NTP - Reloj atómico en cada tabla. ¿Cuál es la diferencia entre el protocolo de sincronización de tiempo NTP de SNTP? Protocolo NTP

¿Por qué necesitas hora exacta?

¿Y quién necesita este tiempo exacto? Por supuesto, es necesario para nosotros, a los usuarios, para nosotros menos tarde. Imagine un aeropuerto moderno, por su trabajo, cientos de pilotos y despachadores deben usar las horas de llegada inequívocamente. El sistema de registro de mercancías en almacenes, instituciones de hospital, boletos ferroviarios para la venta de boletos ferroviarios y muchas otras instituciones requieren que el tiempo en todos los objetos del sistema en un grado u otro fue igualmente. Especialmente computadoras. Tienen muchos servicios y programas, para el funcionamiento normal de los cuales es necesario el tiempo exacto, y, por regla general, más preciso de lo que suele necesitar, las personas. Los servicios del sistema, los componentes del sistema de seguridad y los programas aplicados pueden ser muy críticos para la precisión del reloj. El ejemplo más sorprendente de tales servicios es el protocolo de autenticación de Kerberos. Por lo tanto, es necesario que su trabajo esté en las computadoras, el acceso a la que se lleva a cabo utilizando este protocolo, el tiempo del sistema difería en no más de 5 minutos. Además, la hora exacta en todas las computadoras facilita enormemente el análisis de registros de seguridad cuando investiga incidentes en la red local.

Protocolo NTP

NTP (Protocolo de tiempo de red) es un protocolo diseñado para sincronizar el tiempo en la red. Es un conjunto de algoritmos suficientemente complejos diseñados para garantizar una alta precisión (hasta varios microsegundos) y la conmutación por error del sistema de sincronización de tiempo. Por lo tanto, el protocolo implica la sincronización simultánea con múltiples servidores.

Hay varias versiones de este protocolo con algunas diferencias. La tercera versión de este protocolo en 1992 se estandarizó como RFC 1305. Cuarto (último en este momento) introduce algunas mejoras (configuración automática y autenticación, mejorando los algoritmos de sincronización) en comparación con el tercero, sin embargo, no está estandarizado en RFC.

Además, además del protocolo NTP, existe SNTP (Protocolo simple de tiempo de red). A nivel de los paquetes, estos dos protocolos son totalmente compatibles. La principal diferencia entre ellos es que SNTP no tiene sistemas de filtrado complejos y corrección de errores de varias etapas disponibles en NTP. Por lo tanto, SNTP es simplificado y más fácil en la implementación de la versión NTP. Está destinado a su uso en aquellas redes donde no se requiere una exactitud de la misma precisión del tiempo, y en las implementaciones de Microsoft Corporation proporciona precisión dentro de los 20 segundos dentro de la empresa y no más de 2 segundos dentro de un sitio. El protocolo SNTP se estandariza como RFC 1769 (versión 3) y RFC 2030 (versión 4).

El modelo de sincronización NTP asume una estructura jerárquica. En el primer nivel de la jerarquía, hay llamados servidores de tiempo "primario" (primer estrato). Están ubicados en diferentes lugares de todo el mundo y tienen el momento más preciso. Dichos servidores son relativamente pocos, ya que se mantiene el tiempo exacto con la ayuda de equipos especializados costosos (canal de radio, canal satelital). Los servidores de segundo estrato (segundo estrato) se sincronizan con los servidores de primer nivel utilizando el protocolo NTP. Sin embargo, ya son mucho más grandes, ya están algo suspendidos (de 1 a 20 milisegundos) en relación con los servidores "primarios". Además, los servidores de los niveles terceros, cuarto y posteriores pueden ir:

Con la transición a cada nivel, el error está aumentando en relación con el servidor primario, pero el número total de servidores aumenta y, por lo tanto, su carga disminuye. Por lo tanto, como fuente de sincronización externa, en lugar de usar servidores primarios que tienen el tiempo más preciso, se recomienda usar servidores secundarios como menos cargados.

Para sincronizar el tiempo en Windows 2000 / XP / 2003, se utiliza el protocolo SNTP. El soporte para este protocolo se implementa como un servicio de sistema de tiempo de Windows que forma parte del sistema operativo MS Windows 2000 / XP / 2003. Una característica distintiva de esta implementación es que el servicio de tiempo de Windows admite la autenticación de dominio al acceder al servidor de tiempo de referencia, que es importante en términos de seguridad.

Hay varias opciones para el servicio SNTP en Windows:

Jerárquico (NT5DS). Utilizado por defecto para todas las computadoras combinadas en el dominio. La sincronización del tiempo en las estaciones de trabajo y los servidores de dominio se realiza en la jerarquía. Por lo tanto, las estaciones de trabajo y los servidores ordinarios se sincronizan con el controlador de dominio, la entrada autenticada, los controladores de dominio, el propietario de la operación del emulador PDC, que a su vez se sincroniza con el controlador de dominio de pie en un nivel más alto de la jerarquía. Cabe señalar que este procedimiento de sincronización se usa "de forma predeterminada" y se puede redefinir manualmente o usar políticas de grupo. Cómo hacerlo se hablará a continuación.
Sincronización forzada con el servidor NTP seleccionado (NTP). En este caso, la fuente del tiempo de referencia para Windows se instala manualmente o utiliza políticas de grupo.
Deshabilitar la sincronización (NOSYNC). Este modo es necesario para un esquema de mantenimiento de tiempo mixto en el que se usa un producto de terceros para sincronizarse con una fuente externa, y se usa la hora de Windows para mantener el tiempo dentro del dominio.

Por lo tanto, en el caso de un grupo de trabajo, la sincronización de tiempo todavía tendrá que ser ajustada manualmente. Por ejemplo, una de las computadoras se puede configurar para sincronizar con el servidor externo utilizando el protocolo SNTP, y el resto es para sincronizarlo. Las acciones necesarias para esto se describirán a continuación.

Para un dominio, se recomienda utilizar la sincronización jerárquica por el protocolo SNTP. En la mayoría de los casos, proporciona una precisión aceptable de la hora del sistema en el marco del bosque de dominios. Además, garantiza automáticamente la actualización de seguridad, gracias al soporte de autenticación de Active Directory. Para admitir el tiempo "correcto" en el dominio, es necesario sincronizar el controlador de dominio de nivel superior, que posee la función de "emulador PDC", con un servidor NTP externo. En nuestro ejemplo, el rol de dicho servidor será una máquina Linux con un demonio NTPD de trabajo.

Configuración de SNTP en Windows

Se utilizan dos utilidades para configurar el servicio de tiempo de Windows:

Hora de la red.
W32TM

El tiempo neto se utiliza principalmente para configurar el servicio de tiempo, y W32TM es para monitorear y diagnosticar el trabajo. Sin embargo, en Windows XP / 2003, la utilidad W32TM ha sufrido cambios significativos y se puede usar para configurar el servicio de tiempo. La configuración de NTP Siguiente se llevará a cabo en el ejemplo de Windows XP / 2003.

Por lo tanto, para "manualmente", especifique la fuente de sincronización utilizando el tiempo de red, es suficiente para escribir en la línea de comandos:

eT HORA / SETSNTP: Servery List_bers_bers_bel

Para información sobre el servidor de tiempo actual:

tiempo NET / QUERYSNTP

Puede encontrar tiempo en el controlador de dominio, por lo que:

tiempo de red / dominio: Nombre de domen

Y sincronice el tiempo con el controlador de dominio como este:

Tiempo de red / dominio: domen_name / set

La utilidad del sistema W32TM se puede hacer de todos modos y aún más:

w32TM / RESIVC: usando este comando, puede forzar una computadora local o remota para sincronizar las lecturas de los relojes de su sistema con el servidor de tiempo utilizado por ella.
w32TM / CONFIG: este comando se usa para configurar el servicio de hora de Windows. Con él, puede configurar una lista de servidores de tiempo utilizados y tipo de sincronización (servidores jerárquicos o seleccionados).

Por ejemplo, para anular los valores predeterminados y configurar la sincronización de tiempo con una fuente externa, puede usar el comando:

w32TM / CONFIG / SYNCFROMFLAGS: Manual / ManualPerList: Peerlist

Y para que Windows Time para aplicar nuevas configuraciones, puede usar el comando en lugar de reiniciar el servicio:

w32tm / config / actualización

Además, los siguientes parámetros asociados con el tiempo de monitoreo en las computadoras están disponibles en W32TM.

w32TM / Monitor: con esta opción, puede averiguar cómo la hora del sistema de esta computadora difiere de la hora al controlador de dominio u otras computadoras.
w32TM / Stripchart: muestra gráficamente la diferencia horaria entre la computadora actual y remota.
w32TM / Registro: registra el servicio de tiempo de Windows como un servicio en esta computadora. Esta opción puede ser útil en las computadoras que no están incluidas en el dominio, ya que la hora predeterminada en ellas se detiene.

Para obtener más información sobre los parámetros del tiempo neto y las utilidades W32TM, se puede obtener utilizando el /? O abriendo la sección correspondiente del sistema de ayuda "Ayuda y centro de soporte" MS Windows XP / 2003.

Es fácil adivinar que la configuración del servicio de tiempo de Windows se almacena en el Registro de Windows en la sección HKEY_LOCAL_MACHINE \\ SISTEMA \\ CurrentControlSet \\ Services \\ W32Time Sección \\.

La raíz de la sección define los parámetros de servicio del propio servicio, en la configuración de Config: Configuración asociada con el trabajo del protocolo SNTP en sí, el modo de sincronización se determina en las conexiones de los parámetros. Las configuraciones SNTP del cliente y del servidor se encuentran en las conexiones Timproviders \\ NTPClient y TimeProviders \\ NTPSERVER, respectivamente. Considere los valores básicos que determinan la configuración del cliente y el servidor NTP:

Tipo: especifica el modo de cliente NTP (NTDS5 - jerárquico, NTP - "Manualmente", NOSYNC - No sincronizar, ALLSYNC: todos los tipos de sincronización están disponibles);
Habilitado: determina si este componente (cliente o servidor) está habilitado;
Crosssitsitsyncflags: determina si sincronizar el tiempo con la fuente fuera del dominio, si se usa la sincronización jerárquica (0 - es imposible, 1 es solo con el Emulator PDC, 2 - con todos);
EventLOGFLAGS: determina si los mensajes de la hora de Windows se ingresarán en un registro o no (una función muy útil al trabajar la depuración).

Otra opción para configurar el servicio de tiempo de Windows es el uso de políticas de grupo. Los ajustes se definen en el objeto Política de grupo en la siguiente dirección: "Configuración de la computadora -\u003e Plantillas administrativas -\u003e Sistema -\u003e Servicio de tiempo de Windows".

Si ha instalado Windows 2000 Server y no encontró tal configuración, no se desespere, solo necesita actualizar "Plantillas administrativas". Para hacer esto, copie desde la carpeta System System32 \\ Grouppolicy \\ ADM cualquier máquina con Windows XP instaló todos los archivos AWNM a un servidor que sea un controlador de dominio. A continuación, al definir el objeto Política de grupo, haga clic con el botón derecho en "Plantillas administrativas" y seleccione "Agregar / quitar plantillas ..." Elimine las plantillas que se enumeran allí y agregue las copias. Después de presionar el botón "OK", las plantillas se actualizarán y puede configurar el servicio de tiempo utilizando las políticas de grupo:

Es fácil ver que todas esas configuraciones que se pueden cambiar en el registro se enumeran principalmente. No hay nada sorprendente en ello, porque la mayoría del político grupal trabaja.

En Windows XP, apareció otra forma de configurar un servidor de tiempo, lo que puede ser muy conveniente para configurar la sincronización en una computadora doméstica o una computadora incluida en el grupo de trabajo:

Servidor NTP bajo Linux: sincronización externa para dominio de Windows

Como se mencionó anteriormente, el protocolo NTP es más resistente a los errores, por lo tanto, como fuente de tiempo de referencia, es mejor usar el servidor NTP para la sincronización externa. Además, no siempre está en el controlador de dominio de nivel superior, hay acceso a Internet por Puerto UDP 123 utilizado para NTP. El acceso puede estar cerrado por razones de seguridad, que es la práctica habitual de las grandes organizaciones. En tales casos, para resolver este problema, puede instalarlo en la zona desmilitarizada: DMZ es su servidor de tiempo configurado para sincronizar con una fuente externa, y usarla como fuente de tiempo de referencia para sincronizar el controlador de dominio de nivel superior. Como tal computadora, cualquiera, no necesariamente una máquina moderna con un sistema operativo similar a un * Nix, por ejemplo, Linux instalado en una configuración mínima, sin un servidor X y otras cosas potencialmente vulnerables.

Hay programas masivos para la sincronización de tiempo para el sistema operativo Linux. Los más famosos son XNTPD (NTP versión 3), NTPD (versión 4 de NTP), Cry y Clockspeed. En nuestro ejemplo, utilizaremos el NTP-Server NTPD, que forma parte de REDHAT 9, suministrado en el paquete NTP-4.1.2-0.RC1.2.I386.RPM.

El paquete incluye varios programas diseñados para trabajar con NTP.

Aquí están los principales de ellos:

NTPD - DAEMON NTP que admite la hora exacta en el fondo;
NTPQ es una utilidad destinada a una encuesta de servidores NTP que admiten el protocolo de encuesta del modo NTP estándar 6. Con él, puede encontrar y cambiar el estado actual del servidor si su configuración lo permite;
NTPTDC: utilidad, con la que puede entrevistar el daemon NTPD y recibir las estadísticas de su trabajo;
NTPDATE: programa para instalar la hora actual del sistema utilizando el protocolo NTP.

La característica estándar del protocolo NTP es la capacidad de realizar la autenticación. Se puede usar como algoritmos simétricos (DES), que aparecieron en la segunda versión del protocolo y algoritmos asimétricos, con una clave abierta, que son la innovación de la cuarta versión.

En el caso de usar un esquema de autenticación simétrica, el cliente y el servidor eligen un identificador arbitrario y una de las teclas 65534 definidas por el estándar. Cuando se utiliza algoritmos asimétricos, se usa el llamado esquema de Autokey, la característica distintiva de la cual es la ausencia de la necesidad de distribuir previamente las teclas abiertas de los servidores.

Para configurar la autenticación en NTPD, hay NTP-Genkeys, NTPQ y NTPDC Utilities.

Toda la funcionalidad NTP asociada con el soporte de tiempo exacto se implementa en el daemon NTPD. Su configuración se hace común al método UNIX, editando el archivo de configuración NTP.CONF ubicado en la carpeta / etc.

Especifique las siguientes opciones para el servidor NTP.

Primero, especifique los servidores con los que se realizará la sincronización de tiempo:

servidor ntp.nasa.gov # a stratum 1 servidor en nasa.org
Server NTP1.DEMOS.NET # A STRATUM 2 Server en Demos.Net

restringir ntp.research.gov máscara 255.255.255.255 Nomodify Notrap Noquery

Aquí la máscara 255.255.255.255 se utiliza para limitar el acceso a nuestro servidor desde el servidor NTP.NASA.GOV. Ahora definiremos la lista de nodos en nuestra red local, que queremos permitir el acceso a nuestro servidor NTP para obtener el tiempo:

restringir 192.168.1.0 máscara 255.255.255.0 Notrust nomodify Notrap

También necesitamos que el automóvil Linux tenga acceso completo a los recursos de su servidor:

restringir 127.0.0.1

Y ahora lo más importante es: debemos asegurarnos de que la prohibición predeterminada tenga una prioridad más alta, comentó:

#Restricto predeterminado ignorar.

Después de guardar el archivo NTP.CONF, la configuración se puede considerar más, pero puede resultar que después de iniciar un demonio, la hora aún no se sincronizará. El hecho es que el protocolo NTP se desarrolló originalmente como un protocolo para mantener el tiempo, no en su instalación. Por lo tanto, si la diferencia entre las lecturas de reloj es lo suficientemente grande (más de unos pocos minutos), la sincronización no se hará. En este caso, tiene sentido establecer inicialmente el tiempo manualmente utilizando el comando NTPDATE (también puede agregar el comando NTPDATE a los scripts iniciales de la máquina):

# NTPDATE RELOK.VSU.RU.
17 de febrero 23:44:54 NTPDATE: Step Time Server 198.123.30.132 Offset 25.307598 SEC

17 de febrero 23:45:05 NTPDATE: Ajuste el servidor de tiempo 198.123.30.132 Offset 0.002181 Sec
# NTPDATE RELOK.VSU.RU.

El lanzamiento del demonio NTP se realiza a través de scripts de inicialización. Si el programa se instaló desde el paquete RPM, probablemente todas las preguntas relacionadas con su lanzamiento automático ya se hayan resuelto. Para asegurarse de que puede usar el equipo:

# Chkconfig -list ntpd
NTPD 0: ON 1: OFF 2: OFF 3: ON 4: OFF 5: ON 6: OFF

Si no ve esta línea, significa que el lanzamiento automático de NTPD no está configurado. Para solucionarlo, escriba:

# Chkconfig -level 035 ntpd en

Para administrar NTP (Inicio, Ejecutar, Reiniciar, Estado), se utiliza un script de inicialización estándar:

# /etc/init.d/nttpd inicio

Para ver las estadísticas de sincronización del servidor, puede usar el siguiente comando:

# NTPQ -P.
Remote Reenfid St T Cuando encuesta alcanza el retraso en el retraso
==============================================================================
* Tick.usnogps.na .usno. 1 u 38 64 377 220.00 0.149 7.08
-Navobs1.wustom.e .psc. 1 u 55 64 377 193.47 6.857 4.81
-NTP-NASA.ARC.NA .gps. 1 u 43 64 377 254.88 7.471 9.58
-NTP0.NL.NET .GPS. 1 u 144 512 377 122.54 12.515 13.75
-Ntp2.ien.it .ien. 1 u 558 1024 377 133.94 14.594 41.99
+ Cronometraje. .GPS. 1 u 13 64 377 245.30 3.454 15.08
+ News-Zero.DEMOS NTP0.USNO.NAVY. 2 u 16 64 377 37.51 -3.239 11.14
Local (0) Local (0) 10 L - 64 377 0.00 0.000 10.01

Modos de operación NTP del servidor / cliente

Servidor de cliente.

Este modo se usa con mayor frecuencia en Internet. Diagrama de trabajo - Classic. El cliente envía una solicitud para la cual, durante algún tiempo, el servidor envía la respuesta. La configuración del cliente se realiza utilizando la directiva del servidor en el archivo de configuración, donde se especifica el nombre del servidor DNS.

Modo simétrico activo / pasivo

Este modo se usa si la sincronización de tiempo se realiza entre una gran cantidad de máquinas iguales. Además del hecho de que cada máquina está sincronizada con una fuente externa, también realiza una sincronización con sus vecinos (pares), hablando para ellos como cliente y un servidor de tiempo. Por lo tanto, incluso si el automóvil "perderá" una fuente externa, aún puede obtener la hora exacta de sus vecinos. Los vecinos pueden operar en dos modos, activos y pasivos. Trabajando en modo activo, la máquina en sí transmite su tiempo a todos los vecinos enumerados en las secciones de archivos de configuración NTP.CONF. Si los vecinos no se especifican en esta sección, se cree que la máquina funciona en modo pasivo. Para que un atacante no pueda comprometer otros autos, lo que se presenta como una fuente activa, es necesario usar la autenticación.

Modo de difusión

Se recomienda este modo para usar en los casos en que un pequeño número de servidores sirva a un gran número de clientes. Trabajando en este modo, el servidor envía periódicamente los paquetes utilizando la dirección de transmisión de subred. Un cliente configurado para sincronizar de esta manera recibe un servidor de transmisión del servidor y sincroniza el servidor. Una característica de este modo es que el tiempo se entrega dentro de la misma subred (límites de paquetes de transmisión). Además, es necesario usar la autenticación para proteger contra los intrusos.

Modo de multidifusión

Este modo es en gran medida similar a la difusión. La diferencia es que la dirección de multidifusión de los espacios de direcciones IP de las direcciones IP se utiliza para entregar paquetes. Para los clientes y servidores, la dirección del grupo de multidifusión se especifica para sincronizar el tiempo. Esto hace posible sincronizar grupos de máquinas ubicadas en varias subretas, siempre que los enrutadores que conecten sus enrutadores admitan el protocolo IGMP y se configuran para transmitir el tráfico de grupo.

MODO DE MODA

Este modo es una innovación de la cuarta versión del protocolo NTP. Implica la búsqueda por parte del cliente entre sus vecinos de red de los servidores Manycast, obteniendo de cada una de ellas muestras de tiempo (usando la criptografía) y seleccionando sobre la base de estos datos de los tres "mejores" servidores de muchos "con los que se realizará el cliente. sincronización. En caso de fallo de uno de los servidores, el cliente actualiza automáticamente su lista.

Para transferir muestras de tiempo, clientes y servidores que se ejecutan en el modo Manycast, use las direcciones de grupo de multidifusión (redes de clase D). Clientes y servidores utilizando la misma dirección de una asociación. El número de asociaciones está determinado por el número de direcciones de multidifusión utilizadas.

Preguntas emergentes a menudo

¿Por qué después del comando neto tiempo / setsnttp: servidor, el tiempo no está sincronizado?

Asegúrese de que el tipo de inicio "automáticamente" se especifique para el servicio W32Time.
Asegúrese de que el puerto UDP 123 del servidor NTP utilizado esté disponible.
Asegúrese de que el tiempo entre el cliente y el servidor no sea demasiado diferente.

¿Puede el cliente SNTP sincronizar con el servidor NTP?

Sí, tal vez el protocolo SNTP sea un subconjunto de NTP y totalmente compatible con él.

¿Es posible utilizar el servidor NTP de terceros fabricantes en Windows 2000 / XP / 2003?

Sí, puede usar cualquier servidor, pagado o gratis. Pre-desactivación de los componentes correspondientes (cliente o servidor) Windows Services.

¿Por qué el cliente NTP trabaja en una computadora con MS SQL Server instalado?

Lo más probable es que el problema es que SQL Server está de alguna manera, el puerto UDP 123 es de alguna manera. Como solución, puede ofrecer el lanzamiento del cliente NTP a MS SQL Server.

El daemon NTPD después de la puesta en marcha funciona 10-20 minutos, después de lo cual se detiene. ¿Cual podría ser el problema?

Asegúrese de que el cliente y el tiempo del servidor no sean diferentes (no más de 5 minutos). De lo contrario, la sincronización forzada utilizando NTPDATE.

¿Es posible sincronizar el tiempo en OS Windows NT4, 95, 98, yo?

Puede, con programas de terceros, como NetTime, Automacahron, World Time5, NTPD Windows NT Port.

Cuando intenta iniciar sesión en el dominio de Windows, aparece un mensaje que la hora entre el controlador de dominio y la estación de trabajo es demasiado, aunque la sincronización se configura con precisión.

Lo más probable es que el problema sea que el tiempo ha comenzado con mucha fuerza (restablecer CMOS, Sabotaje de hacker) y el servicio no puede pasar la autenticación de Kerberos. Para resolver este problema, debe resumir manualmente, o no usar este tipo de autenticación al actualizar la hora.

Buen día, invitados y lectores regulares. Poco a poco pasar por alto desde lo básico a un estudio más profundo de Linux. Hoy quiero considerar operación del protocolo NTP, así como la configuración servidores de tiempo en Linux (Servidor NTP). Así que vamos a empezar con la teoría.

Protocolo NTP

Protocolo de tiempo de red (NTP) - Protocolo de red para sincronizar las horas internas de la computadora usando redes de latencia variable (lea el "ancho" / calidad del canal).

NTP usa para su trabajo protocolo UDP y puerto 123.

Versión actual del protocolo - NTP 4.. NTP.utiliza el sistema jerárquico. "Niveles de tiempo" (También los llaman Estrato). Nivel 0 (o estratum 0) - Esto suele ser dispositivos que son relojes atómicos (moleculares, cuánticos), relojes de GPS o radiofrecuencias de radio. Estos dispositivos generalmente no se publican en la red mundial, y están conectados directamente a servidores de tiempo de nivel 1a través del protocolo RS-232 (en las ilustraciones están marcadas con flechas amarillas). Nivel 1 Sincronizado con reloj de alta precisión. nivel 0., generalmente funciona como fuentes para servidores. nivel 2. Nivel 2. Sincronizado con uno de los coches. nivel 1, así como la sincronización con sus servidores de nivel. Nivel 3. Funciona de manera similar al segundo. Por lo general, los servidores de red se publican en el segundo y a continuación. Protocolo NTP Soporta hasta 256 niveles. También quiero señalar que los niveles de niveles 1 y 2, y, a veces, 3 no siempre están abiertos para el acceso universal. A veces, para sincronizar con ellos, debe enviar una solicitud por correo: administradores de dominios.

¿Cuál es la restricción en el acceso a los servidores? Con la transición a cada nivel, el error en relación con el servidor primario aumenta, pero aumenta el número total de servidores. Y por lo tanto,.

Asignación de servidor NTP en LAN

¿Por qué podemos necesitar un servidor NTP? Por ejemplo, hay servicios en sistemas operativos que pueden depender del tiempo sincronizado. El ejemplo más sorprendente de tales servicios es el protocolo de autenticación de Kerberos. Para su trabajo, es necesario que en las computadoras, el acceso a las que se realice utilizando este protocolo, el tiempo del sistema difería no más de 5 minutos. Además, la hora exacta en todas las computadoras facilita enormemente el análisis de registros de seguridad cuando investiga incidentes en la red local.

Modos de operación NTP del servidor / cliente

Servidor de cliente.

Modo simétrico activo / pasivo

Modo de difusión

Modo de multidifusión

MODO DE MODA

Tiempo en Linux

Dígale brevemente a qué hora existe en Linux y cómo preguntarlo. En Linux, como en otro sistema operativo, hay 2 veces. Primero - hardware Aveces llamado Reloj en tiempo real., abreviado ( Rtc) (Son: el reloj BIOS) generalmente se asocia con un cristal de cuarzo oscilante, que tiene precisión del curso de hasta unos pocos segundos por día. La precisión depende de varias oscilaciones, por ejemplo, la temperatura ambiente. El segundo reloj es interno. sofaves que van continuamente, incluso durante las interrupciones del sistema. Están sujetos a desviaciones asociadas con una gran carga de sistemas y retardo de interrupción. Sin embargo, el sistema generalmente lee las lecturas del reloj de hardware cuando se carga y luego usa el reloj del sistema.

Fecha y hora del sistema operativo. Instalado cuando se carga en función del valor reloj de hardware, así como configuraciones de la zona horaria. Los ajustes de la zona horaria se toman del archivo. / etc / localtime. Este archivo es un enlace (pero con más frecuencia: una copia) de uno de los archivos en la estructura de directorios / Usr / share / zoneinfo /.

El reloj de hardware de Linux puede almacenar tiempo en formato UTC.(GMT analógico) o tiempo territorial actual. La recomendación general es ¿Qué hora de instalar (?) A continuación: Si se instala varios OS instalados en la computadora y uno de ellos es Windows, entonces necesita usar la hora actual (porque Windows lleva tiempo de BIOS / CMOS y lo considera local). Si solo se utilizan sistemas familiares de UNIX, es recomendable almacenar tiempo en el BIOS en formato UTC.

Después de cargar el sistema operativo, el reloj del sistema operativo y el BIOS son completamente independientes. El núcleo del sistema una vez en 11 segundos sincroniza el reloj del sistema con hardware.

Después de algún tiempo, puede haber una diferencia entre los relojes de hardware y programas en unos segundos. ¿Qué horas hacen el momento adecuado? Ni aquellos ni otros hasta que configuramos Sincronización de tiempo.

Nota:

Kernel de Linux "y siempre mantiene y calcula el tiempo como el número de segundos del pasado desde la medianoche 1 de enero de 1970 del año, Independencia, está instalado en su hora local o mundial. La conversión a la hora local se realiza durante el proceso de consulta.

Desde el número de segundos del 1 de enero de 1970, el tiempo global se guarda como un entero de 32 bits de signo (esto es cierto para los sistemas Linux / Intel), su reloj dejará de funcionar en algún lugar en 2038. Linux no tiene ningún problema del año 2000, pero tiene un problema de 2038. Afortunadamente, en ese momento, todos los "S de Linux se lanzarán en sistemas de 64 dígitos. El entero de 64 bits contendrá nuestro reloj a aproximadamente 292271 millones de años.

NTP Server Linux

Introducción

Hay muchas implementaciones para la sincronización del tiempo para el sistema operativo Linux. Los más famosos son XNTPD (NTP versión 3), NTPD (versión 4 de NTP), Cry y Clockspeed. En nuestro ejemplo, utilizaremos el NTP-Server NTPD.

El Daemon NTPD es el servidor de tiempo y el cliente, dependiendo de la configuración del archivo de configuración /etc/ntpd.conf (a veces /etc/nttp.conf), el daemon puede y "tomar" tiempo de los servidores válidos y "distribuir" a otros anfitriones el tiempo.

General esquema de sincronización de tiempoen la red local de la siguiente manera: debe tener 1 o 2 servidores con acceso a la red global que recibirá tiempo de Internet. Todas las computadoras de la red local se sincronizan con servidores específicos que reciben el tiempo de Internet.

Instalación de NTPD.

De hecho, instalación de un demonio Se reduce para instalar los siguientes paquetes: NTP. (El paquete incluye el propio demonio) nTPDATE.(Utilidad para la sincronización de tiempo manual - desactualizada), nTP-DOC. (Documentación del paquete), en algunas distribuciones, deberá instalar el mismo ntp-utils. (Utilidades para diagnósticos), en algunos se incluyen en el paquete NTP. Cómo instalar programas en Linux, descrito en. Después de instalar el paquete, en la mayoría de las distribuciones, el demonio se configurará como un cliente NTP (por ejemplo, Debian fue así). En consecuencia, los principales archivos de configuración se crearon automáticamente: /etc/nttp.conf y /var/lib/nttp/ntp.drift y el demonio se lanzó automáticamente.

Antes de configurar un demonio para la sincronización con el mundo exterior, le aconsejaría que establezca la fecha del sistema actual en el valor, lo más cerca posible de tiempo real. Fecha de ajuste en Linux Fabricado por el equipo: fecha MMDDHHMCYYYSS,donde MM - Mes, DD - Día del mes, HH - Relojes, MM - MINUTOS, CCYY - 4 FIGURAS DEL AÑO, SS - SEGUNDOS. Al mismo tiempo, valores Ccyy.ss. No necesariamente.

Como puede ver, el comando especificado establecerá la fecha y la hora actuales el 27 de diciembre de 2010, 20:06:30. Comando fecha Sin parámetros, salga de la hora actual del sistema. Este equipo tiene un montón de parámetros que se pueden encontrar en la fecha del hombre.

Además, debe configurar correctamente el reloj de hardware y la zona horaria. Como se mencionó anteriormente, la zona horaria está configurada al copiar el archivo de zona requerido del catálogo / Usr / share / zoneinfo /archivar. / etc / localtime:

NTP-Server: ~ # CP / USR / Compartir / ZoneInfo / Europa / Moscú / etc / Localtime

Hardware establecí horas en UTC:

# CAT / etc / sysconfig / reloj | GREP UTC # UTC \u003d verdadero indica que el reloj está configurado en UTC; UTC \u003d True NTP2-Server: ~ # CAT / etc / default / RCS | GREP UTC UTC \u003d SÍ

En el primer ejemplo, se especifica un archivo de configuración que define el uso de UTC para HR, el segundo, para las distribuciones de Deb-.

Además de instalar la configuración para el uso del tiempo en formato UTC, debe especificar Hardware. (En la mayoría de los casos, esto no es necesario, porque el tiempo del sistema especificado se sincroniza inevitablemente con el hardware, las fuerzas fundamentales). Pero aún así, si tienes un deseo de hacerlo ... Hwclock de equipo Lee e instala el hardware sobre la base de los parámetros transferidos a él. Las opciones disponibles se describen en la página Manual del equipo. Aquí hay algunos ejemplos de uso de hwlock:

NTP-Server # Hwclock # LEER TIEMPO DE NTP-Server # HWCLOCK --SYSTOHC - RELOJ DE RELOJ DE RELOJ DE RELOJ DE RELOJ DE RELOJ DE RELOJ DE RELOJ DE RELOJ IGUIENTE # UTC Basado en NTP-Server # HWCLOCK - HWCLOCK - HCHCLOCK TIEMPO DE RELOJ # Igual a local basado en el sistema Time NTP-Server # Hwclock --set --date "22 mar 2002 13:17" # establece la hora del reloj de hardware # igual a la fila especificada

Otra opción para cambiar el tiempo en el reloj de hardware se accede al BIOS al cargar el sistema. Desde el momento del sistema operativo, independientemente de las horas de hardware, cualquier cambio en la BIOS se tendrá en cuenta en la siguiente carga.

Ahora que todo ha sido preparado e instalado, proceder a en el sitio de construcción.

NTPD Demon Management

Control Ntpd demonio Ningún demonios diferentes difieren de ningún otro demonio. Ejecutar o reiniciar el servicio NTPD:

# / etc / init.d / ntp start # / etc / init.d / ntp reinicio

Detener:

# / etc / init.d / ntp stop

# / Bin / kill `cat / var / run / ntpd.pid`

El demonio tiene los siguientes parámetros de lanzamiento:

P - Archivo PID,
-G - Permitir la transición a los grandes saltos de tiempo
-c - archivo de configuración
-Q - Sincronización manual forzada

Configuración del servidor NTPD

En primer lugar, le aconsejará cambiar los parámetros del inicio del demonio en el siguiente archivo de configuración:

NTP-Server: ~ # CAT / ETC / PALUTE / NTP NTPD_OPTS \u003d "- G"

# Gato / etc / sysconfig / ntpd # parámetros para daemon NTP. # Ver NTPD (8) Para más detalles. .... # # Especifica parámetros adicionales para NTPD. NTPD_ARGS \u003d "- G"

Este parámetro le permitirá sincronizar el reloj, incluso si se formó una diferencia muy grande.

Entonces, como dije, información de configuración. Demonio NTPD.mentiras en el archivo /etc/nttp.conf. La sintaxis del archivo es estándar, como en muchas otras configuraciones: cadenas vacías y filas que comienzan con el símbolo "#" ignorar. Aquí hay un ejemplo simple:

NTP-Server: ~ # CAT /ETC/NTP.CONF Server NTPLOCAL.EXPLEX.COM PREFER SERVER TimeServer.example.org Server NTP2A.EXPLEX.NET DRIFTFILE /VAR/DB/NTP.DRIFT

Parámetro servidorespecifica qué servidores se utilizarán para la sincronización, uno en cada fila. Si el servidor se especifica con el argumento preferir., como ntplocal.example.com.Este servidor recibe preferencia al resto. La respuesta del servidor preferida se descartará si difiere significativamente de las respuestas de otros servidores, de lo contrario, se usará de forma independiente a otras respuestas. Argumento preferir.generalmente se utiliza para servidores NTP, que se sabe que son muy precisos, los utilizados por un equipo preciso especial.

Parámetro filo de driftespecifica el archivo que se usa para almacenar el desplazamiento de frecuencia del reloj del sistema. Por lo que entendí, este archivo almacena constantemente un valor que se forma en función del análisis de los ajustes de tiempo pasados \u200b\u200by, si las fuentes de tiempo externas no están disponibles, el ajuste de tiempo se produce en el valor del archivo deriva. No debe cambiar ningún otro proceso. Y antes de especificar este archivo en la configuración, se debe crear el archivo.

De forma predeterminada, el servidor NTP estará disponible para todos los hosts en Internet. Parámetro rESTRINGIR.en archivo /etc/nttp.conf. Le permite controlar qué máquinas pueden acceder a su servidor. Si quieres Desactive todas las máquinas para ponerse en contacto con su servidor NTPAgregue la siguiente línea al archivo /etc/nttp.conf.:

restringir el incumplimiento de ignore.

Si quieres permitirsincronice su reloj con su servidor solamente máquinas en su red, pero prohibiciónellos personalizar el servidor. O sea igual a los participantes en la sincronización del tiempo, en lugar de lo especificado, agregue la línea:

restringir 192.168.1.0 máscara 255.255.255.0 Nomodify Notrap

donde 192.168.1.0 es la dirección IP de su red, y 255.255.255.0 su máscara de red. /etc/nttp.conf. Puede contener varias directivas restringidas.

Para el trabajo correcto y más preciso del demonio, es deseable elegir un servidor de nivel: desde Stratum 2 (sin duda puede ser estratum1, pero tiene que matar el tiempo para buscar dicho servidor) y desde el estrato 2 seleccionado, A que la "distancia" mínima. Por lo general, su proveedor puede proporcionar tales servidores. El número de servidores seleccionados es preferiblemente, más de 2 3, más mejor, pero dentro de los límites razonables. Si es demasiado perezoso para elegir los mejores servidores, puede realizar una lista de servidores abiertos de segundo nivel desde aquí: http://support.nttp.org/bin/view/servers/stratumtwotimeservers.

Seleccione una lista de servidores NTP de referencia

Vamos a la dirección especificada (http://support.nttp.org/bin/view/servers/stratumtwotimeservers) y seleccione una lista de servidores iniciales. De esta lista, seleccione los servidores que satisfacen nuestros requisitos utilizando el análisis de salida del comando nTPDATE.. Al ejecutar el comando, se aplica la siguiente sintaxis:

nTPDATE SERVERS_TENERE_BELS

Para que nuestra solicitud haga cambios en el sistema, debe usar el parámetro -Q, que indica el uso de la solicitud sin realizar cambios. Además, es posible usar la tecla -d, lo que indica que el comando se ejecutará en el modo de depuración, con una salida de información adicional, sin realizar cambios reales (se muestra un montón de otra basura :), que no se necesita en el momento). Los parámetros restantes se pueden ver en el Hombre 8 NTPDATE. Desde el enlace especificado, elegí todos los servidores de acceso abierto ubicados en Rusia (RU) + el que proporcionó al proveedor y lanzó el equipo, resultó sobre lo siguiente:

NTP-Server: ~ # NTPDATE -Q NTP2.NTP-SERVERS.NET NTP1.VNIFTRI.RU NTP2.VNIFTRI.RU NTP4.VNIFTRI.RU NTP0.NTP-SERVERS.NET NTP1.NTP-SERVERS.NET NTP1.NTP-SERVERS.NET NTP3.VNIFTRI.RU NTP.CORBINA.NET Server 88.147.255.85, estratum 1, offset 0.006494, retardo 0.09918 servidor 62.117.76.142, estrato 1, offset 0.002552, retardo 0.06920 servidor 62.117.76.141, estrato 1, offset 0.003147, retardo 0.06918 servidor 62.117.76.140, estrato 1, offset 0.004823, retardo 0.07350 servidor 88.147.254.228, estratum 1, offset -0.002355, retardo 0.12030 Server 88.147.254.229, estratum 1, offset -0.000922, retardo 0.10577 servidor 62.117.76.138, estrato 1, offset 0.005331, offset 0.005331, 0.07401 Retardo del servidor 195.14 .40.141, estratum 2, offset 0.002846, demora 0.07188 13 ene 19:14:09 NTPDate: Ajuste el servidor de tiempo 62.117.76.141 Desplazamiento 0.003147 seg

En el ejemplo, nuestros servidores entregaron con éxito el nivel Stratum1, que no pueden, sino que no pueden regocijarse (excepto el servidor de proveedores), Offset es una discrepancia a tiempo con este servidor en segundos, el retardo es un retraso de sincronización en segundos. Por lo general, B. ACERCA DEse obtiene más precisión utilizando servidores que tienen un retraso de transferencia de paquetes bajos sobre la red. Para identificar esto, es posible usar. En consecuencia, seleccionando primero a aquellos cuyo tiempo de respuesta es menor, y aquellos que son menos que los saltos. No tengo que perder tiempo, usaré todos los servidores especificados y los impartiré en el archivo de configuración. Total sabiendo todo lo anterior, describiré su archivo resultante /etc/nttp.conf.:

NTP-Server: ~ # CAT /ETC/NTP.CONF # Local Network Server (comentado, no utilizado - One Server) #serve 192.168.0.2 #server 192.168.0.5 # servidor NTP2.NTP-SERVERVERS.NET Server NTP1.vniiftri .ru Server NTP2.vniiftri.ru Server NTP4.VNIFTRI.RU Server NTP0.NTP-SERVERS.NET Server NTP1.NTP-SERVERS.NET Server NTP3.vniiftri.ru Server NTP3.VNIFTRI.RU Server NTP.CORBINA.NET # DRIFTFILE Archivos de servidor /var/lib/npch/nttp.drift LogFile / Var / Log / NTPStats # Restricción del acceso al servidor: # De forma predeterminada, ignoro todo Restringir el incumplimiento de ignore # bloques sin parámetros: significa que todo está permitido. Los parámetros van solo en prohibiciones. Restrinja 127.0.0.1 # A continuación, se describen los servidores con los que estamos sincronizados en la red local. # Permitimos que todos excepto las etiquetas y las consultas para nosotros restringiron 192.168.0.2 Notrap noquery restringir 192.168.0.5 Noquery Notrap # para LAN también permite que todo excepto restringir las trampas y modificaciones 192.168.0.1 máscara 255.255.25.0 Nomodify Notrap Nopeer # Permitir el acceso de las fuentes de tiempo externo : restringir NTP2.NTP-SERVERS.NET restringir NTP1.vniiftri.ru restringir NTP2.vniiftri.ru restringir NTP4.VNIFTRI.RU restringir NTP0.NTP-SERVERS.NET restringir NTP1.NTP-SERVERS.NET restringir NTP3.VNIIFTRI.RU restringir NTP.CORBINA.NET # y este hacke, que establece el nivel de confianza en el servidor (estratos) a sí mismo igual a 3 # en una cáscara de nuez, el nivel de nivel superior, menor será el número. 0 es un reloj atómico, el # 1 está sincronizado con ellos, 2, con el primero, y así sucesivamente. Servidor 127.127.1.1 Fudge 127.127.1.1 Stratum 3

Para una comprensión y configuración más en profundidad del servidor, describiré algunas configuraciones de configuración de NTPD que no mencionaron ::

habilitar deshabilitar aUTH / MONITOR / PLL / PPS / ESTADAS - encender apagado modo operativo:
- auténtico- con vecinos no autorizados para comunicarse solo en modo de autenticación;
- monitor- Permitir el monitoreo de la consulta;
- pLL- Permitir configurar la frecuencia del reloj local en NTP;
- estadísticas.- Permitir la recopilación de estadísticas;
estadísticasloopstats.- Con cada modificación del reloj local, escribe una línea a un archivo loopstats.;
estadísticaspeerstats.- Cada comunicación con el vecino está escrita en el registro almacenado en el archivo peerstats.;
estadísticasclstatsts.- Cada mensaje del controlador del reloj local está escrito en el registro almacenado en el archivo clstatsts.;
estadsdir(Catalog_name_setatistics) - Especifica el nombre del directorio en el que habrá archivos con estadísticas del servidor;
filegen. - Especifica el algoritmo de generación de archivos, que consiste en:
- prefijo- la parte permanente del nombre del archivo se establece ya sea cuando compila o comandos de configuración especiales;
- nombre del archivo - Se agregó al prefijo sin una barra, se prohíben dos puntos, se puede cambiar por la clave de archivo;
- sufijo- generado dependiendo del nombre de tipografía;
rESTRINGIR.dirección numérica- Especifica la restricción de acceso: los paquetes están ordenados y enlaces, la dirección inicial se toma y se compara constantemente, la bandera se toma de la última comparación exitosa. acceso:
- no hay banderas - dar acceso;
- ignorar.- Ignorar todos los paquetes;
- noquery.- Ignore los paquetes NTP 6 y 7 (solicitud y modificación del estado);
- nomodificar- Ignore los paquetes NTP 6 y 7 (modificación del estado);
- limitado- Servir solo un número limitado de clientes de esta red;
- nuez- Servir al anfitrión, pero no sincronizar con él;
clientlimit.límite.- para la bandera limitadodetermina el número máximo de clientes servidos (por defecto 3);

Total, tenemos NTPD-ServerLo que está sincronizado con el mundo exterior, le permite recibir el tiempo para los clientes de la red de área local 192.168.0.1 con una máscara de 255.255.255.0, así como también puede sincronizarse con un servidor local (si cambia varias líneas). Nos queda a la izquierda para personalizar a los clientes y aprender a ver nuestro servidor.

Observación del servidor NTPD y Sincronización.

Cuando todos ustedes están configurados. NTP mantendrá tiempo en un estado sincronizado. Este proceso se puede observar utilizando el comando de consultas NTP (NTPQ):

NTP-Server: ~ # NTPQ -P Remote Refid ST T Cuando se encoge el retardo de retardo de desplazamiento de retardo \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d -N3. Time1.d6.hsd .pps. 1 u 34 64 177 70.162 2.375 8.618 + NTP1.VNIFTRI.R .PPS. 1 U 33 64 177 43.479 -0.020 10.198 * NTP2.VNIFTRI.R .PPS. 1 u 6 64 177 43.616 -0.192 0.688 + ntp4.vniiftri.r .pps. 1 u 4 64 177 43.623 0.440 0.546 -N1.Time1.D6.HSD .PPS. 1 u 53 64 77 92.865 -11.358 38.346 -NS1.HSDN.ORG .GPS. 1 U 40 64 177 78.057 -3.292 35.083 -NTP3.VNIFTRI.R .PPS. 1 u 44 64 77 47.667 2.292 2.611 -scylla-l0.msk.c 192.43.244.18 2 U 62 64 77 41.565 -1.564 28.914

Este comando con la tecla -p muestra una lista de fuentes de tiempo con sus características (otros parámetros de comando en el hombre NTPQ). El valor de cada columna de la siguiente manera:

El nombre del servidor remoto NTP. Si especifica la tecla -N, recibirá direcciones IP del servidor en lugar de nombres.

Indica dónde se obtiene cada servidor el tiempo en este momento. Esto puede ser un nombre de host o algo así como. GPS, indicando la fuente del sistema de posicionamiento global (sistema de posicionamiento global).

Estratum Este número es de 1 a 16, lo que indica la precisión del servidor. Unidad significa la precisión máxima, 16 - servidor no está disponible. Su nivel será igual al nivel del servidor remoto menos preciso más 1.

El intervalo entre encuestas (en segundos). El valor se cambiará entre la frecuencia mínima y máxima de las encuestas. Al principio, el intervalo será pequeño para que la sincronización se produzca rápidamente. Después de sincronizar el reloj, el intervalo comienza a aumentar para reducir el tráfico y la carga en los servidores de tiempo popular.

La representación octal de una matriz de 8 bits que refleja los resultados de los últimos ocho intentos de conectarse al servidor. BIT se establece si respondió el servidor remoto.

Se requiere la cantidad de tiempo (en segundos) para recibir una respuesta a la solicitud "¿A qué hora?".

El campo más importante. La diferencia entre el tiempo de los servidores locales y remotos. Durante la sincronización, este valor debe reducirse (enfoque a cero), lo que indica que el reloj de la máquina local está aumentando más precisa.

La dispersión (jitter) es una medida de las desviaciones estadísticas del valor de compensación (campo de desplazamiento) para varios parámetros exitosos, solicitud: respuesta. Un valor de dispersión más pequeño es preferible, ya que permite sincronizar con mayor precisión el tiempo.

Significado de los signos antes de los nombres del servidor

x es una fuente falsa en el algoritmo de intersección;
. - excluido de la lista de candidatos debido a la larga distancia;
- - retirado de la lista de candidatos de clustering;
+ - entra en la lista final de candidatos;
# - seleccionado para la sincronización, pero hay 6 mejores candidatos;
* - seleccionado para la sincronización;
O - seleccionado para la sincronización, pero usó PPS;
Espacio - nivel demasiado grande, ciclo o error explícito;

Servicio NTPD"Inteligente" y tamiza las fuentes de tiempo demasiado eliminando el alcance de lo razonable. Después de algún tiempo, después de iniciar NTPD, seleccionará las fuentes de datos más confiables y se sincronizará con ellos. La lista de servidores de referencia NTP presentada por nosotros es revisada regularmente por el servicio.

Marque la función de sincronización localmente en el servidor es posible por el comando:

NTP-Server: ~ # NTPDate -Q LocalHost Server 127.0.0.1, Stratum 2, offset -0.000053, retardo 0.02573 Server :: 1, Stratum 2, offset -0.000048, demora 0.02571 14 14 de enero 14:49:57 NTPDate: Ajuste el servidor de tiempo :: 1 offset -0.000048 seg

Desde la salida del comando, está claro que nuestro servidor ya se ha convertido en el nivel de estrato 2. Para lograr este nivel, es necesario por un tiempo. Tal vez en los primeros 10-15 minutos, el nivel del servidor será mayor.

En la operación correcta del servidor NTP, también puede juzgar los registros del daemon NTPD:

NTP-Server: ~ # CAT / VAR / LOG / NTPSTATS / NTP 13 Ene 20:13:16 NTPD: Escuchar en la interfaz # 5 ETH0, FE80 :: A00: 27FF: FEC1: 8059 # 123 Habilitado el 13 de enero 20:13: 16 NTPD: Escuchar en la interfaz # 6 ETH0, 192.168.0.8 # 123 Habilitado 14 de enero 14:31:00 NTPD: Sincronizado a 62.117.76.142, Stratum 1 14 de enero 14:31:10 NTPD: Restablecimiento de tiempo +10.291312 S 14 de enero 14 : 31: 10 NTPD: CAMBIO DE ESTADO DE SIRC DE TIEMPO DE KERNEL 0001 14 Ene 14:34:31 NTPD: Sincronizado a 88.147.255.85, Stratum 1 14 de enero 14:36:04 NTPD: Sincronizado a 62.117.76.141, Stratum 1 14 de enero 15: 04:36 NTPD: Sincronizado a 62.117.76.142, Stratum 1 14 de enero 15:10:58 NTPD: Sincronizado a 62.117.76.140, Stratum 1 14 de enero 15:17:54 NTPD: Sin servidores accesibles 14 de enero 15:31:49 NTPD : Sincronizado a 62.117.76.140, estratum 1 14 de enero 15:32:14 NTPD: Restablecimiento de tiempo +13.139105 S

Configuración de NetFilter (IPTables) para servidor NTP

Configurando el trabajo del servidor, sería bueno protegerlo. Sabemos que el servidor funciona en un puerto 123 / UDP, mientras que las solicitudes también se envían desde el puerto 123 / UDP. Después de leer el artículo, y familiarizado con lo práctico, puede crear reglas para filtrar el tráfico de red:

NTP ~ # IPTables-Guardar # Reglas típicas de IPTables para DNS * Filtro: Ingreso DROP: DROP DROP: OUTPUT DOW -A INPUT -I LO -J ACEPTO -A INTERENCIA-METRACK - ACTENCIA RELACIONADA, ESTACIONADA -J ENTRADO -m ConnTrack - CCTTTATE Inválido -J DROP # Permitir acceso a la red local al servidor NTP: -A INPUT -SS 192.168.1.1/24 -D 192.168.1.1/32 -p UDP -M UDP --DPort 123 -M ConnTrack - - Ctstate new -j acepta -a salida -o lo -j acepta -a salida -p ICMP -J aceptar -A OUTIDAD-PEP UDP -M UDP --SPORT 32768: 61000 -J Aceptar -A salida -P TCP -M TCP --SPORT 32768: 61000 -J Aceptar -A OUTPUT-METRACK --M CONNTRACK - ACEPTADO RELACIONADO, SETTUD -J Aceptar # Permitir el acceso al servidor NTP para hacer solicitudes salientes -A SALIDA -P UDP -M UDP --SPORT 123 --DPORT 123 -M ConnTrack --CTTATE NUEVO -J Aceptar Commit

Este es un ejemplo típico! Para configurar las reglas de IPTables para sus tareas y la configuración de la red, debe comprender el principio del trabajo NetFilter en Linux, leyendo los artículos anteriores.

Configuración de máquinas cliente

Sincronizar el tiempo en máquinas UNIX. La red local es recomendable utilizar la utilidad NTPDate, lanzándola varias veces al día, por ejemplo, cada hora. Para hacer esto, debe agregar la siguiente línea:

0 * * * * / USR / SBIN / NTPDATE -S

La tecla -s envía la salida del comando. Si las máquinas cliente tienen un par de megabytes de RAM innecesarios, puede ejecutar el daemon NTPD, como en el servidor con la siguiente configuración:

Servidor Restringir el impago por defecto restringir Noquery Notrap restringir 127.0.0.1 Nomodify Notrap

Creo que en esta configuración, todo está claro: la fuente de tiempo (servidor) es un servidor NTPD local, para deshabilitar todo, permitir solo el servidor NTPD local.

Además, en los clientes, debe especificar correctamente en qué formato almacenar tiempo y elegir la zona horaria correcta ,.

Para configurar Windows Client NTPLos siguientes comandos deben ser ejecutados en la consola:

C: \\\u003e Tiempo NET / SETSNTP: El comando se completó con éxito. C: \\\u003e net Stop W32Time El servicio de tiempo de Windows se detiene. El servicio de tiempo de Windows se detuvo correctamente. C: \\\u003e Net Start W32Time El servicio de hora de Windows está comenzando. El servicio de tiempo de Windows se inició correctamente. C: \\\u003e Tiempo NET / QUERSNTP El valor SNTP actual es: El comando se completó con éxito.

Conclusión

Bueno, parece ser todo! El volumen del artículo resultó ser enorme ... ni siquiera esperaba. Vamos a traer un pequeño resultado descrito. En este artículo, esperamos que haya sido claro qué es y cómo funciona el servidor NTP. Aprendí a personalizar el servidor y los clientes en máquinas UNIX y Windows. En algunas palabras, la estructura de sincronización de tiempo en la red local es la siguiente: Hay 1.2 o más servidores de tiempo precisos en la red local, sincronizan su tiempo con fuentes externas en la red global. El servidor y la configuración del cliente se basan en archivos /etc/nttp.conf (archivo de configuración principal del Demon NTPD), / etc / localtime (archivo de zona horaria actual), así como / etc / sysconfig / NTP (para RH) y / etc / predeterminado / NTP (para DEB) - Archivos de parámetros de inicio de demonio. Para un servidor NTP local en un archivo de configuración, se especifican servidores externos para obtener el tiempo y el acceso para estos servidores está permitido por el parámetro restringido, así como para las computadoras de la red local, el cliente indica la fuente de tiempo: servidores locales en el local Red, así como acceso para todos, excepto la fuente de tiempo en la red local. Todo. ¡Gracias a todos por su atención! ¡Estaré encantado de comentar!

(Archivo de artículos) describe cómo conectar GPS al servidor para organizar su Time Server Stratum1.
Describe cómo configurar la autorización en el servidor NTP.

NTP. (Protocolo de tiempo de red: protocolo de tiempo de red) - Protocolo de red para sincronizar las horas internas de la computadora mediante redes de latencia variable. El protocolo fue desarrollado por David L. Mills, profesor de la Universidad de Delaware, en 1985. Versión para 2015 - NTPV4.

NTP basado en el algoritmo de Marzullo utiliza el protocolo UDP para su trabajo y tiene en cuenta el tiempo de transferencia. El sistema NTP es extremadamente resistente a los cambios en la latencia del medio de transmisión. En la versión 4, es capaz de alcanzar la precisión de 10 ms (1/100 segundos) cuando trabaje a través de Internet, y hasta 0.2 ms (1/5000 segundos) y mejor dentro de las redes locales.

Se encuentra que la aplicación más amplia del protocolo NTP sincroniza los servidores de tiempo exactos. Para lograr la máxima precisión, se prefiere el funcionamiento constante del software NTP en el modo de servicio del sistema. En la familia del sistema operativo Microsoft Windows, este es W32Time, Linux Service - NTPD Service.

Una implementación más simple de este algoritmo se conoce como SNTP, un simple protocolo de tiempo de red. Se utiliza en sistemas y dispositivos integrados que no requieren alta precisión, así como en programas de tiempo definidos por el usuario.

Estructura de paquete

La estructura del paquete se describe en RFC 5905. El paquete consiste en un número entero de palabras de 32 bits.

Los datos en el título serán diferentes para varios modos de operación. Por ejemplo, el cliente en el campo. capa de reloj, fuente identificadora, tiempo de empezar y tiempo de recibo Debe grabar ceros.

Título

Título NTP

Sangrar	Octeto	0								1								2								3
Octeto	Un poco	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23	24	25	26	27	28	29	30	31
0	0	IK		Versión			Modo			Capa de reloj								Encuesta de intervalo								Precisión
4	32	Demora
8	64	Dispersión
12	96	Fuente identificadora
16	128	Tiempo de actualizacion
20	160	Tiempo de actualizacion
24	192	Tiempo de empezar
28	224	Tiempo de empezar
32	256	Tiempo de recibo
36	288	Tiempo de recibo
40	320	Tiempo de envío
44	352	Tiempo de envío

Indicador de corrección

Un ejemplo de sincronización de tiempo utilizando NTP

Longitud - 2 bits, desde el indicador del salto. Un entero que muestra una advertencia sobre una segunda coordinación.

Número de versión

Longitud - 3 bits, desde el número de versión. Un entero que representa la versión del protocolo.

Modo

Longitud - 3 bits, del modo. Un entero que representa el modo. Los valores se presentan en la tabla a continuación.

Capa de reloj

Longitud - 8 bits, desde estrato. Un entero que representa la capa de reloj.

Encuesta de intervalo

Longitud - 8 bits, de la encuesta. Un entero con un signo que representa el intervalo máximo entre los mensajes secuenciales. El valor es igual al logaritmo binario de segundos. Los límites predeterminados a las encuestas mínimas y máximas son 6 y 10, respectivamente.

Precisión

Longitud - 8 bits, de precisión. Un entero con un letrero que representa la precisión de las horas del sistema. El valor es igual al logaritmo binario de segundos. Por ejemplo, el valor de -18 corresponderá a la precisión de aproximadamente 1 μs.

Demora

Longitud - 32 bits, desde el retraso de la raíz. El tiempo total de distribución de la señal en ambos lados en el formato corto NTP.

Dispersión

Longitud - 32 bits, de la dispersión de la raíz. Dispersión total para la fuente de tiempo en formato corto NTP.

Fuente identificadora

Longitud - 32 bits, de la identificación de referencia. Código fuente de sincronización. Depende del valor en el campo de la capa por hora. Para capa 0. - Estos son cuatro caracteres ASCII, llamados "código de beso", se utilizan para la depuración y el monitoreo. Ver a continuación capa 1. - Estos son los cuatro octetos de los caracteres ASCII, suplementados a la izquierda por ceros asignados para el tiempo de referencia. La siguiente tabla proporciona una lista apoyada por IANA.

Identificación	Una fuente
Va.	Satélite geoestacionario de monitoreo ambiental y sistema de observación.
GPS.	Sistema de Posicionamiento Global
GALÓN	Sistema de la ubicación de "Galileo".
Pps	Señal de radio compartida con una duración del pulso de 1 segundo.
Irig	Grupo de estandarización en telemetría, Estados Unidos.
Wvb.	Transmisor de radio de baja frecuencia, 60 kHz, Fort Collins, Colorado, USA
DCF.	Transmisor de radio de baja frecuencia, 77.5 kHz, DCF77, Mainflingen, Alemania
HBG.	Transmisor de radio de baja frecuencia, 75 kHz, Prangins, Suiza
MSF.	Transmisor de radio de baja frecuencia, 60 kHz, horado, Reino Unido
Jjy	Transmisor de radio de baja frecuencia, 40 kHz, Fukushima, 60 kHz, Saga, Japón
LORC.	Transmisor de radio de frecuencia media, 100 kHz, navegación por radio, Loran-C
TDF.	Transmisor de radio de frecuencia media, 162 kHz, allois, Francia
Chu.	Transmisor de radio de alta frecuencia, Ottawa, Ontario, Canadá
Wwv	Transmisor de radio de alta frecuencia, Fort Collins, Colorado, USA
Wwvh	Transmisor de radio de alta frecuencia, Kauai, Hawaii, USA
NIST.
HECHOS.	Módem telefónico del Instituto Nacional de Normas y Tecnologías de los Estados Unidos.
Usno	Módem telefónico del Observatorio Nacional de los EE. UU.
PTB.	Módem telefónico del Instituto Metrológico Nacional de Alemania.

Para capa 2. Y superior es un identificador del servidor y se puede utilizar para registrar bucles temporales. Si se usa IPv4, el identificador representa cuatro oscilación de la dirección IP. Si se usa IPv6, entonces estas son la primera dirección de hash de cuatro octetos MD5. Vale la pena señalar que al usar las direcciones IPv6 para el servidor con NTPV4 y el cliente con NTPV3, el identificador puede tomar un valor aleatorio, por lo que puede no ser arreglado los bucles temporales.

Tiempo de actualizacion

Longitud - 64 bits, de la marca de tiempo de referencia. Hora en que el sistema Último sistema instalado o ajustado. Formato NTP.

Tiempo de empezar

Longitud - 64 bits, de la marca de tiempo de origen. Hora del cliente cuando la solicitud se envía al servidor. Formato NTP.

Tiempo de recibo

Longitud - 64 bits, de recibir marca de tiempo. Tiempo del servidor cuando la solicitud proviene del cliente. Formato NTP.

Tiempo de envío

Longitud - 64 bits, de la marca de tiempo de transmisión. Tiempo del servidor cuando se envía la solicitud al cliente. Formato NTP.

Mensaje NTP "KISS-O" -TEAT "

Para capa 0.que se considera incierto o inaceptable, campo Fuente identificadora Se puede utilizar para entregar mensajes que realicen el papel de los datos sobre el estado del sistema y el control de acceso. Dichos mensajes se denominan "Kiss-O" -TEAT "(KOD), y los datos ASCII entregados por ellos se denominan" códigos de beso "(códigos de ayuda). La lista de códigos de asistencia de la actualidad, se presenta en la tabla a continuación.

Los destinatarios de Kod-Mensajes deben verificarlos y seguir estos pasos:

Al recibir combinaciones de código Negar y RSTR. El cliente está obligado a romper conexiones virtuales con este servidor de tiempo y dejar de enviar mensajes a este servidor.
Al recibir una combinación de código Velocidad. El cliente está obligado a reducir inmediatamente su intervalo de encuesta de este servidor y continuar reduciendo cada vez que se obtiene esta combinación de código.
Al recibir una combinación de código comenzando con el símbolo ASCII H.destinado a realizar estudios experimentales y mejoras posteriores, debe ignorarse si no se reconoce.
Todas las demás combinaciones de código y los mensajes KOD que no están definidos por este protocolo se destruyen después de su verificación.

Códigos "Aid"

El código	Descripción
ACST.	La conexión virtual es establecida por un servidor unicast.
Auténtico	Servidor de autenticación terminado con rechazo
AUTO.	Autokey-secuencia incorrecta
BCST.	La conexión virtual es establecida por el servidor de transmisión.
CRYP.	Autenticación criptográfica o identificación terminada con rechazo.
Negar	Servidor remoto rechazó el acceso
Soltar.	Pérdida del servidor de tiempo remoto en modo simétrico
Rstr.	Falta de acceso debido a la estrategia de seguridad local.
En eso	La conexión virtual de la primera vez no se establece.
McST.	La sincronización virtual se establece mediante un servidor detectado dinámicamente.
Nkey.	La clave no se encontró (o nunca se cargó antes, o no es confiable)
Velocidad.	Se excede la velocidad. El servidor prohibió temporalmente el acceso, ya que el cliente excedió el umbral de velocidad.
RMOT.	Cambio de la conexión virtual desde el nodo IP remoto utilizando el protocolo NTP directamente
Paso.	Hubo una iteración para cambiar el tiempo del sistema, no se establece la sincronización virtual.

Capas de reloj

Las flechas amarillas indican una conexión de hardware; Las flechas rojas indican una conexión de red.

NTP utiliza una red jerárquica donde cada nivel tiene su propio número llamado una capa. Capa 1. - Servidores primarios, directamente sincronizados con servicios de tiempo nacional por satélite, radio o módem telefónico. Capa 2. - Servidores secundarios, sincronizados con servidores primarios, etc. Como regla general, los clientes y servidores NTP con un número relativamente pequeño de clientes no están sincronizados con servidores primarios. Hay varios cientos de servidores secundarios públicos que operan a capas más altas. Son la opción preferida.

Formato de tiempo

El tiempo se presenta en el sistema NTP con un número de 64 bits (8 bytes), que consiste en un medidor de 32 bits de segundos y un contador de 32 bits del segundo de un segundo, lo que le permite transferir el tiempo en el rango de 2 32 segundos, con una precisión teórica de 2-32 segundos. Dado que la escala de tiempo en NTP se repite cada 2 32 segundos (136 años), el destinatario debe al menos conocer la hora actual (con una precisión de 68 años). También debe tenerse en cuenta que el tiempo está contando desde la medianoche el 1 de enero de 1900, y no desde 1970, por lo que de tiempo a NTP debe deducirse casi 70 años (teniendo en cuenta los años de leA) para combinar correctamente el tiempo con Windows o sistemas UNIX.

Formato de tiempo normal

Un poco	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23	24	25	26	27	28	29	30	31
0	Segundos
4	Comparte segundos

Formato de fecha

Un poco	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23	24	25	26	27	28	29	30	31
0	Número de la era
4	Era antena
8	Solo.
16	Solo.

La sincronización de tiempo es una tarea importante, aunque no muchos se preguntan al respecto. Bueno, ¿está mal en el tiempo de clasificación en el servidor? ¿Sabe que muchos problemas con el reloj influyen en los protocolos relacionados con la criptografía? Por esta razón, en Active Directory, la diferencia en el reloj durante más de 5 minutos llevará a los problemas de la autenticación de Kerberos.

Niveles por hora. Estratos.

Para entender el dispositivo NTP que debe saber sobre el concepto. estratos. o estrato.. Fuentes autorizadas de tiempo, como satélites GPS, Reloj Atómico de Cesio, Radio WVVB WAVE, todo esto estrato 0. Son autorizados por el terreno que tienen alguna forma de mantener el tiempo de alta precisión. Por supuesto, puede, por supuesto, aprovechar el reloj de cuarzo ordinario, pero saber que durante un mes con ellos es fácil perder 15 segundos, es mejor no usarlos como una medida del tiempo. Estrato 0 ¡Esto es cuando el segundo no se pierde por 300,000 años!

¡Las computadoras que directamente (no en línea!) Tómese el tiempo estrato 0 - esto es estrato 1.. Ya que siempre hay retrasos debido a la transmisión de la señal y la configuración de la hora, luego las computadoras estrato 1. no tan preciso como estrato 0Pero en la vida real, la diferencia alcanza un par de microsegundos (1 μs \u003d 10 -6 C), que es una desviación completamente permisible.

El siguiente nivel de computadoras toman tiempo en la red estrato 1. - Esto es ... tambor ... intrigue ... estratum 2.! De nuevo debido a varios retrasos (redes exactamente), estratum 2. Hay un poco detrás de OT estrato 1. Y ciertamente de estrato 0. En la práctica, esta es la diferencia de varios microsegundos (1 μs \u003d 10 -6 C) a varios milisegundos (1 ms \u003d 10 -3 s). Muchos quieren sincronizar con la capa no más estratum 2..

Como está claro del plan, estrato 4. lleva tiempo a la mayor estratum 3.. estrato 5. W. estrato 4. etc. estrato 16. Se considera la capa más baja y el tiempo que se considera. no indemnizado.

Para sincronizar el tiempo utilizando el protocolo NTP, primero debe configurar su tiempo manualmente. La diferencia entre su tiempo exacta y las lecturas de sus relojes superiores a 1000 segundos son inaceptables. Si el servidor de tiempo que usa es mentir más de 1000 milisegundos (1 segundo), se excluirá de la lista y se utilizará otros. Este mecanismo le permite reducir las malas fuentes de tiempo.

Hora del cliente.

En el archivo /etc/nttp.conf, las cadenas del servidor son importantes para el cliente. Puede haber varios de ellos, hasta 10 piezas.

¿Cuánto agregar? Debe tenerse en cuenta:

Si solo tiene un servidor (una cadena de servidor), entonces si este servidor comienza a mentir, lo seguirá ciegamente. Si lo ejecuta durante 5 segundos y se sentirá en la siguiente.
Si se agregan 2 servidores (2 líneas de servidor), NTP marcará los dos como falsos tickers.. Si uno de ellos está mintiendo, el NTP no puede entender quién está mintiendo, porque no hay quórum.
Si se agrega 3 o más tiempo de tiempo, puede calcular una mano falsos tickers.. Si los servidores de tiempo 5 o 6, entonces puedes encontrar 2 mentiras falsos tickers.. Si los servidores 7 u 8, entonces 3 falsos tickers.. Si los servidores 9 y 10, entonces 4 falsos tickers..

Proyecto de piscina NTP.

Hay un proyecto de piscina NTP en la dirección Pool.NTP.ORG/ZONE/RU/ Puede encontrar el servidor de tiempo recomendado para usuarios rusos.

servidor 0.ru.pool.nttp.org.
Servidor 1.ru.pool.nttp.org.
Servidor 2.ru.pool.nttp.org.
Servidor 3.ru.pool.nttp.org.

Los sistemas operativos como Debian y Ubuntu ofrecen a los usuarios sus servidores de tiempo.

servidor 0.debian.pool.nttp.org.
Servidor 1.debian.pool.nttp.org.
Servidor 2.debian.pool.nttp.org.
Servidor 3.debian.pool.nttp.org.

servidor 0.ubuntu.pool.nttp.org.
Servidor 1.ubuntu.pool.nttp.org.
Servidor 2.ubuntu.pool.nttp.org.
Servidor 3.ubuntu.pool.nttp.org.

Si llama a su computadora Linux que utiliza el comando NTP, NTPQ -PN

Remote Reenfid St T Cuando se alcanza el retardo de retardo de la suspensión Jitter \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d +93.180.6.3 77.180.6.3 77.37.134.150 2 u 62 1024 377 53.658 -0.877 1.174 +85.21.78.23 193.190.230.65 2 u 1027 1024 377 54.651 0.167 1.531 * 62.173.138.130 89.109.251.24 2 u 940 1024 377 52.796 -0.143 1.001 +91.206.16.3 194.190.168.1 2 u 258 1024 377 93.882 -0.680 2.196 -91.189.94.4 193.79.237.14 2 u 596 1024 377 100.219 1.562 1.482

¿Cuáles son los nombres de las columnas?

remoto. - Servidores remotos con los que sincronizan el tiempo.
reembolso - Estrato más alto para este servidor.
s t. - Nivel de estrato. De 0 (no disponible para nosotros) a 16 (no somos deseables). Ideal - 2.
t. - tipo de conección. " u."- Unicast o Manycast", " b."- Transmisión o multidifusión", " l."Reloj de referencia local" s."- Nudo simétrico" UNA."- Manycast Server" B."- Servidor de difusión" METRO."- Servidor de multidifusión.
cuándo. - Tiempo en que la última vez que nos respondió el servidor. El parámetro muestra un número en segundos, pero puede en minutos si el número es mETRO. o en horas si h..
encuesta - Frecuencia de encuesta. Mínimo 16 segundos, un máximo de 32 horas. El número debe ser 2 n. Normalmente, este parámetro se observa o 64 segundos o 1024.
alcanzar. - 8 bits de un octeto que muestra el estado de la comunicación con un tiempo de servidor remoto: exitoso o fallo. Si se establecen los bits, entonces, con éxito, de lo contrario, la falla. El valor de 377 - binario es 0000 0000 1111 1111.
dEMORA. - El valor en milisegundos muestra el tiempo entre el envío y la recepción de la respuesta (Tiempo de ida y vuelta - RTT).
compensar. - Desplazamiento en milisegundos entre usted y servidores de tiempo. Puede ser un número positivo y negativo.
estar nervioso. - Valor absoluto en milisegundos que indican la desviación RMS de su desplazamiento.

Antes de la dirección IP del servidor NTP hay un personaje, es código de tally. Puntos de vista código de tally:

" " - Rechazado como inaceptable. Por ejemplo, sin conexión con él o está desconectado, es demasiado alto y no se sirve como usted.
"X" - Incrustado por el algoritmo de "intersección" (algoritmo de intersección). El algoritmo de intersección prepara la lista de candidatos de socios que pueden convertirse en fuentes de sincronización y calcula el intervalo de confianza para cada uno de ellos.
"." - Desechado debido al desbordamiento de la mesa.
"-" - El algoritmo de clúster (algoritmo de clúster) se descartó. El algoritmo de clústeres ordena la lista de candidatos para los códigos de capa y las distancias de sincronización.
"+" - El servidor está incluido por el algoritmo de combinación (algoritmo combinado). Este servidor es un candidato excelente si el servidor de tiempo actual comienza a rechazarlo.
"#" - El servidor es un excelente servidor de tiempo alternativo. El servidor C # solo se puede ver si tiene más de 10 servidores de registro en /etc/nttp.conf
"*" - Servidor de tiempo actual. Sus lecturas se utilizan para sincronizar sus relojes.
"O" - Pulso por segundo servidor (PPS). Esto generalmente significa que este servidor de tiempo utiliza las fuentes de satélites GPS de tipo y otras señales de tiempo exactas. Si dibuja acerca de, no se mostrarán otros tipos de códigos de la cuenta.

En campo reembolso Los siguientes valores pueden ser:

Dirección IP: dirección del servidor de tiempo remoto.
.Aksst.- NTP Manycast Server.
.ACTS.- Servicio automático de tiempo informático del Instituto Nacional de Estándares y Tecnología de American.
.Auth.- Error de autenticación.
.Auto.- Error en secuencias de AutoKey.
.BCST.- NTP Broadcast Server.
.CHU.- Receptor de radio de onda corta de la estación de Chu en Ottawa, Ontario, Canadá.
.Crypt.- Error de protocolo Autokey.
.DCFX.- LF Radio Receptor de la estación DCF77 en Mainflingen, Alemania.
.Deney.- En el acceso se niega.
.Jal.- Receptor de satélite de Galileo Europeo.
.Goes.- Receptor de satélite ambiental operativo geoestacionario estadounidense.
.GPS.- Receptor del sistema de posicionamiento global estadounidense.
.HBG.- LF Receptor de Radio de la estación HBG en Prangins, Suiza.
.Init.- Asociación de pares inicializada.
.IRIG.- CÓDIGO DE TIEMPO DEL GRUPO DE INSTRUMENTACIÓN INTERVANTE.
.Jjy.- LF Receptor de Radio de la estación JJY en el Monte Otakadoya, junto a Fukushima o Monte Hagane en la isla de Kyushu, Japón.
.Lfx.- Normal LF Radio Receptor.
.LOCL. - Reloj de host local.
.Lorc.- Receptor de radio LON de la navegación de largo alcance (Loran-C).
.Mcst.- servidor de multidifusión NTP.
.Msf.- Estación de radio antorn junto a Antrorn, Cumbria.
.Nist.- Instituto Nacional de Estándares y Tecnología Americana.
.PPS.- Pulso por segundo reloj.
.Ptb.- Physikalisch-Technische Bundesanstalt de Brunswick y Berlín, Alemania.
.Rate. Se supera el umbral de la encuesta NTP.
.Step.- Cambiando el paso NTP. Parcialidad compensar. Menos de 1000 milisegundos, pero más de 125 milisegundos.
.Tdf.- LF Radio Receptor de la estación de Télédiffusion de France en Allouis, Francia.
.Tiempo.- Tiempo de espera de la Asociación NTP.
.USNO.- Observatorio naval de los Estados Unidos.
.Wwv.- Receptor de radio HF de la estación de WWV en Fort Collins, Colorado, Estados Unidos.
.WVB.- LF Receptor de radio de la estación WVVB en Fort Collins, Colorado, Estados Unidos.
.WWVH.- Receptor de radio HF de la estación de WWVH en Kekaha, en la isla de Kauai en Hawai, Estados Unidos.

Primero, deshazte de Pensar cómo obtener tiempo de estrato 1., dicen que están más cerca de la hora exacta. Están más cerca de un tiempo extremo en el planeta, solo ellos mismos están sobrecargados y tienen unas retrasos de RTT altos para los servidores ordinarios. Es mejor encontrar lo normal estratum 2. Y no te preocupes por esto. No olvides que estamos hablando de microsegundos y milisegundos que en la vida ordinaria es suficiente.

En segundo lugar, recuerde que la conexión con el servidor de tiempo más cercano no siempre es la opción perfecta. Es más importante, no es una proximidad territorial, y el nivel de estrato. El proyecto de piscina NTP publica una lista de servidores solo nivel estrato 1. y estratum 2. Y es mejor tomar hasta 10 servidores de servidores de esta lista, lo que será simplemente maravilloso.

En tercer lugar, si usted es un cliente de inicio simple, los servidores que usted recomiendan en su sistema operativo será una opción ideal que no requiera televisiones innecesarias.

Para grandes oficinas, la mejor opción elevará su servidor de tiempo para computadoras de trabajo. Este servidor obtendrá la hora exacta de los servidores de tiempo en Internet y le proporcionará computadoras locales. En los servidores de Debian y Ubuntu, es suficiente para resolver la cadena.

Restringir 192.168.0.0 máscara 255.255.0.0 nomodify notrap

en el archivo de configuración del demonio nttpd - /etc/nttp.conf

Los usuarios de 192.168 / 16 podrán tomar las lecturas de las horas más eliminadas de su servidor. Para los servidores internos basados \u200b\u200ben Linux, que no son servidores de tiempo y están involucrados en sus tareas, en lugar de iniciar un Daemon NTPD en el modo cliente, es suficiente para especificar en el archivo /etc/cron.daily/syncnttpd. Se recomienda leer las diferencias entre NTPDATE y NTP y resuelva la pregunta para usted mismo.
#! / bin / sh
USR / SBIN / NTPDATE IP.ADREST. El servidor\u003e / dev / null 2\u003e & 1
Salida 0.

y una vez al día, gracias al comando NTPDATE, se realizará la sincronización de tiempo. Para evitar malentendidos, no se etiquetan en la etiqueta antes de implementar el servidor de tiempo y la sincronización de todo y todo a través del protocolo NTP, configure la hora correcta en todos los servidores y estaciones de trabajo disponibles para usted. Si su tiempo discreto es demasiado diferente de la correcta, primero puede retrasar muchos problemas no necesarios.

Cuarto, NTP no está conectado de ninguna manera en qué país y qué zonas horarias se usan y cómo es la transición a verano e invierno y existe una transición de este tipo en este país. Este deber radica en el sistema operativo que necesita actualizar si se producen cambios en los asuntos de observación en el país. En los sistemas Debian y Ubuntu, el paquete Tzdata es responsable de ello, lo que debería ser relevante.

Quinto, es mejor no elevar su servidor NTP en un sistema de alta carga.

Primero, decidimos por qué sincronizar el tiempo en el equipo, como: interruptores, enrutadores, firewalls, etc.

Esto se hace primero para realizar un seguimiento de los registros cuando este evento ocurrió. Y puede imaginar qué beneficio será de los registros, si el tiempo no está sincronizado ... Derecha - No.

Protocolo NTP. Obras basadas en el protocolo. UDP., mediante 123 Puerto.

Este protocolo tiene alguna jerarquía para sistemas de sincronización, en otros niveles de palabras.

El nivel 1 se asigna a un sistema que está sincronizado con horas de alta precisión, por ejemplo, a través de GPS.

El sistema que se sincronizará desde el nivel 1 tendrá nivel 2, y así sucesivamente.

Por lo tanto, podemos determinar cómo exactamente la estación tiene la estación con la que estamos sincronizando.

En nuestra situación, tenemos un automóvil con una hora exacta en nuestra red, se configura sobre la base de FreeBSD, desde esta máquina, el dispositivo de red principal tomará el tiempo (sincronizar) y, por lo tanto, se convierte en el principal para otros dispositivos de red (en la ideología del maestro de Cisco NTP).

Quiero tener en cuenta el hecho de que el NTP se transmite solo en formato UTC (Greenwich)Cada zona horaria se ajusta no mediocre en la pieza de hierro.

Consideremos un ejemplo de una configuración de NTP simple.

Para empezar, sincronizar el tiempo en nuestro enrutador principal (que será distribuido por otros dispositivos de red). Para esto entramos en el modo de configuración global:

nTP Server 10.0.100.254

donde, 10.0.100.254 En nuestro caso, este es un automóvil con FreeBSD que tiene la hora exacta.

Esto es suficiente para la configuración mínima.

Ahora compruebe si pudimos conectarnos al servidor de tiempo y obtener tiempo de él, ya que usamos el equipo:

debe ver algo similar:

Un asterisco frente a la IP de nuestro servidor NTP, nos dice que todo está bien, la conexión está al menos instalada.

Ahora veamos si el tiempo sincronizado?

Si todo está sincronizado, entonces debemos ver lo siguiente:

Se obtiene el tiempo, ahora necesita instalar la zona horaria que necesita. También está haciendo en el modo de configuración global:

reloj TimeZone MSK / MSD 3

Ahora vamos a comprobar el tiempo:

Todo esta bien.

Permítanos proceder a configurar nuestro enrutador al modo de asistente.

Para esta configuración, necesitamos que este enrutador maestro y especifique el nivel (en Cisco, se llama como número de estrato), el que hablé al principio, indicaré el nivel del quinto.

Ahora intentemos configurar NTP en otro setter, de modo que se sincronice de nuestro enrutador principal, se realiza de la misma manera que también configure la sincronización del servidor con el servidor FreeBSD.

nTP Server 10.0.100.1 Prefiero

donde, 10.0.100.1 es nuestro enrutador de la cabeza.

preferir. Esta es una palabra clave que indica que este servidor NTP es una prioridad (incluso se puede prescribir que no es posible sincronizarse de un solo servidor, pero desde varios, esto se realiza por el hecho de que si uno no está disponible, o el tiempo es demasiado diferente de los demás lo que dice qué, por lo que los problemas, el dispositivo puede cambiar a otro servidor de tiempo, y preferir que este servidor sea más preferible que otros).

también señalamos el timson que necesita.

reloj TimeZone MSK / MSD 3

Cheque:

Todo es maravilloso, todo funciona.

Ahora considere el problema de seguridad.

Para empezar, analizaremos la cuestión de limitar utilizando ACL, que pueden sincronizarse, y quién no lo es.

Todo es bastante estándar y transparente.

En el servidor de tiempo, cree un ACL apropiado:

lista de acceso 20 Observar acceso a NTP SYNClista de acceso 20 Permiso 10.0.100.3

ahora aprenderemos esta lista de acceso a NTP.

nTP Access-Group sirve-solo 20

Si todo está configurado correctamente, la conexión con el Norte Norte establecerá y la sincronización tendrá éxito.

También puede prescribir una lista de acceso a los clientes. A qué hora se puede contactar. Esto se hace como:

lista de acceso 20 Observar Access Sync to NTP Servlista de acceso 20 Permiso 10.0.100.1

Lista de acceso Tear NTP

nTP Access-Group Peer 20

Ahora considere la seguridad basada en la autenticación.

Todo es también bastante transparente.

La configuración NTP es suficiente para agregar lo siguiente:

tecla de autenticación NTP 1 MD5 15060E1F10243F34 7nTP autenticar.nTP TIENDA DE CONFIANZA 1

establecemos el primer comando de la clave de autenticación, la segunda vuelta de la autenticación, y los tercios indican que la autenticación se realiza en la primera tecla. Se utiliza en cada una de las partes (servidor - cliente). Eso es todo. Resultó un pequeño curso de introducción al configurar NTP en dispositivos Cisco. Para la depuración, usamos:

ASW-M # DEBUG NTP?ajustar ajustes de reloj NTPautenticación NTP Autenticacióneventos NTP eventos.filtro de bucle NTP de LoopFilter NTPpaquetes de paquetes NTP.parames NTP Reloj ParámetrosrELOJ DE REFERENCIA NTP NTPseleccione NTP Reloj Selectionsincronización de reloj NTP SYNTPvalidez Validez de reloj de pares NTPASW-M # DEBUG NTP

Incluya todo lo que estamos interesados, como los eventos, sincronizados, autentamente y miren lo que sucede. Si fuimos al dispositivo a través de SSH / TELNET, NO OLVIDA TER MON 🙂