkinleştirilmiş değeri ayarlaman gerekiyor 1 .

NTP hizmetini yeniden başlattıktan sonra sunucu zaten aktiftir ve istemcilere hizmet verebilir. Bunu w32tm / query / configuration komutunu kullanarak doğrulayabiliriz. Bu komut, hizmet parametrelerinin tam bir listesini görüntüler. eğer bölüm NtpSunucusu dizeyi içerir Etkin: 1, sonra her şey yolunda, zaman sunucusu çalışıyor.

NTP sunucusunun istemcilere hizmet verebilmesi için güvenlik duvarında (güvenlik duvarı) gelen ve giden trafik için UDP port 123'ü açmayı unutmayınız.

Temel NTP Sunucu Ayarları

NTP sunucusu açıldı, şimdi yapılandırmanız gerekiyor. HKLM \ System \ CurrentControlSet \ services \ W32Time \ Parameters kayıt defteri dalını açın. Burada öncelikle parametre ile ilgileniyoruz. Tip bu, senkronizasyon türünü belirtir. Aşağıdaki değerleri alabilir:

Senkronizasyon yok - NTP sunucusu herhangi bir harici zaman kaynağı ile senkronize edilmemiştir. Sunucunun kendi CMOS yongasında yerleşik bir saat kullanılır;
NTP - NTP sunucusu, kayıt parametresinde belirtilen harici zaman sunucularıyla senkronize olur NtpSunucusu;
NT5DS - NTP sunucusu, etki alanı hiyerarşisine göre senkronizasyon gerçekleştirir;
AllSync - NTP sunucusu, senkronizasyon için mevcut tüm kaynakları kullanır.

Etki alanının üyesi olan bir bilgisayar için varsayılan değer NT5DS, ayrı ayrı ayakta bilgisayar - NTP.

ve parametre NtpSunucusu, zamanın senkronize edileceği NTP sunucularını belirten bu sunucu... Varsayılan olarak, bu parametre Microsoft NTP sunucusunu (time.windows.com, 0x1) içerir; gerekirse, bir boşlukla ayırarak DNS adlarını veya IP adreslerini girerek birkaç NTP sunucusu daha ekleyebilirsiniz. Örneğin, kullanılabilir zaman sunucularının listesi görüntülenebilir.

Her adın sonuna bir bayrak ekleyebilirsiniz (ör. , 0x1) zaman sunucusuyla senkronizasyon modunu tanımlar. Aşağıdaki değerlere izin verilir:

0x1- Özel bir yoklama aralığı kullanarak SpecialInterval;
0x2- UseAsFallbackOnly modu;
0x4- SimetrikAktif, simetrik aktif mod;
0x8- İstemci, istemci modunda bir istek gönderiyor.

SpecialInterval bayrağını kullanırken, anahtardaki aralığın değerini ayarlamanız gerekir. SpecialPollInterval... UseAsFallbackOnly bayrağı ayarlanırsa, zaman servisine bu sunucunun yedek olarak kullanılacağı ve listedeki diğer sunuculara çağrıların senkronize edilmeden önce yapılacağı bildirilir. NTP sunucuları tarafından varsayılan olarak simetrik aktif mod kullanılır ve senkronizasyon sorunları olması durumunda istemci modu etkinleştirilebilir. Microsoft, her yere = parametresini koymanızı önerir 0x1.

Önemli parametre DuyuruBayraklar HKLM \ System \ CurrentControlSet \ services \ W32Time \ Config kayıt defteri anahtarında bulunur. NTP sunucusunun nasıl olduğunu iddia etmesinden sorumludur ve aşağıdaki değerleri alabilir:

0x0 ( Bir zaman sunucusu değil) - sunucu, bir zaman kaynağı olarak NetLogon aracılığıyla kendisini tanıtmaz. NTP isteklerine yanıt verebilir, ancak komşular onu bir zaman kaynağı olarak tanıyamaz;
0x1(Sunucuyu her zaman zamanlayın) - sunucu, durumundan bağımsız olarak her zaman kendini duyurur;
0x2(Otomatik zaman sunucusu) - sunucu, yalnızca güvenilir zaman başka bir komşudan (NTP veya NT5DS);
0x4(Her zaman güvenilir zaman sunucusu) - sunucu kendini her zaman güvenilir bir zaman kaynağı olarak ilan edecektir;
0x8(Otomatik güvenilir zaman sunucusu) - Bir etki alanı denetleyicisi, orman kök etki alanının bir PDC öykünücüsüyse, otomatik olarak güvenilir olarak bildirilir. Bu bayrak, yukarı akış NTP sunucularına bağlantı olmadığında bile, ormanın ana PDC'sinin tüm orman için yetkili zaman kaynağı olduğunu iddia etmesine izin verir. Başka denetleyici veya üye sunucu yok (varsayılan bayrakla 0x2) kendisi için bir zaman kaynağı bulamazsa, kendisini güvenilir bir zaman kaynağı olarak ilan edemez.

Anlam DuyuruBayraklar kurucu bayraklarının toplamıdır, örneğin:

10 = 2 + 8 - NTP sunucusu, zamanı güvenilir bir kaynaktan alması veya kök etki alanının PDC'si olması koşuluyla güvenilir bir zaman kaynağı olduğunu iddia eder. Bayrak 10, hem etki alanı üyeleri hem de bağımsız sunucular için varsayılandır.

5 = 1 + 4 - NTP sunucusu her zaman güvenilir bir zaman kaynağı olduğunu iddia eder. Örneğin, bir üye sunucuyu (etki alanı denetleyicisi değil) güvenilir bir zaman kaynağı olarak bildirmek için bayrak 5'e ihtiyacınız vardır.

Peki, güncellemeler arasındaki aralığı ayarlayalım. Yukarıda bahsedilen anahtar bundan sorumludur. ÖzelPollAralığı, HKLM \ System \ CurrentControlSet \ services \ W32Time \ TimeProviders \ NtpClient kayıt şubesinde bulunur. Saniye cinsinden ayarlanır ve varsayılan olarak değeri 1 hafta olan 604800'dür. Bu çok fazla, bu nedenle SpecialPollInterval değerini makul bir değere, örneğin 1 saate (3600) düşürmeye değer.

Zaman Hizmeti Kontrol Komutları W32Zaman:

w32tm / config / güncelleme - hizmet yapılandırmasını güncelleyin.

w32tm / monitör - sistem süresinin ne kadar olduğunu öğrenin bu bilgisayar etki alanı denetleyicisindeki veya diğer bilgisayarlardaki saatten farklı. Örneğin: w32tm / monitor /computers:time.nist.gov
w32tm / resync - kullanılan zaman sunucusuyla zorunlu senkronizasyon.
w32tm / stripchart - akım ile akım arasındaki zaman farkını gösterir uzak bilgisayar, ve sonucu grafik biçiminde görüntüleyebilir. Örneğin, w32tm / stripchart /computer:time.nist.gov / sample: 5 / dataonly komutu belirtilen kaynakla 5 karşılaştırma yapacak ve sonucu metin olarak gösterecektir.

w32tm / config, NTP hizmetini yapılandırmak için kullanılan komuttur. Yardımıyla, kullanılan zaman sunucularının listesini, senkronizasyon türünü ve çok daha fazlasını ayarlayabilirsiniz. Örneğin, varsayılan değerleri geçersiz kılmak ve harici bir kaynakla zaman senkronizasyonunu yapılandırmak için w32tm / config / syncfromflags komutunu kullanabilirsiniz: manual /manualpeerlist:time.nist.gov / update
w32tm / sorgu - Hizmetin geçerli ayarlarını gösterir. Örneğin, w32tm / sorgu / kaynak komutu, geçerli saat kaynağını gösterecek ve w32tm / sorgu / yapılandırma, hizmetin tüm parametrelerini gösterecektir.
w32tm / unregister - zaman hizmetini bilgisayardan kaldırır
w32tm / register - PC'deki zaman hizmetini kaydeder, tüm parametre dalı kayıt defterinde yeniden oluşturulur.

Temas halinde

Windows Zaman Hizmeti, görünürdeki basitliğine rağmen, bir etki alanının normal çalışması için gerekli olan temellerden biridir. Aktif Dizin... Düzgün yapılandırılmış bir AD ortamında, zaman hizmeti şu şekilde çalışır: Kullanıcıların bilgisayarları, kayıtlı oldukları en yakın etki alanı denetleyicisinden tam zamanı alır. Tüm etki alanı denetleyicileri, sırayla, DC'den tam zamanı " ile alır. PDC öykünücüsü”, Ve PDC denetleyicisi zamanını biriyle senkronize eder. Bir veya daha fazla NTP sunucusu, örneğin time.windows.com veya İnternet sağlayıcınızın NTP sunucusu gibi harici bir zaman kaynağı olarak hareket edebilir. Ayrıca, varsayılan olarak, etki alanındaki istemcilerin zamanı NTP yerine Windows Saat hizmetini kullanarak senkronize ettiğine dikkat edilmelidir.

İstemcilerde ve etki alanı denetleyicilerinde zamanın farklı olduğu bir durumla karşı karşıyaysanız, etki alanınızda zaman senkronizasyonu ile ilgili sorunlar olabilir ve bu makale size yardımcı olacaktır.

İlk olarak, kullanabileceğiniz uygun bir NTP sunucusu seçin. Herkese açık NTP sunucularının bir listesi http://ntp.org adresinde mevcuttur. Örneğimizde, ru.pool.ntp.org havuzundaki NTP sunucularını kullanacağız:

0.ru.pool.ntp.org
1.ru.pool.ntp.org
2.ru.pool.ntp.org
3.ru.pool.ntp.org

Grup İlkesi kullanarak etki alanı zaman senkronizasyonunu yapılandırmak iki adımdan oluşur:

1) PDC rolüne sahip bir etki alanı denetleyicisi için bir GPO oluşturun
2) İstemciler için GPO oluşturun (isteğe bağlı)

PDC Etki Alanı Denetleyicisinde NTP Senkronizasyon İlkesini Yapılandırma

Bu adım, zamanını harici bir NTP sunucusuyla senkronize etmek için PDC öykünücü rolüne sahip bir etki alanı denetleyicisinin yapılandırılmasını içerir. Çünkü teoride PDC öykünücü rolü etki alanı denetleyicileri arasında hareket edebilir, yalnızca PDC rolünün geçerli sahibi için geçerli olan bir ilke yapmamız gerekir. Bunu yapmak için yönetim konsolunda Grup İlkesi Yönetim Konsolu(GPMC.msc), yeni bir tane oluşturun. Bunu yapmak için bölümde WMI Filtreleri bir filtre ve isim oluştur PDC Emülatörü ve WMI sorgusu: Win32_ComputerSystem'dan * seçin, burada DomainRole = 5

Ardından yeni bir GPO oluşturun ve bunu Etki Alanı Denetleyicileri kapsayıcısına atayın.

Politika düzenleme moduna geçin ve aşağıdaki politika bölümünü genişletin: Bilgisayar Yapılandırması-> Yönetim Şablonları-> Sistem-> Windows Zaman Hizmeti-> Zaman Sağlayıcıları

Üç politikacıyla ilgileniyoruz:

Windows NTP İstemcisini Yapılandırın: Etkin (ilke ayarları aşağıda açıklanmıştır)
Windows NTP İstemcisini Etkinleştir: Etkinleştirilmiş
Windows NTP Sunucusunu Etkinleştir: Etkinleştirilmiş

İlke ayarlarında Windows NTP İstemcisini Yapılandırın aşağıdaki parametreleri belirtin:

NtpSunucusu: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.ntp.org, 0x1
Tip: NTP
CrossSiteSyncFlag'lar: 2
ResolvePeerBackoffDakikaları: 15
Peer BAckoffMaxTimes'ı çözümleyin: 7
ÖzelHavuzAralığı: 3600
EventLogFlag'lar: 0

Tavsiye... özelleştirmeyi unutmayın güvenlik duvarı böylece PDC sunucusu, NTP protokolünü (UDP bağlantı noktası 123) kullanarak harici NTP sunucularına erişebilir.

Not... Alandaki sözdizimine dikkat edin NtpSunucusu. Birden çok NTP sunucusu belirtme biçimi aşağıdaki gibidir: ntsrv1.org, 0x1 ntpsrv2.org, 0x1(boşluk ayırıcı). Ekran görüntüsü hatalı veriler içeriyor!

Önceden oluşturulmuş filtreyi uygula PDC Emülatörü bu politikaya.

Tavsiye... PDC rolüne sahip sunucunun adını şu komutu kullanarak bulabilirsiniz: netdom query fsmo

Geriye PDC denetleyicisindeki politikaları güncellemek kalıyor:
gpudate / kuvvet

Zaman senkronizasyonunu manuel olarak başlatın:
w32tm / yeniden eşitleme

Mevcut NTP ayarlarınızı kontrol edin:
w32tm / sorgu / durum

Tavsiye... Saatin senkronize olmaması durumunda, Windows Saat hizmetini yeniden başlatın ve mevcut ayarları sıfırlayın:
net durdurma w32time
w32tm.exe / kaydı sil
w32tm.exe / kayıt
net başlangıç w32time

Etki Alanı İstemcilerinde Zaman Senkronizasyonu Yapılandırma

Active Directory ortamında, varsayılan olarak, etki alanı istemcileri zamanlarını etki alanı denetleyicileriyle eşitler (seçenek Nt5DS- zamanı etki alanı hiyerarşisine göre senkronize edin). Kural olarak, bu şema çalışır ve yeniden yapılandırma gerektirmez. Ancak, etki alanı istemcilerinde zaman senkronizasyonu ile ilgili sorunlarınız varsa, GPO kullanan istemciler için bir zaman sunucusu zorlamayı deneyebilirsiniz.

Bunu yapmak için yeni bir GPO oluşturun ve bunu bilgisayarlarla kapsayıcılara (OU) atayın. GPO düzenleyicide, bölüme gidin Bilgisayar Yapılandırması -> Yönetim Şablonları -> Sistem -> Windows Zaman Hizmeti -> Zaman Sağlayıcıları ve politikayı etkinleştir Windows NTP İstemcisini Yapılandırın.

PDC'nin adını veya ip adresini NTP sunucusu olarak belirtin, örneğin msk-dc1.site, 0x9 ve senkronizasyon türü olarak NT5DS

İstemcilerde Grup İlkesi ayarlarını güncelleyin ve istemcilerin zamanlarını PDC ile başarıyla eşitlediğini doğrulayın.

Tavsiye... Yukarıdaki şema yalnızca küçük alanlar için geçerlidir. Büyük dağıtılmış alanlar için büyük miktar DC'ler ve siteler, müşterilerin zamanlarını sitedeki DC ile senkronize etmeleri için her site için ayrı bir politika oluşturmalıdır.

Windows'ta bir NTP sunucusu kurma

Windows 2000'den beri, tüm işletim Windows sistemleri zaman hizmetini dahil et W32Zaman... Bu hizmet, bir kuruluş içindeki zamanı senkronize etmek için tasarlanmıştır. W32Time, zaman hizmetinin hem istemci hem de sunucu bölümlerinin çalışmasından sorumludur ve aynı bilgisayar hem istemci hem de NTP (Ağ Zaman Protokolü) sunucusu olabilir.

Varsayılan olarak, Windows Zaman Hizmeti aşağıdaki gibi yapılandırılır:

İşletim sistemini kurarken, Windows NTP istemcisini başlatır ve harici bir zaman kaynağıyla senkronize olur;
Etki alanına bir bilgisayar eklendiğinde, eşitleme türü değişir. Etki alanındaki tüm istemci bilgisayarlar ve üye sunucular, zamanlarını eşitlemek için bir etki alanı denetleyicisi kullanır;
Bir üye sunucu bir etki alanı denetleyicisine yükseltildiğinde, üzerinde bir zaman kaynağı olarak PDC öykünücü rolüne sahip bir denetleyici kullanan bir NTP sunucusu başlatılır;
Orman kök etki alanında bulunan PDC öykünücüsü, tüm kuruluş için birincil zaman sunucusudur. Aynı zamanda kendisi de harici bir zaman kaynağı ile senkronize olur.

NTP sunucusu başlatma

Windows Server'daki zaman hizmetinin (2000'den 2012'ye kadar) grafik bir arabirime sahip olmadığını ve komut satırından veya doğrudan sistem kayıt defterini düzenleyerek yapılandırıldığını hemen not ediyorum. Şahsen, ikinci yöntem bana daha yakın, o yüzden kayıt defterine gidelim.

Daha sonra time service komutu ile restart ediyoruz. net stop w32time && net start w32time

NTP hizmetini yeniden başlattıktan sonra sunucu zaten aktiftir ve istemcilere hizmet verebilir. Bunu w32tm / sorgu / yapılandırma komutunu kullanarak doğrulayabilirsiniz. Bu komut, hizmet parametrelerinin tam bir listesini görüntüler. eğer bölüm NtpSunucusu dizeyi içerir Etkin: 1, sonra her şey yolunda, zaman sunucusu çalışıyor.

NTP sunucusunun istemcilere hizmet verebilmesi için, gelen ve giden trafik için güvenlik duvarında UDP bağlantı noktası 123'ü açmayı unutmayın.

Temel NTP Sunucu Ayarları

Bir etki alanına katılan bir bilgisayar için varsayılan değer NT5DS, bağımsız bir bilgisayar için - NTP.

ve parametre NtpSunucusu, bu sunucunun saati senkronize edeceği NTP sunucularını belirtir. Varsayılan olarak, bu parametre Microsoft NTP sunucusunu (time.windows.com, 0x1) içerir; gerekirse, bir boşlukla ayırarak DNS adlarını veya IP adreslerini girerek birkaç NTP sunucusu daha ekleyebilirsiniz. Örneğin, kullanılabilir zaman sunucularının listesi görüntülenebilir.

Her adın sonuna bir bayrak ekleyebilirsiniz (ör. , 0x1) zaman sunucusuyla senkronizasyon modunu tanımlar. Aşağıdaki değerlere izin verilir:

SpecialInterval bayrağını kullanırken, anahtardaki aralığın değerini ayarlamanız gerekir. SpecialPollInterval... UseAsFallbackOnly bayrağı ayarlanırsa, zaman servisine bu sunucunun yedek olarak kullanılacağı ve listedeki diğer sunuculara çağrıların senkronize edilmeden önce yapılacağı bildirilir. NTP sunucuları tarafından varsayılan olarak simetrik aktif mod kullanılır ve senkronizasyon sorunları olması durumunda istemci modu etkinleştirilebilir. Senkronizasyon modları hakkında daha fazla ayrıntı görebilir veya aldanmayın ve her yere koyun , 0x1(Microsoft tarafından tavsiye edildiği gibi).

Bir diğer önemli parametre DuyuruBayraklar HKLM \ System \ CurrentControlSet \ services \ W32Time \ Config kayıt defteri anahtarında bulunur. NTP sunucusunun nasıl olduğunu iddia etmesinden sorumludur ve aşağıdaki değerleri alabilir:

0x0 ( Bir zaman sunucusu değil) - sunucu, bir zaman kaynağı olarak NetLogon aracılığıyla kendisini tanıtmaz. NTP isteklerine yanıt verebilir, ancak komşular onu bir zaman kaynağı olarak tanıyamaz;
0x1(Sunucuyu her zaman zamanlayın) - sunucu, durumundan bağımsız olarak her zaman kendini duyurur;
0x2(Otomatik zaman sunucusu) - sunucu, yalnızca başka bir komşudan (NTP veya NT5DS) güvenilir bir zaman alırsa kendini tanıtacaktır;
0x4(Her zaman güvenilir zaman sunucusu) - sunucu kendini her zaman güvenilir bir zaman kaynağı olarak ilan edecektir;
0x8(Otomatik güvenilir zaman sunucusu) - Bir etki alanı denetleyicisi, orman kök etki alanının bir PDC öykünücüsüyse, otomatik olarak güvenilir olarak bildirilir. Bu bayrak, yukarı akış NTP sunucularına bağlantı olmadığında bile, ormanın ana PDC'sinin tüm orman için yetkili zaman kaynağı olduğunu iddia etmesine izin verir. Başka denetleyici veya üye sunucu yok (varsayılan bayrakla 0x2) kendisi için bir zaman kaynağı bulamazsa, kendisini güvenilir bir zaman kaynağı olarak ilan edemez.

Anlam DuyuruBayraklar kurucu bayraklarının toplamıdır, örneğin:

Ayarladıktan sonra hizmet yapılandırmasını güncellemeniz gerekir. Bu w32tm / config / update komutu ile yapılabilir. Ve zaman hizmetini yapılandırmak, izlemek ve teşhis etmek için birkaç komut daha:

w32tm / monitör - bu seçeneği kullanarak, bu bilgisayarın sistem saatinin etki alanı denetleyicisindeki veya diğer bilgisayarlardaki saatten nasıl farklı olduğunu öğrenebilirsiniz. Örneğin: w32tm / monitör / bilgisayarlar:time.nist.gov
w32tm / resync - Bu komutu kullanarak bilgisayarı, kullandığı zaman sunucusuyla senkronize olmaya zorlayabilirsiniz.
w32tm / stripchart - mevcut ve uzak bilgisayar arasındaki zaman farkını gösterir ve sonucu grafik biçiminde görüntüleyebilir. Örneğin, komut w32tm / stripchart /computer:time.nist.gov / sample: 5 / dataonly belirtilen kaynak ile 5 karşılaştırma yapacak ve sonucu metin olarak gösterecektir.

w32tm / config, NTP hizmetini yapılandırmak için kullanılan ana komuttur. Yardımıyla, kullanılan zaman sunucularının listesini, senkronizasyon türünü ve çok daha fazlasını ayarlayabilirsiniz. Örneğin, varsayılan değerleri geçersiz kılmak ve harici bir kaynakla zaman senkronizasyonunu yapılandırmak için şu komutu kullanabilirsiniz: w32tm / config / syncfromflags: manual /manualpeerlist:time.nist.gov / update
w32tm / sorgu - Hizmetin geçerli ayarlarını gösterir. Örneğin, w32tm / sorgu / kaynak komutu, geçerli saat kaynağını gösterecek ve w32tm / sorgu / yapılandırma, hizmetin tüm parametrelerini gösterecektir.

Eh, son çare olarak 🙁
w32tm / unregister - zaman hizmetini bilgisayardan kaldırır.
w32tm / register - bilgisayardaki zaman hizmetini kaydeder. Bu durumda, kayıt defterindeki tüm parametre dalı yeniden oluşturulur.

İyi günler, konuklar ve düzenli okuyucular. Yavaş yavaş temel bilgilerden daha derinlemesine bir Linux çalışmasına geçiyorum. Bugün düşünmek istiyorum ntp protokolünün çalışması ayarının yanı sıra Linux'ta zaman sunucuları(ntp sunucusu)... Öyleyse teoriyle başlayalım.

NTP protokolü

Ağ Zaman Protokolü (NTP) - ağ protokolü bilgisayarın dahili saatini değişken gecikmeli ağları kullanarak senkronize etmek için ("kanal genişliği" / kaliteyi okuyun).

NTP çalışmaları için kullanır UDP protokolü ve 123 numaralı bağlantı noktası.

Protokolün şu anki sürümü NTP 4. NTP hiyerarşik bir sistem kullanır "Saatlik seviyeler"(onlara da denir tabaka). Seviye 0 (veya Katman 0)- bunlar genellikle atomik saatler (moleküler, kuantum), GPS saatleri veya radyo saatleri olan cihazlardır. Bu cihazlar genellikle dünya çapındaki ağda yayınlanmaz, ancak doğrudan seviye 1 zaman sunucuları RS-232 protokolü aracılığıyla (resimde sarı oklarla gösterilmiştir). Seviye 1 yüksek hassasiyetli saatlerle senkronize seviye 0 genellikle sunucular için kaynak olarak çalışır Seviye 2. Seviye 2 makinelerden biri ile senkronize Seviye 1, ayrıca kendi seviyesindeki sunucularla olası senkronizasyon. 3. seviye ikinciye benzer şekilde çalışır. Genellikle ikinci ve daha düşük seviyelerdeki sunucular ağda yayınlanır. NTP protokolü 256 seviyeye kadar destekler. Ayrıca 1. ve 2. seviye sunucuların ve hatta bazen 3. seviye sunucuların her zaman herkese açık erişime açık olmadığını da belirtmek isterim. Bazen, onlarla senkronize olmak için, etki alanı yöneticilerine posta yoluyla bir istek göndermeniz gerekir.

Sunuculara erişimi kısıtlamanın amacı nedir? Her seviyeye geçişle, ilgili hata birincil sunucu, ancak toplam sunucu sayısı artıyor ve bu nedenle.

Yerel ağda bir NTP sunucusu atama

Neden bir NTP sunucusuna ihtiyacımız var?Örneğin, işletim sistemlerinde senkronize zamana bağlı olabilen hizmetler vardır. Bu tür hizmetlerin en belirgin örneği Kerberos kimlik doğrulama protokolüdür. Çalışması için, bu protokol kullanılarak erişilen bilgisayarlarda sistem süresinin 5 dakikadan fazla olmaması gerekir. Buna ek olarak, tüm bilgisayarlarda doğru zaman, bilgisayarlardaki olayları araştırırken güvenlik günlüklerini analiz etmeyi çok daha kolay hale getirir. yerel ağ.

NTP sunucusu / istemci çalışma modları

Müşteri sunucusu

Bu mod, internette açık ara en yaygın kullanılan moddur. Çalışma şeması klasiktir. İstemci, sunucunun bir süre yanıt gönderdiği bir istek gönderir. İstemci, zaman sunucusunun DNS adının belirtildiği yapılandırma dosyasındaki sunucu yönergesi kullanılarak yapılandırılır.

Simetrik aktif / pasif mod

Bu mod, çok sayıda eşit makine arasında zaman senkronizasyonu yapıldığında kullanılır. Her makinenin harici bir kaynakla senkronize olmasının yanı sıra, eşleriyle de senkronize olur, onlar için bir istemci ve zaman sunucusu görevi görür. Bu nedenle, makine harici bir kaynağı "kaybetse" bile, komşularından tam zamanı alabilir. Komşular iki modda çalışabilir - aktif ve pasif. Aktif modda çalışan makine, zamanını ntp.conf yapılandırma dosyasının eşler bölümünde listelenen tüm komşu makinelere aktarır. Bu bölümde komşular belirtilmemişse, makine pasif modda kabul edilir. Bir saldırganın aktif bir kaynak gibi davranarak diğer makineleri ele geçirmesini önlemek için kimlik doğrulama kullanmak gerekir.

yayın modu

Bu modun, az sayıda sunucunun hizmet verdiği durumlarda kullanılması önerilir. çok sayıda müşteriler. Bu modda, sunucu, yayın alt ağ adresini kullanarak periyodik olarak paketler gönderir. Bu şekilde eşitlenmek üzere yapılandırılmış bir istemci, sunucunun yayın paketini alır ve sunucuyla eşitlenir. Bu modun özelliği, zamanın aynı alt ağ içinde teslim edilmesidir (yayın paketi sınırlaması). Ayrıca, davetsiz misafirlere karşı koruma sağlamak için kimlik doğrulama kullanılmalıdır.

çok noktaya yayın modu

Bu mod, yayına çok benzer. Aradaki fark, IP adres alanındaki D sınıfı ağların çok noktaya yayın adreslerinin paketleri teslim etmek için kullanılmasıdır. İstemciler ve sunucular için, zaman senkronizasyonu için kullandıkları çok noktaya yayın grubunun adresi ayarlanır. Bu, onları bağlayan yönlendiricilerin IGMP'yi desteklemesi ve çok noktaya yayın trafiğini iletmek üzere yapılandırılması koşuluyla, farklı alt ağlarda bulunan makine gruplarını senkronize etmeyi mümkün kılar.

çok noktaya yayın modu

Bu mod, NTP protokolünün dördüncü sürümünde yenidir. İstemcinin ağ komşuları arasında çok noktaya yayın sunucuları aradığını, her birinden (kriptografi kullanarak) zaman örnekleri aldığını ve bu verilere dayanarak, istemcinin senkronize edeceği üç "en iyi" çok noktaya yayın sunucusunu seçtiğini ima eder. Sunuculardan birinin arızalanması durumunda, istemci otomatik olarak listesini günceller.

Zaman örneklerini iletmek için, çok noktaya yayın modunda çalışan istemciler ve sunucular, çok noktaya yayın gruplarının (D sınıfı ağlar) adreslerini kullanır. Aynı adresi kullanan istemciler ve sunucular aynı ilişkilendirmeyi oluşturur. İlişkilendirme sayısı, kullanılan çok noktaya yayın adreslerinin sayısına göre belirlenir.

Linux'ta zaman

Sizlere kısaca Linux'ta saatin kaç olduğunu ve nasıl ayarlanacağını anlatacağım. Linux'ta, diğer işletim sistemlerinde olduğu gibi 2 kez vardır. ilk donanım bazen denir Gerçek Zamanlı Saat, kısaltılmış ( RTC) (aynı zamanda BIOS saatidir), bunlar genellikle günde birkaç saniyeye kadar hassasiyete sahip salınan bir kuvars kristali ile ilişkilendirilir. Doğruluk, ortam sıcaklığı gibi çeşitli dalgalanmalara bağlıdır. İkinci saat dahili program saati sistemin çalışmasındaki kesintiler de dahil olmak üzere sürekli çalışan. Yüksek sistem yükü ve kesinti gecikmesi nedeniyle dalgalanmalara eğilimlidirler. Ancak, sistem genellikle önyükleme sırasında donanım saatini okur ve ardından sistem saatini kullanır.

İşletim sistemi tarihi ve saati değere göre açılışta ayarla donanım saati, birlikte saat dilimi ayarları... Saat dilimi ayarları dosyadan alınır / vb / yerel saat... Bu dosya, dizin yapısındaki dosyalardan birinin bağlantısıdır (ancak daha sık olarak bir kopyasıdır). / usr / paylaş / zoneinfo /.

Linux donanım saati, zamanı biçimde saklayabilir UTC(GMT analogu) veya geçerli yerel saat. Ne zaman kurulacağına dair genel öneri (?) Şu şekildedir: Bilgisayarda birkaç işletim sistemi kuruluysa ve bunlardan biri Windows ise, o zaman geçerli zamanı kullanmak gerekir (çünkü Windows zamanını BIOS / CMOS'tan alır). ve yerel olarak kabul eder). Ailenin sadece UNIX işletim sistemleri kullanılıyorsa, o zaman BIOS'ta zamanın UTC formatında saklanması arzu edilir.

İşletim sistemi yüklendikten sonra işletim sistemi saati ve BIOS saati tamamen bağımsızdır. Sistem çekirdeği, sistem saatini her 11 saniyede bir donanım saati ile senkronize eder.

Bir süre sonra donanım saati ile yazılım saati arasında birkaç saniye fark olabilir. Hangi saat doğru zamanı içerir? Biz kurana kadar ne biri ne de diğeri zaman senkronizasyonu.

Not:

Linux çekirdeği her zaman zamanı gece yarısından beri geçen saniye sayısı olarak saklar ve hesaplar. 1 Ocak 1970 Yılın, saatinizin yerel saate mi yoksa evrensel saate mi ayarlanmış olduğuna bakılmaksızın. Yerel saate dönüştürme, istek işlemi sırasında yapılır.

1 Ocak 1970 UTC'den bu yana geçen saniye sayısı, imzalı bir 32-bit tamsayı olarak saklandığından (bu, Linux / Intel sistemleri için geçerlidir), saatiniz 2038'de bir yerde çalışmayı durduracaktır. Linux'un Y2K sorunu yok ama Y2K sorunu var. Neyse ki, o zamana kadar tüm linux "'ler 64'te çalışıyor olacak. bit sistemleri... 64 bitlik bir tam sayı, saatimizi yaklaşık 292.271 milyonuncu yıla kadar tutacaktır.

NTP Sunucusu Linux

Tanıtım

Linux için zaman senkronizasyonu için birçok uygulama vardır. En ünlüleri Xntpd (NTP sürüm 3), ntpd (NTP sürüm 4), Crony ve ClockSpeed'dir. Örneğimizde ntp sunucusu ntpd'yi kullanacağız.

ntpd arka plan programı, /etc/ntpd.conf yapılandırma dosyasındaki (bazen /etc/ntp.conf) ayarlara bağlı olarak hem bir zaman sunucusu hem de bir istemcidir, arka plan programı hem uzak sunuculardan zamanı "alabilir" hem de "dağıtabilir". " diğer ev sahiplerine zaman.

Genel zaman senkronizasyon devresi yerel ağda aşağıdaki gibidir: küresel ağa erişimi olan ve İnternet'ten zaman alacak 1 veya 2 sunucunuz olmalıdır. Yerel ağdaki tüm bilgisayarları, İnternet'ten zaman alan belirtilen sunucularla senkronize edin.

ntpd'yi yükleme

Aslında, şeytanı kurmak aşağıdaki paketleri kurmaya geliyor: ntp(şeytanın kendisi dahil paket), ntpdate(manuel zaman senkronizasyonu için yardımcı program eskidir), ntp-doc(paket belgeleri), bazı dağıtımlarda aynısını yüklemeniz gerekir. ntp-utils(tanılama yardımcı programları), bazıları ntp paketine dahil edilmiştir. Linux'ta programlar nasıl kurulur, içinde anlattım. Paketi kurduktan sonra, çoğu dağıtımda arka plan programı zaten bir ntp istemcisi olarak yapılandırılacaktır (örneğin, Debian'da öyleydi). Buna göre, ana yapılandırma dosyaları otomatik olarak oluşturuldu: /etc/ntp.conf ve /var/lib/ntp/ntp.drift ve arka plan programı otomatik olarak başlatıldı.

Daemon'u dış dünya ile senkronize olacak şekilde yapılandırmadan önce, mevcut sistem tarihini mümkün olduğunca gerçek zamana yakın bir değere ayarlamanızı tavsiye ederim. Linux'ta tarihi ayarlama komut tarafından üretilir: tarih MMDDhhmmCCYY.ss, nerede MM - ay, DD - ayın günü, ss - saat, aa - dakika, CCYY - yılın 4 basamağı, ss - saniye. Ayrıca, değerler CCYY.ss belirtmek gerekli değildir.

Gördüğünüz gibi, belirtilen komut geçerli tarih ve saati 27 Aralık 2010, 20:06:30 olarak ayarlayacaktır. Tarih komutu parametreler olmadan, mevcut sistem saatini görüntüleyin. Bu komut, man tarihinde bulunabilecek bir dizi parametreye sahiptir.

Ayrıca, donanım saatini ve saat dilimini doğru şekilde yapılandırmak gerekir. Yukarıda belirtildiği gibi, saat dilimi, gerekli bölge dosyasını dizinden kopyalayarak yapılandırılır. / usr / paylaş / zoneinfo / dosyalamak / vb / yerel saat:

Ntp sunucusu: ~ # cp / usr / hisse / zoneinfo / Avrupa / Moskova / etc / yerel saat

Donanım Saati UTC'ye ayarladım:

# cat / etc / sysconfig / saat | grep UTC # UTC = true, saatin UTC olarak ayarlandığını gösterir; UTC = gerçek ntp2 sunucusu: ~ # cat / etc / default / rcS | grep UTC UTC = evet

İlk örnekte, UTC'nin RH, ikincisi - Deb dağıtımları için kullanımını belirleyen bir yapılandırma dosyası belirtilir.

UTC saatini kullanma ayarlarına ek olarak, donanım zamanı... (çoğu durumda bu gerekli değildir, çünkü verilen sistem zamanı kaçınılmaz olarak çekirdek kuvvetleri tarafından donanımla senkronize edilir). Ama yine de, bunu yapmak için bir arzunuz varsa ... hwclock komutu kendisine iletilen parametrelere göre donanım saatini okur ve ayarlar. Kullanılabilir seçenekler, komutun kılavuz sayfasında açıklanmıştır. hwclock kullanımına ilişkin bazı örnekler:

Ntp-server # hwclock # donanım saatinden zamanı okur ntp-server # hwclock --systohc --utc # donanım saatini sistem saatine göre # UTC olarak ayarlar ntp-server # hwclock --systohc # donanım saatini ayarlar # sistem saatine göre yerele ntp-server # hwclock --set --date "22 Mar 2002 13:17" # donanım saatini # belirtilen dizeye ayarlar

Donanım saatindeki saati değiştirmek için başka bir seçenek de sistem açılışında BIOS'a erişmektir. İşletim sistemi zamanı donanım saatinden bağımsız olduğundan, BIOS'taki herhangi bir değişiklik bir sonraki önyüklemede dikkate alınacaktır.

Artık her şeyi hazırlayıp yüklediğimize göre, devam edelim şantiyede.

ntpd arka plan programını yönetme

Kontrol arka plan programı ntpd diğer şeytanları kontrol etmekten farklı değildir. ntpd hizmetini başlatın veya yeniden başlatın:

# / etc / init.d / ntp start # / etc / init.d / ntp yeniden başlatma

Durmak:

# / etc / init.d / ntp durdur

# / bin / kill `cat / var / run / ntpd.pid`

Daemon aşağıdaki başlatma seçeneklerine sahiptir:

P - PID dosyası,
-g - zamanda büyük bir sıçramaya geçişi etkinleştir
-c - yapılandırma dosyası
-q - zorunlu manuel senkronizasyon

ntpd sunucusunu kurma

Her şeyden önce, aşağıdaki yapılandırma dosyasındaki arka plan programının başlangıç parametrelerini değiştirmenizi tavsiye ederim:

Ntp sunucusu: ~ # cat / etc / varsayılan / ntp NTPD_OPTS = "- g"

# cat / etc / sysconfig / ntpd # NTP arka plan programı için parametreler. # Daha fazla ayrıntı için ntpd'ye (8) bakın. .... # ntpd için ek parametreleri belirtir. NTPD_ARGS = "- g"

Bu parametre, çok büyük bir zaman farkı olsa bile saati senkronize etmenize izin verecektir.

Yani, dediğim gibi, yapılandırma bilgileri arka plan programı ntpd dosyada yatıyor /etc/ntp.conf. Dosya sözdizimi, diğer birçok yapılandırmada olduğu gibi standarttır: boş satırlar ve "#" karakteriyle başlayan satırlar yok sayılır. İşte basit bir örnek:

Ntp-server: ~ # cat /etc/ntp.conf sunucusu ntplocal.example.com sunucu timeserver.example.org sunucusunu tercih ediyor ntp2a.example.net driftfile /var/db/ntp.drift

Parametre sunucu her satırda bir tane olmak üzere senkronizasyon için hangi sunucuların kullanılacağını belirtir. Sunucu bir argümanla belirtilirse tercih, nasıl ntplocal.example.com, o zaman bu sunucu diğerlerine göre tercih edilir. Tercih edilen sunucudan gelen bir yanıt, diğer sunucuların yanıtlarından önemli ölçüde farklıysa atılacaktır, aksi takdirde diğer yanıtlara bakılmaksızın kullanılacaktır. Argüman tercih tipik olarak, özel zamanlama ekipmanı kullanmak gibi çok doğru olduğu bilinen NTP sunucuları için kullanılır.

Parametre sürüklenme dosyası sistem saat frekansı ofsetini depolamak için kullanılan dosyayı belirtir. Anladığım kadarıyla, bu dosya sürekli olarak geçmiş zaman ayarlamalarının analizine dayalı olarak oluşan bir değeri saklar ve harici zaman kaynakları kullanılamaz hale gelirse, zaman dosyadan gelen değere göre ayarlanır. sürüklenme. Başka bir işlemle değiştirilmemelidir. Ve belirtmeden önce bu dosyanın yapılandırmada - dosya oluşturulmalıdır.

Varsayılan olarak, NTP sunucusu İnternet'teki tüm ana bilgisayarların kullanımına açık olacaktır. Parametre kısıtlamak dosyada /etc/ntp.conf hangi makinelerin sunucunuza erişebileceğini kontrol etmenizi sağlar. İsterseniz tüm makinelerin NTP sunucunuza erişmesini engelleyin, Ekle Sonraki satır dosyalamak /etc/ntp.conf:

varsayılan yoksaymayı kısıtla

İsterseniz izin vermek saatinizi yalnızca sunucunuzla senkronize edin ağınızdaki makineler, ancak yasaklamak onlara sunucuyu yapılandır veya zaman senkronizasyonunda eşit katılımcılar olmak için, belirtilenin yerine satırı ekleyin:

kısıtlama 192.168.1.0 maske 255.255.255.0 nomodify notrap

burada 192.168.1.0 ağınızın IP adresi ve 255.255.255.0 ağ maskesidir. /etc/ntp.conf birden fazla kısıtlama yönergesi içerebilir.

Daemon'un doğru ve daha doğru çalışması için, seviye 2'den (tabii ki 1. tabaka yapabilirsiniz, ancak böyle bir sunucu aramak için zaman harcamanız gerekir) ve seçilen 2. minimum "mesafe" olan. Tipik olarak, bu sunucular ISS'niz tarafından sağlanabilir. Seçilen sunucuların sayısı arzu edilir - 2 3'ten fazla, daha iyi, ancak makul sınırlar içinde. Seçmek için çok tembelseniz en iyi sunucular, ardından buradan açık ikinci düzey sunucuların bir listesini alabilirsiniz: http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers.

Referans NTP sunucularının bir listesini seçme

Devam ediyoruz belirtilen adres(http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers) ve başlangıç sunucularının bir listesini almak. Bu listeden komut çıktısını analiz ederek gereksinimlerimizi karşılayan sunucuları seçin. ntpdate... Bir komut yürütülürken aşağıdaki sözdizimi uygulanır:

ntpdate parametreleri space_servers

İsteğimizin sistemde değişiklik yapmaması için değişiklik yapılmadan isteğin kullanıldığını gösteren -q parametresinin kullanılması gerekmektedir. Komutun hata ayıklama modunda yürütüleceğini belirten -d anahtarını, herhangi bir gerçek değişiklik yapmadan (eğer varsa) ek bilgi çıkışı ile kullanmak da mümkündür. bu anahtar bir sürü başka çöp görüntüleniyor :), ki bu şu an gerekli değil). Parametrelerin geri kalanı man 8 ntpdate içinde bulunabilir. Belirtilen bağlantıdan Rusya (RU) + sağlayıcı tarafından sağlanan tüm Açık Erişim sunucularını seçtim ve komutu çalıştırdım, aşağıdaki gibi bir şey çıktı:

Ntp sunucusu: ~ # ntpdate -q ntp2.ntp-servers.net ntp1.vniiftri.ru ntp2.vniiftri.ru ntp4.vniiftri.ru ntp0.ntp-servers.net ntp1.ntp-servers.net ntp3.vniiftri.ru ntp.corbina.net sunucu 88.147.255.85, katman 1, ofset 0.006494, gecikme 0.09918 sunucu 62.117.76.142, katman 1, ofset 0.002552, gecikme 0.06920 sunucu 62.117.76.141, katman 1, ofset 0.003147, gecikme 0.06918 sunucu 62.117.76.140, katman 1, ofset 0.004823, gecikme 0.07350 sunucu 88.147.254.228, katman 1, ofset -0.002355, gecikme 0.12030 sunucu 88.147.254.229, katman 1, ofset -0.000922, gecikme 0.10577 sunucu 62.117.76.138, katman 1, ofset 0.005331, gecikme 0.07401 sunucu 195.14 .40.141, katman 2, ofset 0.002846, gecikme 0.07188 13 Ocak 19:14:09 ntpdate: zaman sunucusunu ayarla 62.117.76.141 ofset 0.003147 sn

Örnekte, sunucularımız stratum1 seviyesini başarıyla döndürdü, bu iyi bir haber (sağlayıcının sunucusu hariç), offset bu sunucu ile saniye cinsinden zaman farkı, gecikme saniye cinsinden senkronizasyon gecikmesidir. Genellikle, b Ö En iyi doğruluk, ağ üzerinden paket iletimi için düşük gecikmeye sahip sunucular kullanılarak elde edilir. Bunu tanımlamak için kullanmak mümkündür. Buna göre, önce yanıt süresi daha kısa olanları ve bunlardan daha az atlama olanları seçin. Zaman kaybetmemek için belirtilen tüm sunucuları kullanacağım ve bunları yapılandırma dosyasına yazacağım. Bu yüzden, yukarıdakilerin hepsini bilerek, ortaya çıkan dosyamı anlatacağım. /etc/ntp.conf:

Ntp-server: ~ # cat /etc/ntp.conf # Yerel ağ sunucuları (yorum yapıldı, kullanılmadı - ağda bir sunucu) #sunucu 192.168.0.2 #sunucu 192.168.0.5 # İnternet sunucusu sunucusunun ntp2.ntp- server.net sunucusu ntp1.vniiftri.ru sunucusu ntp2.vniiftri.ru sunucusu ntp4.vniiftri.ru sunucusu ntp0.ntp-servers.net sunucusu ntp1.ntp-servers.net sunucusu ntp3.vniiftri.ru sunucusu ntp.corbina.net # Sunucu dosyaları driftfile /var/lib/ntp/ntp.drift logfile / var / log / ntpstats # sunucuya erişimi kısıtlamak: # varsayılan olarak her şeyi yok sayarız kısıtlar varsayılanı yoksay # localhost parametresiz her şeye izin verildiği anlamına gelir. Parametreler yalnızca yasaklar için kullanılır. kısıtlama 127.0.0.1 # aşağıda yerel ağda senkronize ettiğimiz sunucular açıklanmaktadır. # Tuzaklar ve bize istekler dışında her şeye izin verin 192.168.0.2 noquery notrap kısıtlaması 192.168.0.5 noquery notrap # LAN için ayrıca trap ve modifikasyonlar hariç her şeye izin veriyoruz 192.168.0.1 mask 255.255.255.0 nomodify notrap nopeer # harici zaman kaynaklarına erişime izin verin : kısıtla ntp2.ntp-servers.net kısıtla ntp1.vniiftri.ru kısıtla ntp2.vniiftri.ru kısıtla ntp4.vniiftri.ru kısıtla ntp0.ntp-servers.net kısıtla ntp1.ntp-servers.net kısıtla ntp3.vniiftri.ru kısıtla ntp.corbina.net # ve sunucuya (tabakalara) olan güven seviyesini kısaca 3 #'e eşitleyen bu hack, seviye ne kadar yüksekse, sayı o kadar düşük. 0 bir atomik saattir, # 1 onunla senkronizedir, 2 birinci ile vb. sunucu 127.127.1.1 geçiştirme 127.127.1.1 katman 3

Sunucunun daha derinlemesine anlaşılması ve yapılandırılması için bahsetmediğim bazı ntpd yapılandırma parametrelerini anlatacağım:

Etkinleştirme / Devre dışı yetkilendirme / monitör / pll / pps / istatistikler - Aç, kapa çalışma modu:
- yetki- bahsi geçmeyen komşularla yalnızca kimlik doğrulama modunda iletişim kurun;
- monitör- isteklerin izlenmesini sağlamak;
- lütfen- NTP aracılığıyla yerel saatin frekansının ayarlanmasına izin verin;
- istatistikler- istatistiklerin toplanmasını etkinleştirmek;
İstatistikdöngü istatistikleri- yerel saatin her değişikliği için bir dosyaya bir satır yazar döngü istatistikleri;
İstatistikakran istatistikleri- bir komşuyla olan her iletişim, bir dosyada saklanan bir günlüğe kaydedilir akran istatistikleri;
İstatistiksaat istatistikleri- yerel saat sürücüsünden gelen her mesaj bir dosyada saklanan bir günlüğe yazılır saat istatistikleri;
istatistikler(katalog_adı ile_stats)- sunucu istatistiklerine sahip dosyaların bulunacağı dizinin adını belirler;
filegen - aşağıdakilerden oluşan dosya adları oluşturmak için algoritmayı tanımlar:
- önek- derleme sırasında veya özel yapılandırma komutlarıyla ayarlanan dosya adının sabit kısmı;
- Dosya adı- öneki eğik çizgi olmadan eklenir, iki nokta yasaktır, dosya anahtarıyla değiştirilebilir;
- sonek- tür adına bağlı olarak oluşturulur;
kısıtlamaksayısal-adres- erişim kısıtlamasını ayarlar: paketler sıralanır ve maskelenir, kaynak adres alınır ve sırayla karşılaştırılır, bayrak son başarılı karşılaştırmadan alınır erişim:
- bayrak yok- erişim vermek;
- aldırmamak- tüm paketleri yoksay;
- sorgulama- 6 ve 7 numaralı NTP paketlerini yoksay (istek ve durum değişikliği);
- değiştirmek- 6 ve 7 numaralı NTP paketlerini yok sayın (durum değişikliği);
- sınırlı- belirli bir ağdan yalnızca sınırlı sayıda müşteriye hizmet vermek;
- hayır- ana bilgisayara hizmet edin, ancak onunla senkronize etmeyin;
müşteri sınırısınır- bayrak için sınırlı hizmet verilen maksimum müşteri sayısını belirler (varsayılan olarak 3);

Böylece ntpd-server aldık, dış dünya ile senkronize olan , 192.168.0.1 yerel ağından 255.255.255.0 maskesi ile istemciler için zaman almanızı sağlar ve ayrıca yerel sunucu ile senkronize edilebilir (birkaç satırı kaldırırsanız). Geriye istemcileri yapılandırmak ve sunucumuzu nasıl izleyeceğimizi bulmak kalıyor.

ntpd sunucusunu izleme ve senkronizasyon

Her şeyi ayarladığınızda. NTP, zamanı senkronize halde tutacaktır. Bu işlem, NTP Sorgusu (ntpq) komutu kullanılarak gözlemlenebilir:

Ntp-server: ~ # ntpq -p uzaktan yeniden doğrulama st t yoklama gecikmeye ulaştığında ofset titreşimi =============================== = ============================================= -n3.zaman1 .d6.hsd .PPS. 1 u 34 64 177 70.162 2.375 8.618 + ntp1.vniiftri.r.PPS. 1 u 33 64 177 43.479 -0.020 10.198 * ntp2.vniiftri.r.PPS. 1 u 6 64 177 43.616 -0.192 0.688 + ntp4.vniiftri.r.PPS. 1 u 4 64 177 43.623 0.440 0.546 -n1.time1.d6.hsd .PPS. 1 u 53 64 77 92.865 -11.358 38.346 -ns1.hsdn.org .GPS. 1 u 40 64 177 78.057 -3.292 35.083 -ntp3.vniiftri.r.PPS. 1 u 44 64 77 47.667 2.292 2.611 -scylla-l0.msk.c 192.43.244.18 2 u 62 64 77 41.565 -1.564 28.914

-p anahtarına sahip bu komut, özellikleriyle birlikte zaman kaynaklarının bir listesini standart çıktıya yazdırır (komut parametrelerinin geri kalanı man ntpq cinsindendir). Her sütunun anlamı aşağıdaki gibidir:

Uzak NTP sunucusunun adı. -n anahtarını belirtirseniz, sunucuların adları yerine IP adreslerini alırsınız.

Her sunucunun o anda saati nereden aldığını gösterir. Bir ana bilgisayar adı veya GPS gibi bir şey olabilir. küresel sistem konumlandırma (Küresel Konumlandırma Sistemi).

Katman (seviye), sunucunun doğruluğunu gösteren 1'den 16'ya kadar bir sayıdır. Biri maksimum hassasiyet, 16 ise sunucunun kullanılamadığı anlamına gelir. Seviyeniz, en az doğru olan uzak sunucunun seviyesi artı 1'e eşit olacaktır.

Anketler arasındaki aralık (saniye cinsinden). Değer, minimum ve maksimum yoklama oranı arasında değişecektir. Başlangıçta, senkronizasyonun hızlı bir şekilde gerçekleşmesi için aralık küçük olacaktır. Saatler senkronize edildikten sonra, popüler zaman sunucularındaki trafiği ve yükü azaltmak için aralık artmaya başlar.

Sunucuya bağlanmak için yapılan son sekiz denemenin sonuçlarını temsil eden 8 bitlik bir dizinin sekizli gösterimi. Uzak sunucu yanıt verdiyse bit ayarlanır.

"Saat kaç?" sorusuna yanıt almak için gereken süre (saniye cinsinden).

En önemli alan. Yerel saat ile yerel saat arasındaki fark uzak sunucular... Senkronizasyon sırasında, bu değerin azalması (sıfıra yaklaşma), yerel makinenin saatinin daha doğru hale geldiğini gösterir.

Varyans (Sürtünme), birkaç başarılı istek-yanıt çifti üzerinden ofset değerinden (ofset alanı) istatistiksel sapmanın bir ölçüsüdür. Daha doğru zaman senkronizasyonuna izin verdiği için daha düşük bir varyans değeri tercih edilir.

Sunucu adlarının önündeki karakterlerin anlamı

x - kesişim algoritmasına göre sahte kaynak;
... - uzak mesafe nedeniyle aday listesinden çıkarılmış;
- - kümeleme algoritması tarafından aday listesinden kaldırıldı;
+ - adayların nihai listesine dahil edilmiştir;
# - senkronizasyon için seçildi, ancak en iyi 6 aday var;
* - senkronizasyon için seçildi;
o - senkronizasyon için seçilir, ancak PPS kullanılır;
boşluk - çok yüksek seviye, döngü veya bariz hata;

ntpd hizmeti"akıllı" ve kendisi makul olanın çok ötesinde olan zaman kaynaklarını ayıklıyor. ntpd'yi başlattıktan bir süre sonra en güvenilir veri kaynaklarını seçecek ve onlarla senkronize olacaktır. Tarafımızdan sunulan referans NTP sunucularının listesi, hizmet tarafından düzenli olarak gözden geçirilir.

Sunucuda yerel olarak senkronizasyon olasılığını şu komutla kontrol etmek mümkündür:

Ntp-sunucusu: ~ # ntpdate -q localhost sunucusu 127.0.0.1, stratum 2, offset -0.00053, gecikme 0.02573 server :: 1, stratum 2, offset -0.00048, gecikme 0.02571 14 Ocak 14:49:57 ntpdate: zaman sunucusunu ayarla :: 1 ofset -0.00048 sn

Sunucumuzun zaten stratum 2 olduğu komut çıktısından görülebilir. bu seviye, biraz zaman alır. Belki ilk 10-15 dakikada sunucu seviyesi daha yüksek olacaktır.

ntp sunucusunun doğru çalışması, ntpd arka plan programının günlükleriyle de değerlendirilebilir:

Ntp-server: ~ # cat / var / log / ntpstats / ntp 13 Ocak 20:13:16 ntpd: # 5 eth0, fe80 :: a00: 27ff: fec1: 8059 # 123 Etkin 13 Ocak 20:13: 16 ntpd: #6 arabiriminde dinleme eth0, 192.168.0.8 # 123 Etkin 14 Ocak 14:31:00 ntpd: 62.117.76.142 ile senkronize, katman 1 14 Ocak 14:31:10 ntpd: zaman sıfırlama +10.291312 s 14 Ocak 14 : 31: 10 ntpd: çekirdek zaman senkronizasyonu durum değişikliği 0001 14 Ocak 14:34:31 ntpd: 88.147.255.85 ile senkronize edildi, katman 1 14 Ocak 14:36:04 ntpd: 62.117.76.141 ile senkronize edildi, katman 1 14 Ocak 15: 04:36 ntpd: 62.117.76.142 ile senkronize edildi, katman 1 14 Ocak 15:10:58 ntpd: 62.117.76.140 ile senkronize edildi, katman 1 14 Ocak 15:17:54 ntpd: erişilebilir sunucu yok 14 Ocak 15:31:49 ntpd : 62.117.76.140 ile senkronize, katman 1 14 Ocak 15:32:14 ntpd: zaman sıfırlama +13.139105 s

NTP sunucusu için netfilter (iptables) kurulumu

Sunucuyu yapılandırdıktan sonra, onu korumak güzel olurdu. Sunucunun 123/udp bağlantı noktasında çalıştığını biliyoruz, istekler de 123/udp bağlantı noktasından gönderiliyor. Makaleyi okuduktan ve pratik olanlara aşina olduktan sonra, ağ trafiğini filtrelemek için kurallar oluşturabilirsiniz:

Ntp ~ # iptables-save # tipik iptables DNS kuralları * filtre: GİRİŞ DÜŞÜRÜ: İLERİ BIRAK: ÇIKIŞ DÜŞÜRÜ -A GİRİŞ -i lo -j KABUL -A GİRİŞ -m bağlantı --ctstate İLGİLİ, KURULAN -j KABUL -A GİRDİ - m conntrack --ctstate INVALID -j DROP #, NTP sunucusuna LAN erişimine izin verir: -A INPUT -s 192.168.1.1/24 -d 192.168.1.1/32 -p udp -m udp --dport 123 -m conntrack - - ctstate YENİ -j KABUL -A ÇIKIŞ -o lo -j KABUL -A ÇIKIŞ -p icmp -j KABUL -A ÇIKIŞ -p udp -m udp --sport 32768: 61000 -j KABUL -A ÇIKIŞ -p tcp -m tcp --sport 32768: 61000 -j KABUL -A ÇIKIŞ -m bağlantı --ctstate İLGİLİ, KURULU -j KABUL # NTP sunucusunun giden isteklerde bulunmasına izin ver -A ÇIKIŞ -p udp -m udp --sport 123 --dport 123 -m conntrack --ctstate YENİ -j KABUL KABUL

Bu tipik bir örnek! Görevleriniz ve ağ yapılandırmanız için iptables kurallarını belirlemek için yukarıdaki makaleleri okuyarak netfilter'ın Linux'ta nasıl çalıştığını anlamanız gerekir.

İstemci makinelerini yapılandırma

UNIX makinelerinde zamanı senkronize etmek için yerel ağda, günde birkaç kez, örneğin her saat başlatarak ntpdate yardımcı programını kullanmanız önerilir. Bunu yapmak için aşağıdaki satırı ekleyin:

0 * * * * / usr / sbin / ntpdate -s

-s anahtarı komutun çıktısını yönlendirir. İstemci makinelerde birkaç ekstra megabayt RAM varsa, sunucuda olduğu gibi aşağıdaki yapılandırmayla ntpd arka plan programını başlatabilirsiniz:

sunucu kısıtla varsayılanı yoksay kısıtla noquery notrap kısıtlaması 127.0.0.1 nomodify notrap

Bu yapılandırmada her şeyin açık olduğunu düşünüyorum: zaman kaynağı (sunucu) yerel ntpd sunucusudur, herkesin erişimini reddeder, yalnızca yerel ntpd sunucusuna izin verir.

Ayrıca, istemcilerde saati hangi formatta saklayacağını doğru bir şekilde belirtmek ve doğru saat dilimini seçmek gerekir.

Windows NTP istemcisini yapılandırmak için, konsolda aşağıdaki komutları çalıştırmalısınız:

C: \> net zaman / setntp: Komut başarıyla tamamlandı. C: \> net stop w32time Windows Saati hizmeti durduruluyor. Windows Saati hizmeti başarıyla durduruldu. C: \> net start w32time Windows Saati hizmeti başlıyor. Windows Saati hizmeti başarıyla başlatıldı. C: \> net zaman / querysntp Geçerli SNTP değeri: Komut başarıyla tamamlandı.

Çözüm

Hepsi bu kadar! Makalenin hacmi muazzam çıktı ... Bunu kendim bile beklemiyordum. Yukarıdakileri özetleyeceğim. Bu yazıda umarım NTP sunucusunun ne olduğu ve nasıl çalıştığı bizim için netleşmiştir. UNIX'te sunucu ve istemcilerin nasıl yapılandırılacağını öğrendi ve Windows makineleri... Birkaç kelimeyle yerel ağdaki zaman senkronizasyonunun yapısı şu şekildedir: Yerel ağda 1.2 veya daha fazla zaman sunucusu var, küresel ağda zamanlarını harici kaynaklarla senkronize ediyorlar. Sunucu ve istemci ayarları, /etc/ntp.conf (ana ntpd arka plan programı yapılandırma dosyası), / etc / localtime (geçerli saat dilimi dosyası), ayrıca / etc / sysconfig / ntp (RH için) ve / etc / default'a dayalıdır. / ntp (Deb için) - arka plan programı başlatma parametrelerinin dosyaları. Yerel ntp sunucusu için, yapılandırma dosyası, zamanı almak ve bu sunuculara kısıtlama parametresiyle erişime izin vermek için harici sunucuların yanı sıra yerel ağdaki bilgisayarlar için, istemciler için zaman kaynağı belirtilen - yerel sunucular yerel ağda, yerel ağdaki zaman kaynağı dışında herkes için erişim reddedildi. Her şey. Dikkatiniz için hepinize teşekkür ederim! Yorumlarınızı duymak isterim!

(makale arşivi), kendi Stratum1 düzeyinde zaman sunucunuzu düzenlemek için bir GPS'i bir sunucuya nasıl bağlayacağınızı açıklar.
ntp sunucusunda yetkilendirmenin nasıl yapılandırılacağını açıklar.

İyi günler, sevgili okuyucular ve blog sitesinin konukları, zamanın ne kadar çok konuştuğunu, hızlı veya yavaş çalıştığını ve herkes bunun paha biçilmez ve önemli olduğunu anlıyor. Yani Active Directory altyapısında, kritik faktörler, etki alanının doğru işleyişi. Etki alanında, herkes birbirine güvenir ve bir kez oturum açıp Kerberos'tan tüm biletleri aldığında, kullanıcı herhangi bir yere gider ve kendisini yalnızca mevcut haklarıyla sınırlandırır. Bu nedenle, iş istasyonlarınızda etki alanı denetleyicisine tam olarak zamanınız yoksa, aşağıda bahsedeceğimiz ve bunları kullanarak nasıl düzelteceğinizi düşüneceğimiz ciddi sorunlar yaşamaya başladığınızı varsayabilirsiniz. Windows'ta NTP sunucu ayarları.

Active Directory'de Zaman Senkronizasyonu

Aşağıdaki zaman eşitleme şeması, Active Directory'ye katılan bilgisayarlar arasında çalışır.

AD ormanındaki PDC öykünücüsü FSMO rolüne sahip olan kök etki alanı denetleyicisi (buna kök PDC diyelim), o etki alanındaki diğer tüm denetleyiciler için zaman kaynağıdır.
Alt etki alanı denetleyicileri, yukarı akış AD topolojisi etki alanı denetleyicilerinden zamanı eşitler.
Etki alanının düzenli üyeleri (sunucular ve iş istasyonları), AD topolojisini gözlemleyerek zamanlarını en yakın kullanılabilir etki alanı denetleyicisiyle eşitler.

Kök PDC, zamanını hem harici bir kaynakla hem de kendisiyle senkronize edebilir, ikincisi varsayılan konfigürasyon tarafından ayarlanır ve sistem günlüğündeki hatalar tarafından periyodik olarak ima edilen saçmadır.

Kök PDC istemcilerinin senkronizasyonu, hem dahili saatinden hem de harici bir kaynaktan gerçekleştirilebilir. İlk durumda, kök PDC zaman sunucusu kendisini "güvenilir" olarak tanıtır.

Daha sonra, kök PDC'nin kendi zamanını İnternet'teki güvenilir bir kaynaktan periyodik olarak senkronize ettiği ve buna erişen istemcilerin zamanının dahili saati ile senkronize olduğu benim açımdan kök PDC zaman sunucusunun en uygun yapılandırmasını vereceğim. .

Takdim etmek netdom sorgusu fsmo.Örneğimde, PDC ve NTP sunucusunun rolü dc7 denetleyicisine aittir.

Kök PDC'de NTP Sunucu Yapılandırması

Windows'ta zaman sunucusunu yapılandırma (NTP sunucusu) komut satırı yardımcı programı kullanılarak yapılabilir. w32tm ve kayıt defteri aracılığıyla. Mümkünse her iki seçeneği de vereceğim. Ancak önce, bilgisayardaki tüm ayarlarınıza bakın, bu şu komutla yapılır:

w32tm / sorgu / yapılandırma

EventLogFlags: 2 (Yerel)
DuyuruFlags: 10 (Yerel)
TimeJumpAuditOffset: 28800 (Yerel)
MinPollInterval: 6 (Yerel)
MaxPollInterval: 10 (Yerel)
MaksNegPhaseDüzeltme: 172800 (Yerel)
MaxPosPhaseDüzeltme: 172800 (Yerel)
MaxAllowedPhaseOffset: 300 (Yerel)

FrekansDoğruOran: 4 (Yerel)
PollAdjustFactor: 5 (Yerel)
LargeFaseOffset: 50000000 (Yerel)
SpikeWatchPeriod: 900 (Yerel)
LocalClockDispersion: 10 (Yerel)
HoldPeriod: 5 (Yerel)
Faz Düzeltme Oranı: 7 (Yerel)
Güncelleme Aralığı: 100 (Yerel)

NtpClient (Yerel)

Etkin: 1 (Yerel)
Giriş Sağlayıcı: 1 (Yerel)
CrossSiteSyncFlags: 2 (Yerel)

ResolvePeerBackoffDakika: 15 (Yerel)
ResolvePeerBackoffMaxTimes: 7 (Yerel)
Uyumluluk İşaretleri: 2147483648 (Yerel)
EventLogFlags: 1 (Yerel)
BüyükÖrnekEğriliği: 3 (Yerel)
SpecialPollInterval: 3600 (Yerel)
Tür: NT5DS (Yerel)

NtpSunucusu (Yerel)
Dll Adı: C: \ Windows \ system32 \ w32time.dll (Yerel)
Etkin: 1 (Yerel)
Giriş Sağlayıcı: 0 (Yerel)
AllowNonstandardModeCombinations: 1 (Yerel)

VMICTimeProvider (Yerel)
Dll Adı: C: \ Windows \ System32 \ vmictimeprovider.dll (Yerel)
Etkin: 1 (Yerel)
Giriş Sağlayıcı: 1 (Yerel)

Dahili saatin harici bir kaynakla senkronizasyonunu etkinleştirme

NTP Sunucusunu Etkinleştirme

NTP sunucusu, tüm etki alanı denetleyicilerinde varsayılan olarak etkindir, ancak üye sunucularda da etkinleştirilebilir.

Senkronizasyon için harici kaynakların listesini ayarlama

Sondaki 0x8 işareti, senkronizasyonun bu sunucu tarafından önerilen zaman aralıklarında NTP istemci modunda gerçekleşmesi gerektiği anlamına gelir. Kendi senkronizasyon aralığınızı ayarlamak için 0x1 bayrağını kullanmanız gerekir.

Harici bir kaynakla senkronizasyon aralığını ayarlama

Senkronizasyon kaynağının yoklamaları arasındaki saniye cinsinden süre, varsayılan olarak 900s = 15dk. Yalnızca 0x1 bayrağıyla işaretlenmiş kaynaklar için çalışır.

"SpecialPollInterval" = dword: 00000384

Minimum pozitif ve negatif düzeltmeyi ayarlama

Saniye cinsinden maksimum pozitif ve negatif zaman düzeltmesi (dahili saat ve senkronizasyon kaynağı arasındaki fark), aşıldığında senkronizasyon gerçekleşmez. Düzeltmenin her zaman yapılabileceği 0xFFFFFFFF değerini tavsiye ederim.

"MaxPosPhaseCorrection" = dword: FFFFFFFF
"MaxNegPhaseCorrection" = dword: FFFFFFFF

İhtiyacınız olan her şey tek satırda

w32tm.exe / config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 pool.ntp.org, 0x8 "/ syncfromflags: manual / güvenilir: evet / güncelleme

Faydalı komutlar

Zaman hizmeti yapılandırmasında yapılan değişiklikleri uygulama
w32tm / yapılandırma / güncelleme
Kaynaktan senkronizasyonu zorla
w32tm / yeniden eşitleme / yeniden keşfetme
Bir etki alanındaki etki alanı denetleyicilerinin senkronizasyon durumunu görüntüleme
w32tm / monitör
Mevcut senkronizasyon kaynaklarının ve durumlarının görüntülenmesi
w32tm / sorgu / eşler

NTP Sunucusunu ve İstemcisini Grup İlkesi ile Yapılandırma

Sizinle bir Active Directory etki alanımız olduğundan, sunucuların ve iş istasyonlarının toplu konfigürasyonu için grup ilkelerini kullanmamak aptallıktır, size NTP sunucunuzu pencerelerde ve bir istemcide nasıl yapılandıracağınızı göstereceğim. Grup İlkesi Düzenleyicisi ek bileşenini açın. Windows üzerinde NTP sunucumuzu yapılandırmadan önce, ilkeyi yalnızca PDC ana sunucusuna uygulayacak bir WMI filtresi oluşturmamız gerekiyor.

Sorgunun adını girin, ad alanı "root \ CIMv2" değerine ve "Select * from Win32_ComputerSystem burada DomainRole = 5" sorgusuna sahip olacaktır. Onu kurtarıyoruz.

Ardından, Etki Alanı Denetleyicileri kapsayıcısında bir ilke oluşturursunuz.

İlkenin en altında, oluşturduğunuz WMI filtrenizi uygulayın.

Şubeye gidin: Bilgisayar Yapılandırması> İlkeler> Yönetim Şablonları> Sistem> Windows Zaman Hizmeti> Zaman Sağlayıcıları.

Burada "Windows NTP İstemcisini Yapılandır" ilkesini açıyoruz. Parametreleri ayarlama

NtpServer: 0.ru.pool.ntp.org.0x1, 1.ru.pool.ntp.org.0x1, 2.ru.pool.ntp.org.0x1, 3.ru.pool.ntp.org.0x1
Tür: NTP
CrossSiteSyncFlags: 2. İki, bu parametre 2 (Tümü) ise, herhangi bir senkronizasyon katılımcısının kullanılabileceği anlamına gelir. NT5DS belirtilmezse bu değer yok sayılır. Varsayılan değer: 2 (ondalık) (0x02 (onaltılık))
ResolvePeerBackoffMinutes: 15. Bu değer, dakika cinsinden, W32time hizmetinin başarısız olursa DNS adını çözümlemeye çalışmadan önce ne kadar bekleyeceğini belirtir. Varsayılan değer: 15 dakika
Resolve Peer BAckoffMaxTimes: 7. Bu değer, keşif sürecini yeniden başlatmadan önce W32time hizmetinin yapacağı DNS çözümleme girişimlerinin sayısını kontrol eder. Bir DNS ad çözümlemesi her başarısız olduğunda, bir sonraki denemeden önceki bekleme aralığı iki katına çıkar. Varsayılan yedi denemedir.
SpecilalPoolInterval: 3600. Saniye cinsinden ifade edilen bu NTP istemci parametre değeri, belirli bir yoklama aralığını kullanan manuel olarak yapılandırılmış bir zaman kaynağının yoklama oranını belirler. NTPServer parametresi için SpecialInterval bayrağı ayarlandığında, istemci, zaman kaynağının ne sıklıkta yoklanacağını belirlemek için MinPollInterval ve MaxPollInterval değerleri yerine SpecialPollInterval için belirtilen değeri kullanır. Varsayılan değer: 3600 saniye (1 saat).
EventLogFlag'lar: 0