NTP - ceas atomic pe fiecare tabel. Care este diferența dintre protocolul de sincronizare a timpului NTP de la SNTP? Protocolul NTP.

De ce aveți nevoie de timp exact?

Și cine are nevoie de acest timp exact? Desigur, este necesar pentru noi, utilizatorii, pentru ca noi mai târziu. Imaginați-vă un aeroport modern - pentru munca sa sute de piloți și dispecești ar trebui să folosească în mod inconfundabil orele de intrare. Sistemul de înregistrare al mărfurilor în depozite, instituții de spitale, bilete feroviare pentru vânzarea de bilete feroviare și multe alte instituții necesită acel moment pentru toate obiectele sistemului la un grad sau altul a fost în mod egal. În special computerele. Acestea au o mulțime de servicii și programe, pentru funcționarea normală a cărei timp exact este necesară și, de regulă, mai exactă decât de obicei aveți nevoie, oameni. Serviciile de sistem, componentele sistemului de securitate și programele aplicate pot fi foarte critice pentru acuratețea ceasului. Cel mai frapant exemplu al acestor servicii este protocolul de autentificare Kerberos. Deci, este necesar ca munca sa să fie pe computere, accesul la care se efectuează utilizând acest protocol, timpul de sistem a fost diferit de cel mult 5 minute. În plus, timpul exact pe toate computerele facilitează considerabil analiza jurnalelor de securitate la investigarea incidentelor din rețeaua locală.

Protocolul NTP.

NTP (Protocolul de timp de rețea) este un protocol menit să sincronizeze timpul în rețea. Este un set de algoritmi suficient de complexi concepuți pentru a asigura o precizie ridicată (până la mai multe microsecunde) și eșecul sistemului de sincronizare a timpului. Astfel, protocolul implică sincronizarea simultană cu mai multe servere.

Există mai multe versiuni ale acestui protocol cu \u200b\u200bunele diferențe. A treia versiune a prezentului protocol în 1992 a fost standardizată ca RFC 1305. Al patrulea (ultimul moment) introduce unele îmbunătățiri (configurare automată și autentificare, îmbunătățirea algoritmilor de sincronizare) comparativ cu al treilea, totuși nu este standardizat în RFC.

În plus, în plus față de protocolul NTP, există SNTP (simplu protocol de timp de rețea). La nivelul pachetelor, aceste două protocoale sunt pe deplin compatibile. Principala diferență dintre acestea este că SNTP nu are sisteme complexe de filtrare și corecția de eroare în mai multe etape disponibile în NTP. Astfel, SNTP este simplificată și mai ușoară în implementarea versiunii NTP. Este destinat utilizării în aceste rețele, unde nu este necesară o precizie foarte mare a timpului, iar în implementările de la Microsoft Corporation oferă precizie în termen de 20 de secunde în cadrul întreprinderii și nu mai mult de 2 secunde într-un singur loc. Protocolul SNTP este standardizat ca RFC 1769 (versiunea 3) și RFC 2030 (versiunea 4).

Modelul de sincronizare NTP presupune o structură ierarhică. La primul nivel al ierarhiei există așa-numitele servere de timp "primar" (primul strat). Acestea sunt situate în locuri diferite la nivel mondial și au cel mai precis timp. Astfel de servere sunt relativ puține, deoarece timpul exact este menținut cu ajutorul echipamentelor costisitoare specializate (canal radio, canal satelit). Serverele Straturi secundare (al doilea strat) sunt sincronizate cu serverele de nivel prim folosind protocolul NTP. Ele sunt deja mult mai mari, acestea sunt deja oarecum suspendate (de la 1 la 20 de milisecunde) în raport cu serverele "primare". Mai mult, serverele din al treilea nivel, al patrulea și ulterior pot merge:

Odată cu trecerea la fiecare nivel, eroarea este în creștere față de serverul primar, dar numărul total de servere crește și, prin urmare, încărcarea lor scade. Prin urmare, ca sursă de sincronizare externă, în loc să utilizați servere primare care au cel mai precis timp, se recomandă utilizarea serverelor secundare cât mai puțin încărcate.

Pentru a sincroniza timpul în Windows 2000 / XP / 2003, se utilizează protocolul SNTP. Suportul pentru acest protocol este implementat ca un serviciu de sistem Windows Time care face parte din sistemul de operare MS Windows 2000 / XP / 2003. O caracteristică distinctivă a acestei implementări este că serviciul de timp Windows acceptă autentificarea domeniului atunci când accesează serverul de timp de referință, care este important în ceea ce privește securitatea.

Există mai multe opțiuni pentru serviciul SNTP în Windows:

Ierarhice (NT5DS). Folosit în mod implicit pentru toate computerele combinate în domeniu. Sincronizarea timpului la stațiile de lucru și serverele de domenii se face pe ierarhie. Astfel, stațiile de lucru și serverele obișnuite sunt sincronizate cu controlerul de domeniu, intrarea autentificată, controlorii de domenii - proprietarul operației de emulator PDC, care, la rândul său, este sincronizat cu controlerul de domeniu care stă la un nivel mai ridicat al ierarhiei. Trebuie remarcat faptul că această procedură de sincronizare este utilizată "în mod implicit" și poate fi redefinită manual sau utilizând politicile de grup. Cum să faceți acest lucru va fi discutat mai jos.
Sincronizarea forțată cu serverul NTP selectat (NTP). În acest caz, sursa timpului de referință pentru timpul de referință este instalată fie manual, fie utilizând politicile de grup.
Dezactivați sincronizarea (nosync). Acest mod este necesar pentru o schemă mixtă de întreținere a timpului în care un produs terț este utilizat pentru sincronizarea cu o sursă externă, iar timpul de ferestre este utilizat pentru a menține timpul în domeniu.

Astfel, în cazul unui grup de lucru, sincronizarea timpului va trebui să fie ajustată manual. De exemplu, unul dintre computere poate fi configurat să se sincronizeze cu serverul extern folosind protocolul SNTP, iar restul este să îl sincronizați. Acțiunile necesare pentru aceasta vor fi descrise mai jos.

Pentru un domeniu se recomandă utilizarea sincronizării ierarhice prin protocolul SNTP. În majoritatea cazurilor, aceasta oferă o precizie acceptabilă a timpului de sistem în cadrul pădurii de domeniu. În plus, asigură automat actualizarea de securitate, datorită suportului Active Autentificare Active Directory. Pentru a susține timpul "corect" din domeniu, este necesar să se sincronizeze controlerul de domeniu de nivel superior, care deține rolul "Emulator PDC", cu un server NTP extern. În exemplul nostru, rolul unui astfel de server va fi o mașină Linux cu un daemon NTPD de lucru.

Configurarea SNTP în Windows

Două utilități sunt utilizate pentru a configura serviciul de timp Windows:

Timpul net.
W32TM.

Timpul net este utilizat în principal pentru a configura serviciul de timp, iar W32TM este monitorizarea și diagnosticarea lucrărilor. Cu toate acestea, în Windows XP / 2003, utilitarul W32TM a suferit schimbări semnificative și poate fi utilizat pentru a configura serviciul de timp. Configurarea NTP următor va fi efectuată pe exemplul Windows XP / 2003.

Deci, pentru a "manual" specificați sursa de sincronizare utilizând timpul net, este suficient să scrieți pe linia de comandă:

eT / SETRANTP: Servery list_bers_bers_bel

Pentru informații despre serverul de timp curent:

timpul net / QuerySNTP

Puteți găsi timp pe controlerul de domeniu astfel:

timp / domeniu net: Numele Domenului

Și sincronizați timpul cu controlerul de domeniu ca acesta:

Timp / domeniu net: Domen_name / Set

Utilitarul sistemului W32TM se poate face la fel și chiar mai mult:

w32TM / Resync - Folosind această comandă, puteți forța un computer local sau la distanță pentru a sincroniza citirile ceasurilor de sistem cu serverul de timp utilizat de acesta.
w32TM / Config - Această comandă este utilizată pentru a configura serviciul Windows Time. Cu aceasta, puteți seta o listă de servere de timp utilizate și tip de sincronizare (servere ierarhice sau selectate).

De exemplu, pentru a suprascrie valorile implicite și configurați sincronizarea timpului cu o sursă externă, puteți utiliza comanda:

w32TM / Config / Syncfromflags: Manual / Manualpeerlist: Peerlist

Și pentru ca timpul de ferestre să aplice setări noi, puteți utiliza comanda în loc să reporniți serviciul:

w32TM / Config / Actualizare

În plus, următorii parametri asociați cu timpul de monitorizare pe computere sunt disponibile în W32TM.

w32TM / MONITOR - Cu această opțiune, puteți afla modul în care timpul de sistem al acestui computer diferă de la timp la controlerul de domeniu sau la alte computere.
w32TM / Stripchart - arată grafic diferența de timp dintre computerul curent și la distanță.
w32TM / Înregistrare - înregistrează serviciul de timp Windows ca serviciu pe acest computer. Această opțiune poate fi utilă pe computerele care nu sunt incluse în domeniu, deoarece timpul implicit pe ele este oprit.

Pentru mai multe informații despre parametrii timpului net și a utilităților W32TM, pot fi obținute utilizând /? Sau deschiderea secțiunii corespunzătoare a sistemului de ajutor "Centrul de asistență și asistență" MS Windows XP / 2003.

Este ușor de ghicit că setările serviciului de timp Windows sunt stocate în Registrul Windows din secțiunea HKEY_LOCAL_MACHINE \\ SYSTEM \\ CURRENTCONTROLSET \\ SERVICII \\ W32Time \\.

Rădăcina secțiunii definește parametrii de serviciu ai serviciului în sine, în configurația Config - Setări asociate cu activitatea protocolului SNTP în sine, modul de sincronizare este determinat în conexiunile parametrilor. Setările Clientului și Server SNTP sunt situate în conexiunile Timepproviders \\ NtpClient și Timepproviders \\ NtpServer, respectiv. Luați în considerare valorile de bază care determină setarea clientului NTP și a serverului:

Tip - Specifică modul Client NTP (NTDS5 - ierarhical, NTP - "Manual", Nosync - Nu sincronizați, Alync - toate tipurile de sincronizare sunt disponibile);
Activat - determină dacă această componentă (client sau server) este activată;
Crosssitesyncflags - determină dacă se sincronizează timpul cu sursa în afara domeniului, dacă se utilizează sincronizarea ierarhică (0 - este imposibil, 1 este numai cu emulatorul PDC, 2 - cu toată lumea);
Eventlogflags - Stabilește dacă mesajele din timpul Windows vor fi introduse într-un jurnal sau nu (o funcție foarte utilă la depanarea muncii).

O altă opțiune de configurare a serviciului de timp Windows Time este utilizarea politicilor de grup. Setările sunt definite în obiectul de politică de grup la următoarea adresă: "Configurația calculatorului -\u003e Șabloane administrative -\u003e Sistem -\u003e Serviciu de timp Windows".

Dacă ați instalat serverul Windows 2000 și nu ați găsit o astfel de configurare - nu disperați, trebuie doar să actualizați "Șabloane administrative". Pentru a face acest lucru, copiați din sistemul de dosare de sistem32 \\ grouppolicy \\ ADM Orice mașină cu Windows XP instalat fișierele All.Adm pe un server care este un controler de domeniu. Apoi, prin definirea obiectului de politică a grupului, faceți clic dreapta pe "Șabloane administrative" și selectați "Adăugați / eliminați șabloane ..." Ștergeți șabloanele enumerate acolo și adăugați copia. După apăsarea butonului "OK", șabloanele vor fi actualizate și puteți configura serviciul de timp utilizând politicile de grup:

Este ușor să vedem că toate aceste setări care pot fi modificate în registru sunt în principal enumerate. Nu este nimic surprinzător în ea, deoarece majoritatea politicianului de grup funcționează.

În Windows XP, a apărut un alt mod de a se stabili un server de timp, care poate fi foarte convenabil pentru a configura sincronizarea pe un computer de acasă sau un computer inclus în grupul de lucru:

NTP Server sub Linux - sincronizare externă pentru domeniul Windows

După cum sa menționat mai sus, protocolul NTP este mai rezistent la erori, prin urmare, ca o sursă de timp de referință, este mai bine să se utilizeze serverul NTP pentru sincronizarea externă. În plus, nu este întotdeauna la controlerul de domeniu de nivel superior, există acces la Internet prin port UDP 123 utilizat pentru NTP. Accesul poate fi închis din motive de securitate, care este practica obișnuită a organizațiilor mari. În astfel de cazuri, pentru a rezolva această problemă, puteți instala în zona demilitarizată - DMZ este serverul dvs. de timp configurat să se sincronizeze cu o sursă externă și să o utilizați ca sursă de timp de referință pentru a sincroniza controlerul de domeniu de nivel superior. Ca un astfel de computer, orice, nu neapărat o mașină modernă cu OS * NIX, de exemplu, Linux instalat într-o configurație minimă, fără un server x și alte lucruri potențial vulnerabile.

Există programe de masă pentru sincronizarea timpului pentru sistemul de operare Linux. Cele mai renumite sunt XNTPD (versiunea NTP 3), NTPD (versiunea NTP 4), crony și ceasuri. În exemplul nostru, vom folosi NTP-server NTPD, care face parte din RedHat 9, furnizat în pachetul NTP-4.1.2-0.RC1.2.i386.rpm.

Pachetul include mai multe programe concepute pentru a lucra cu NTP.

Iată principalele lor:

NTPD - NTP Daemon care susțin timpul exact în fundal;
NTPQ este o utilitate destinată unui sondaj asupra serverelor NTP care acceptă protocolul standard al modei NTP 6. Cu acesta, puteți afla și modifica starea serverului curent dacă se permit setările sale;
NTPDC - utilitate, cu care puteți intervieva daemonul NTPD și primiți statisticile activității sale;
Ntpdate - program pentru a instala timpul actual al sistemului utilizând protocolul NTP.

Caracteristica standard a protocolului NTP este capacitatea de a efectua autentificarea. Poate fi folosit ca algoritmi simetrici (DES), care a apărut în a doua versiune a algoritmilor protocol și asimetrici, cu o cheie deschisă, care sunt inovația celei de-a patra versiuni.

În cazul utilizării unei scheme de autentificare simetrice, clientul și serverul aleg un identificator arbitrar și unul dintre cele 65534 taste definite de standard. Când se utilizează algoritmi asimetrici, se utilizează așa-numitul schemă Aufastică, caracteristica distinctivă este absența necesității de a pre-distribui cheile deschise ale serverelor.

Pentru a configura autentificarea în NTPD, există utilități NTP-Genkeys, NTPQ și NTPDC.

Toate funcționalitățile NTP asociate cu suportul exact de timp sunt implementate în daemonul NTPD. Configurația sa este făcută comun la metoda UNIX - prin editarea fișierului de configurare NTP.conf situat în dosarul / etc.

Specificați următoarele opțiuni pentru serverul NTP.

În primul rând, specificați serverele cu care se va face sincronizarea de timp:

server ntp.nasa.gov # un server stratum 1 la NASA.org
Server ntp1.demos.net # un server stratum 2 la demos.net

restricționați NTP.Research.gov Masca 255.255.255.255 Nomody NOTRAP Noquery

Aici masca 255.255.255.255 este utilizată pentru a limita accesul la serverul nostru de pe serverul NTP.NASA.GOV. Acum vom defini lista de noduri din rețeaua noastră locală, pe care dorim să permitem accesul la serverul nostru NTP pentru a obține timp:

restricționează 192.168.1.0 Masca 255.255.255.0 Norst Nomody Intrap

De asemenea, avem nevoie de mașina Linux pentru a avea acces complet la resursele serverului său:

restricționați 127.0.0.1.

Și acum cel mai important lucru este: Trebuie să ne asigurăm că interdicția implicită are o prioritate mai mare, comentă:

#Rest Privați implicit ignorarea.

După salvarea fișierului NTP.conf, setarea poate fi luată în considerare, dar se poate dovedi că, după lansarea unui demon, timpul nu va fi sincronizat. Faptul este că protocolul NTP a fost inițial dezvoltat ca protocol pentru menținerea timpului, nu instalarea acesteia. Prin urmare, dacă diferența dintre citirile de ceas este suficient de mare (mai mult de câteva minute), sincronizarea nu va fi făcută. În acest caz, este logic să setați inițial timpul manual utilizând comanda NTPDate (puteți adăuga, de asemenea, comanda NTPDate la scripturile de pornire ale aparatului):

# Ntpdate ceas.vsu.ru.
17 Feb 23:44:54 Ntpdate: Server de timp Server 198.123.30.132 Offset 25.307598 sec

17 Feb 23:45:05 Ntpdate: Ajustați timpul de timp 198.123.30.132 Offset 0.002181 sec
# Ntpdate ceas.vsu.ru.

Lansarea demonului NTP este efectuată prin intermediul unor scripturi de inițializare. Dacă programul a fost instalat din pachetul RPM, cel mai probabil toate întrebările legate de lansarea automată au fost deja rezolvate. Pentru a vă asigura că puteți utiliza echipa:

# Chkconfig -List NTPD
NTPD 0: ON 1: OFF 2: OFF 3: La 4: Oprit 5: La 6: Off

Dacă nu vedeți această linie, aceasta înseamnă că lansarea automată a NTPD nu este configurată. Pentru a remedia, tastați:

# Chkconfig -Level 035 NTPD pe

Pentru a gestiona NTP (Start, Run, Repornire, Stare), se utilizează un script de inițializare standard:

# /etc/init.d/ntpd start.

Pentru a vizualiza statisticile de sincronizare a serverului, puteți utiliza următoarea comandă:

# NTPQ -p.
Refuzul la distanță St t Când sondajul REACH Întârzierea Jitter offset
==============================================================================
* TICK.USNOGPS.NA .USNO. 1 U 38 64 377 220.00 0.149 7.08
-Navobs1.wustom.e .psc. 1 U 55 64 377 193.47 6.857 4.81
-ntp-nasa.arc.na .gps. 1 U 43 64 377 254.88 7.471 9.58
-Ntp0.nl.net .gps. 1 U 144 512 377 122.54 12.515 13.75
-Ntp2.ien.it .ien. 1 U 558 1024 377 133.94 14.594 41.99
+ Timekeeper.iSi. .GPS. 1 U 13 64 377 245.30 3.454 15.08
+ News-zero.demos ntp0.roSno.navy. 2 U 16 64 377 37.51 -3.239 11.14
Local (0) local (0) 10 L - 64 377 0.00 0.000 10.01

Moduri de operare server / client NTP

Client server.

Acest mod este cel mai des folosit pe Internet. Diagrama de lucru - clasic. Clientul trimite o cerere pentru care de ceva timp serverul trimite răspunsul. Configurarea clientului este efectuată utilizând directiva serverului în fișierul de configurare, unde este specificat numele serverului DNS.

Modul activ / pasiv simetric / pasiv

Acest mod este utilizat dacă se efectuează sincronizarea timpului între un număr mare de mașini egale. În plus față de faptul că fiecare mașină este sincronizată cu o sursă externă, aceasta efectuează, de asemenea, sincronizarea cu vecinii săi (peer), vorbind pentru ele ca un client și server de timp. Prin urmare, chiar dacă mașina "va pierde" o sursă externă, poate obține încă timpul exact de la vecinii săi. Vecinii pot opera în două moduri - active și pasive. Lucrul în modul activ, mașina însăși transmite timpului tuturor vecinilor listați în secțiunile fișierelor de configurare NTP.CONF. Dacă vecinii nu sunt specificați în această secțiune, se crede că mașina funcționează în modul pasiv. Pentru ca un atacator să nu poată compromite alte mașini, introducându-se ca sursă activă, este necesar să se utilizeze autentificarea.

Modul de difuzare

Acest mod este recomandat să se utilizeze în cazurile în care un număr mic de servere servește un număr mare de clienți. Lucrul în acest mod, serverul trimite periodic pachete utilizând adresa de difuzare a subrețea. Un client configurat să se sincronizeze în acest mod primește un server de difuzare al serverului și sincronizează serverul. O caracteristică a acestui mod este că timpul este livrat în aceeași subrețea (pachete de difuzare limită). În plus, este necesar să se utilizeze autentificarea pentru a proteja împotriva intrușilor.

Modul multicast.

Acest mod este în mare parte similar cu difuzarea. Diferența este că adresa multicast a spațiilor de adrese IP ale adreselor IP este utilizată pentru a furniza pachete. Pentru clienți și servere, adresa grupului multicast este specificată pentru a sincroniza timpul. Acest lucru face posibilă sincronizarea grupurilor de mașini localizate în diverse subrețe, cu condiția ca routerele care să le conecteze la routere să susțină protocolul IGMP și sunt configurate să transmită traficul de grup.

Modul Multecast.

Acest mod este o inovație a celei de-a patra versiuni a protocolului NTP. Aceasta implică căutarea de către client printre vecinii rețelei de servere Multecast, obținându-se de la fiecare dintre ele (folosind criptografia) și selectarea pe baza acestor date a celor trei servere "cele mai bune" cu care clientul va efectua sincronizare. În cazul eșecului unuia dintre servere, clientul actualizează automat lista sa.

Pentru a transfera probele de timp, clienții și serverele care rulează în modul Multast, utilizați adresele de grup multicast (rețelele de clasă D). Clienții și serverele care utilizează aceeași adresă formează o singură asociere. Numărul de asociații este determinat de numărul de adrese multicast utilizate.

Adesea întrebările emergente

De ce după comanda OTM / SETRENTP: Server, timpul nu este sincronizat?

Asigurați-vă că tipul de pornire "automat" este specificat pentru serviciul W32Time.
Asigurați-vă că portul UDP 123 al serverului NTP utilizat este disponibil.
Asigurați-vă că timpul dintre client și server nu este prea diferit.

Clientul SNTP se sincronizează cu serverul NTP?

Da, poate protocolul SNTP este un subset de NTP și complet compatibil cu acesta.

Este posibil să utilizați serverul NTP de la al treilea producători în Windows 2000 / XP / 2003?

Da, puteți utiliza orice server, plătit sau gratuit. Pre-dezactivați componentele corespunzătoare (client sau server) Servicii de timp Windows.

De ce clientul NTP funcționează pe un computer cu Server MS SQL instalat?

Cel mai probabil, problema este că serverul SQL este în vreun fel Portul UDP 123 este în orice mod. Ca o soluție, puteți oferi lansarea clientului NTP pe serverul MS SQL.

Daemonul NTPD după pornire funcționează 10-20 de minute, după care se oprește. Care ar putea fi problema?

Asigurați-vă că timpul clientului și serverului nu este diferit (nu mai mult de 5 minute). În caz contrar, sincronizarea forțată utilizând NTPDate.

Este posibil să se sincronizeze timpul în OS Windows NT4, 95, 98, eu?

Puteți, cu programe terțe, cum ar fi Nettime, AutomadaHron, Timpul Mondial, NTPD Windows NT Port.

Când încercați să vă conectați la domeniul Windows, apare un mesaj că timpul dintre controlerul de domeniu și stația de lucru este prea mult, deși sincronizarea este configurată cu precizie.

Cel mai probabil, problema este că timpul a început foarte puternic (resetați CMOS, hacker sabotaj) și serviciul nu este capabil să treacă autentificarea Kerberos. Pentru a rezolva această problemă, aveți nevoie fie să rezumați manual, fie să nu utilizați acest tip de autentificare atunci când actualizați timpul.

Ziua bună, oaspeții și cititorii obișnuiți. Trece treptat de la elementele de bază la un studiu mai aprofundat al Linux. Astăzi vreau să iau în considerare funcționarea protocolului NTP., precum și setarea servere de timp pe Linux (Server NTP). Deci, să începem cu teoria.

Protocolul NTP.

Protocolul de timp de rețea (NTP) - Protocolul de rețea pentru sincronizarea orelor interne ale computerului utilizând rețele de latență variabilă (citiți "lățimea" / calitatea canalului).

NTP utilizează pentru munca sa protocolul UDP și portul 123.

Versiunea curentă a protocolului - NTP 4.. NTP.utilizează sistemul ierarhic "Nivelurile de timp" (ei sunt numiți și ei Strat). Nivelul 0 (sau stratul 0) - Acesta este de obicei dispozitive care sunt ceasuri atomice (moleculare, cuantice), ceasuri GPS sau frecvențe radio. Aceste dispozitive nu sunt de obicei publicate în rețeaua mondială și sunt conectați direct la servere de timp 1prin protocolul RS-232 (pe ilustrațiile sunt marcate cu săgeți galbene). Nivelul 1. sincronizat cu ceas de înaltă precizie nivelul 0., de obicei, funcționează ca surse pentru servere nivelul 2. Nivelul 2. sincronizat cu una dintre mașini nivelul 1, precum și sincronizarea cu serverele sale de nivel. Nivelul 3. Funcționează similar cu cel de-al doilea. De obicei, serverele de rețea sunt publicate în a doua și mai jos. Protocolul NTP. Sprijină până la 256 nivele. De asemenea, doresc să menționez că nivelurile de niveluri 1 și 2 și, uneori, 3, nu sunt întotdeauna deschise pentru accesul universal. Uneori, pentru a se sincroniza cu ei, trebuie să trimiteți o cerere prin poștă - administratori de domenii.

Care este restricția privind accesul la servere? Odată cu trecerea la fiecare nivel, eroarea în raport cu serverul primar crește, dar crește numărul total de servere Prin urmare,.

Atribuirea serverului NTP pe LAN

De ce putem avea nevoie de server NTP? De exemplu, există servicii în sistemele de operare care pot depinde de timpul sincronizat. Cel mai frapant exemplu al acestor servicii este protocolul de autentificare Kerberos. Pentru munca sa, este necesar ca pe computerele, accesul la care se efectuează folosind acest protocol, timpul de sistem a fost cel mai mult de 5 minute. În plus, timpul exact pe toate computerele facilitează considerabil analiza jurnalelor de securitate la investigarea incidentelor din rețeaua locală.

Moduri de operare server / client NTP

Client server.

Modul activ / pasiv simetric / pasiv

Modul de difuzare

Modul multicast.

Modul Multecast.

Timp în Linux.

Spuneți-vă pe scurt ce oră există în Linux și cum să o întrebați. În Linux, ca într-un alt sistem de operare, există de 2 ori. Primul - hardware Uneori numit Ceas în timp real., abreviat ( RTC.) (Ele sunt - ceasul BIOS) este de obicei asociat cu un cristal oscilant cuarț, care are precizie a cursului de până la câteva secunde pe zi. Precizia depinde de diverse oscilații, de exemplu, temperatura ambiantă. Al doilea ceas este intern softwear care continuă continuu, inclusiv în timpul întreruperilor sistemului. Acestea sunt supuse abaterilor asociate cu o încărcare mare de sistem și întârzieri de întrerupere. Cu toate acestea, sistemul citește de obicei citirile ceasului hardware la încărcare și apoi utilizează ceasul sistemului.

Data și ora sistemului de operare Instalat când este încărcat pe baza valorii hardware Watch., precum și setări ale fusului orar. Setările fusului orar sunt luate din fișier / etc / local. Acest fișier este un link (dar mai des - o copie) a unuia dintre fișierele din structura directorului / USR / Share / ZoneInfo /.

Ceasul Hardware Linux poate stoca timp în format UTC.(Analog GMT) sau timp teritorial curent. Recomandarea generală este la ce oră să instalați (?) În continuare: dacă mai multe OS instalate pe computer și una dintre ele este Windows, atunci trebuie să utilizați ora curentă (deoarece Windows necesită timp de la BIOS / CMOS și consideră localul local). Dacă se utilizează numai sisteme de familie Unix, este recomandabil să stocați timp în BIOS în format UTC.

După încărcarea sistemului de operare, ceasul sistemului de operare și BIOS-urile sunt complet independente. Miezul sistemului o dată în 11 secunde sincronizează ceasul sistemului cu hardware.

După ceva timp, poate exista o diferență între ceasurile hardware și programe în câteva secunde. Ce ore fac timpul potrivit? Nici acelea, nici altele până când nu configurăm Sincronizarea timpului.

Notă:

Kernel Linux "și întotdeauna păstrează și calculează timpul ca număr de secunde din trecut de la miezul nopții 1 ianuarie 1970 al anului, Independență, sunteți instalat în timpul local sau mondial. Conversia la ora locală se face în timpul procesului de interogare.

De la numărul de secunde din 1 ianuarie 1970, timpul global este salvat ca un semn 32 de biți (acest lucru este valabil pentru sistemele Linux / Intel), ceasul dvs. va înceta să lucreze undeva în 2038. Linux nu are nici o problemă a anului 2000, dar are o problemă de 2038. Din fericire, până în acel moment, toate Linux vor fi lansate pe sisteme de 64 de cifre. Integerul pe 64 de biți va conține ceasul nostru la aproximativ 292271 milioane de ani.

NTP Server Linux.

Introducere

Există o mulțime de implementări pentru sincronizarea timpului pentru sistemul de operare Linux. Cele mai renumite sunt XNTPD (versiunea NTP 3), NTPD (versiunea NTP 4), crony și ceasuri. În exemplul nostru, vom folosi NTP-server NTPD.

Daemonul NTPD este atât serverul de timp, cât și clientul, în funcție de setările fișierului de configurare /etc/ntpd.conf (uneori /etc/ntp.conf), daemonul poate și "ia" de la serverele valide și "distribuie" la alte gazde.

General schema de sincronizare a timpuluiÎn rețeaua locală după cum urmează: trebuie să aveți 1 sau 2 servere cu acces la rețeaua globală care va primi timp de pe Internet. Toate computerele de rețea locale sincronizează cu servere specificate care primesc timp de pe Internet.

Instalarea NTPD.

De fapt, instalarea unui daemon Se reduce la instalarea următoarelor pachete: NTP. (Pachetul include demonul însuși) ntpdate.(Utilitate pentru sincronizarea manuală a timpului - depășit), nTP-doc. (Documentație pachet), în unele distribuții, va trebui să instalați același lucru nTP-utili. (Utilități pentru diagnosticare), în unele sunt incluse în pachetul NTP. Cum se instalează programe în Linux, am descris în. După instalarea pachetului, în majoritatea distribuțiilor, daemonul va fi configurat ca un client NTP (de exemplu, Debian a fost așa). În consecință, principalele fișiere de configurare au fost create automat: /etc/ntp.conf și /var/lib/ntp/ntp.drift și daemonul a fost lansat automat.

Înainte de a crea un demon la sincronizare cu lumea exterioară, vă sfătuiesc să setați data actuală a sistemului cu privire la valoarea, cât mai aproape de timp real. Data de stabilire în Linux Fabricat de echipa: data mmddhhhmccyy.ss,unde MM - luna, DD - Ziua lunii, ceasurile HH, MM - minute, CCYY - 4 cifre ale anului, SS - secunde. În același timp, valori Ccyy.ss. Nu neaparat.

După cum puteți vedea, comanda specificată va seta data și ora curente pe 27 decembrie 2010, 20:06:30. Data comenzii Fără parametri, ieșiți timpul actual al sistemului. Această echipă are o grămadă de parametri care se găsesc în Data Man.

De asemenea, trebuie să configurați în mod corespunzător ceasul hardware și fusul orar. Așa cum am menționat mai sus, fusul orar este configurat prin copierea fișierului zone obligatoriu din catalog / USR / Share / ZoneInfo /la dosar. / etc / local:

NTP-server: ~ # cp / usr / acțiune / zoneInfo / europe / Moscova / etc / local

Hardware am înființat orele pe UTC:

# Pisica / etc / sysconfig / ceas | GREP UTC # UTC \u003d Adevărat indică faptul că ceasul este setat la UTC; UTC \u003d TRUE NTP2-server: ~ # Cat / etc / Implicit / RCS | Grep utc \u003d da

În primul exemplu, este specificat un fișier de configurare care definește utilizarea UTC pentru RH, a doua - pentru distribuțiile deb.

În plus față de instalarea setărilor pentru utilizarea timpului în format UTC, trebuie să specificați Hardware. (În cele mai multe cazuri, acest lucru nu este necesar, deoarece timpul specificat de sistem este sincronizat în mod inevitabil cu forțele hardware, de bază). Dar totuși, dacă aveți o dorință de a face acest lucru ... Echipa HwClock. Citește și instalează hardware pe baza parametrilor transferați la acesta. Opțiunile disponibile sunt descrise în pagina manuală a echipei. Iată câteva exemple de utilizare HWClock:

NTP-server # # hwclock # Citește timp de la NTP-server # hwclock --systohc - ceas ceas ceasuri ceasuri setarea ceasului ceasului Ceasuri egale # utc bazat pe NTP-server # hwclock --systohc # setarea ceasului ceasului # egal cu local pe baza sistemului Timp NTP-server # HwClock --set --date "22 Mar 2002 13:17" # Setează ora ceasului hardware # egal cu rândul specificat

O altă opțiune de modificare a timpului în ceasul hardware este accesul la BIOS atunci când se încarcă sistemul. Deoarece timpul de operare, indiferent de orele hardware, orice modificare a BIOS va fi luată în considerare la următoarea încărcătură.

Acum că totul a fost pregătit și instalat, treceți la la șantierul de construcții.

NTPD Demon Management

Control NTPD demon. Niciun demon diferit nu diferă de la alți demoni. Rulați sau reporniți serviciul NTPD:

# / etc / init.d / ntp start # / etc / init.d / ntp repornire

Stop:

# / etc / init.d / ntp stop

# / Bin / ucide `cat / var / run / ntpd.pid`

Demonul are următorii parametri de lansare:

P - fișier PID,
-G - Permiteți tranziția la salturile mari
-c - fișier config
-Q - sincronizare manuală forțată

Configurarea serverului NTPD

În primul rând, veți sfătui să schimbați parametrii demonului de pornire în următorul fișier de configurare:

NTP-server: ~ # cat / etc / implicit / ntp ntpd_opts \u003d "- g"

# Cat / etc / SYSCONFIG / NTPD # parametri pentru Daemon NTP. # Vezi NTPD (8) pentru mai multe detalii. .... # Specifică parametri suplimentari pentru NTPD. Ntpd_args \u003d "- g"

Acest parametru vă va permite să sincronizați ceasul, chiar dacă a fost formată o diferență de timp foarte mare.

Deci, după cum am spus, informații de configurare Demon NTPD.se află în dosar /etc/ntp.conf. Sintaxa fișierului este standard, ca în multe alte configuri: șiruri goale și rânduri începând cu ignorarea simbolului "#". Iată un exemplu simplu:

NTP-server: ~ # cat /etc/ntp.conf server ntplocal.example.com preferă serverul timeserver.example.org server ntp2a.example.net driftfile /var/db/ntp.drift

Parametru serverspecifică ce servere vor fi utilizate pentru sincronizare, una în fiecare rând. Dacă serverul este specificat cu argumentul prefera., la fel de ntpocal.example.com.Acest server este acordat preferinței restului. Răspunsul de la serverul preferat va fi aruncat dacă diferă semnificativ de răspunsurile altor servere, altfel va fi utilizat independent la alte răspunsuri. Argument prefera.de obicei, utilizat pentru serverele NTP, care sunt cunoscute că sunt foarte precise, cele utilizate de echipament special precis.

Parametru driftfilespecifică fișierul care este utilizat pentru a stoca compensarea frecvenței ceasului de sistem. În ceea ce am înțeles, acest fișier stochează constant o valoare care se formează pe baza analizei ajustărilor din trecut și dacă sursele de timp externe devin indisponibile, ajustarea timpului are loc după valoarea din fișier derivă. Nu ar trebui să schimbe alte procese. Și înainte de a specifica acest fișier în configurație - trebuie creat fișierul.

În mod implicit, serverul NTP va fi disponibil pentru toate gazdele la Internet. Parametru restricționa.în dosar /etc/ntp.conf. Vă permite să controlați ce mașini pot accesa serverul dvs. Dacă dorești Dezactivați toate mașinile pentru a contacta serverul NTPAdăugați următoarea linie la fișier /etc/ntp.conf.:

restricționați ignorarea implicită.

Dacă dorești permitesincronizați ceasul numai cu serverul dvs. mașini din rețeaua dvs., dar interzicelor personalizați serverul. Sau să fie egali participanți la sincronizarea timpului, apoi în loc de cele specificate, adăugați linia:

restricționați 192.168.1.0 Masca 255.255.255.0 Nomody Inds

unde 192.168.1.0 este adresa IP a rețelei dvs. și 255.255.255.0 masca de rețea. /etc/ntp.conf. Pot conține mai multe directive restricționate.

Pentru munca corectă și mai precisă a demonului, este de dorit să alegeți un server de nivel - de la stratum 2 (puteți cu siguranță Stratum1, dar trebuie să ucizi timpul pentru a căuta un astfel de server) și de la stratul selectat 2, la care distanța minimă ". De obicei, astfel de servere pot fi furnizate de furnizorul dvs. Numărul de servere selectate este, de preferință, mai mult de 2 3, cu atât mai mare, dar în limite rezonabile. Dacă sunteți prea leneș pentru a alege cele mai bune servere, puteți face o listă de servere deschise de la aici: http://support.ntp.org/bin/view/servers/stratumtwotimeServers.

Selectați o listă de servere NTP de referință

Mergem la adresa specificată (http://support.ntp.org/bin/view/servers/stratumtwotimeServers) și selectați o listă de servere inițiale. Din această listă, selectați serverele care satisfac cerințele noastre utilizând analiza ieșirii de comandă ntpdate.. La executarea comenzii, se aplică următoarea sintaxă:

ntpdate servere_terere_belates.

Pentru ca cererea noastră să facă modificări ale sistemului, trebuie să utilizați parametrul -Q, ceea ce indică utilizarea cererii fără a efectua modificări. De asemenea, este posibilă utilizarea cheii -D, indicând faptul că comanda va fi executată în modul Debug, cu o ieșire de informații suplimentare, fără a face modificări reale (o grămadă de un alt gunoi este afișată :), care nu este necesară la momentul). Parametrii rămași pot fi vizualizați în omul 8 ntpdate. Din link-ul specificat, am ales toate serverele de acces deschise situate în Rusia (RU) + cel care a oferit furnizorului și a lansat echipa, sa dovedit în jurul următorului:

NTP-server: ~ # ntpdate -q ntp2.ntp-servers.net ntp1.vniftri.ru ntp2.vniftri.ru ntp4.vniftri.Sur ntp0.ntp-servers.net ntp1.ntp-servers.net ntp3.vniftri.ru ntp.corbina.net Server 88.147.255.85, stratum 1, offset 0.006494, întârziere 0.09918 Server 62.117.76.142, stratum 1, offset 0.002552, întârziere 0.06920 Server 62.117.76.141, Stratum 1, offset 0.003147, Întârzie 0.06918 Server 62.117.76.140, Stratum 1, offset 0.004823, întârziere 0.07350 Server 88.147.254.228, stratum 1, offset -0.002355, întârziere 0.12030 Server 88.147.254.229, stratum 1, offset -0.000922, întârziere 0.10577 Server 62.117.76.138, Stratum 1, Offset 0.005331, 0.07401 Server Întârzie 195.14 .40.141, Stratum 2, offset 0.002846, Întârzie 0.07188 13 Jan 19:14:09 Ntpdate: Ajustați serverul de timp 62.117.76.141 Offset 0.003147 sec

În acest exemplu, serverele noastre au dat cu succes nivelul Stratum1, care nu poate decât să se bucure (cu excepția serverului de furnizori), offset este o discrepanță în timp cu acest server, întârzierea este o întârziere de sincronizare în câteva secunde. De obicei, B. DESPREmai multă precizie se obține folosind servere care au o întârziere de transfer de pachete scăzute asupra rețelei. Pentru a identifica acest lucru, este posibil să se utilizeze. În consecință, selectând mai întâi acelea ale căror timp de răspuns este mai mic și cei care sunt mai puțin decât hamei. Nu trebuie să pierd timpul, voi folosi toate serverele specificate și le voi transmite în fișierul de configurare. Total cunoașterea tuturor celor de mai sus, voi descrie fișierul dvs. rezultat /etc/ntp.conf.:

NTP-server: ~ # cat /etc/ntp.conf # server de rețea locală (comentat, neutilizat - ONLINE ONE SERVER) #Server 192.168.0.2 #server 192.168.0.5 # server NTP2.ntp-servers.net server NTP1.vnifri .ru Server NTP2.VNIIFTRI.ru Server NTP4.VNIIFTRI.ru Server NTP0.NTP-Servers.net Server NTP1.NTP-Servers.net Server NTP3.VNIIFTRI.ru Server NTP3.VNIIFTRI.ru Server NTP.Corbina.net # DRIFTFILE Fișiere de server /var/lib/ntp/ntp.drift Logfile / var / log / ntpstats # Restricționează accesul la server: # În mod implicit, am ignor toate restricționarea implicit ignore # fără parametri - înseamnă că totul este permis. Parametrii merg doar pe interdicții. Se restricționează 127.0.0.1 # următor, sunt descrise serverele cu care suntem sincronizate în rețeaua locală. # Le permitem tuturor, cu excepția etichetelor și interogărilor la noi restricționate 192.168.0.2 NOTRAP NOTRAP Restricție 192.168.0.5 NOTURY NOTRAP # pentru LANS, de asemenea, permiteți totul, cu excepția limitării capcanelor și a modificărilor 192.168.0.1 Masca 255.255.25.0 Nomody NOTRAP NOPEER # Permiteți accesul la sursele externe : Restricționați NTP2.NTP-SERVERS.net Restricționează NTP1.vniftri.ru restricționați NTP2.vniftri.ru restricționați NTP4.vniftri.ru restricționați NTP0.NTP-SERVERS.NET Restricționați NTP1.ntp-servers.net restricționează NTP3.vniftri.ru Restriction ntp.corbina.net # și acest hack, care stabilește nivelul de încredere în server (strat) la sine egal cu 3 # pe scurt, nivelul de nivel superior, cu atât numărul mai mic este mai mic. 0 este ceasul atomic, # 1 este sincronizat cu ei, 2 - cu primul, și așa mai departe. Server 127.127.1.1 Fudge 127.127.1.1 Stratum 3

Pentru o înțelegere și configurare mai aprofundată a serverului, voi descrie câteva setări de configurare NTPD care nu au menționat ::

permite dezactivarea auth / Monitor / PP / PPS / Statistici - porniți oprirea mod de operare:
- autori- cu vecinii neautorizați pentru a comunica numai în modul de autentificare;
- monitoriza- Permiteți monitorizarea interogării;
- pLL.- Permiteți setarea frecvenței ceasului local pe NTP;
- statistici.- să permită colectarea statisticilor;
statisticiloopstats.- cu fiecare modificare a ceasului local, scrie o linie la un fișier loopstats.;
statisticipătrunde.- Fiecare comunicare cu vecinul este scrisă în jurnalul stocat în fișier pătrunde.;
statisticiceasuri de ceasuri.- Fiecare mesaj de la driverul ceasului local este scris în jurnalul stocat în fișier ceasuri de ceasuri.;
statsdir.(Catalog_name_setatistics) - Specifică numele directorului în care vor exista fișiere cu statistici de servere;
fileGen. - Specifică algoritmul de generare a fișierelor, care constau din:
- prefix- partea permanentă a numelui fișierului este setată fie la compilarea, fie la comenzi speciale de configurare;
- nume de fișier - adăugată la prefixul fără o slash, sunt interzise două puncte, poate fi modificată de cheia fișierului;
- sufix- generate în funcție de numele de tip;
restricționa.adresă numerică- Specifică restricția de acces: pachetele sunt sortate și măști, adresa inițială este luată și este în comparație în mod consecvent, a fost preluată Flag de la ultima comparație reușită. acces:
- nu există steaguri - Accesați accesul;
- ignora.- Ignorați toate pachetele;
- noquery.- Ignorați NTP 6 și 7 pachete (solicitare și modificări de stat);
- nomodif- Ignorați pachetele NTP 6 și 7 (modificarea statului);
- limitat- să servească doar un număr limitat de clienți din această rețea;
- nopeer.- pentru a servi gazda, dar nu sincronizați cu ea;
clientlimit.limită.- Pentru pavilion limitatdetermină numărul maxim de clienți serviți (în mod implicit 3);

Total, avem NTPD-serverCare este sincronizat cu lumea exterioară, vă permite să primiți timp pentru clienții din rețeaua locală 192.168.0.1 cu o mască de 255.255.255.0, precum și se poate sincroniza cu un server local (dacă feroviar mai multe linii mai multe). Am lăsat să personalizăm clienții și să învățăm cum să vizionăm serverul nostru.

Observarea serverului NTPD și a sincronizării

Când toți sunteți configurați. NTP va păstra timpul într-o stare sincronizată. Acest proces poate fi observat utilizând comanda de interogare NTP (NTPQ):

NTP-server: ~ # NTPQ -P reface de la distanță st t atunci când sondaj de întârziere întârziere offset jitter \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d -N3. Timp1.d6.hsd .pps. 1 U 34 64 177 70.162 2.375 8.618 + NTP1.VNIIFTRI.R .PPS. 1 U 33 64 177 43.479 -0.020 10.198 * NTP2.VNIIFTRI.R .PPS. 1 U 6 64 177 43.616 -0.192 0.688 + NTP4.VNIIFTRI.R .PPS. 1 U 4 64 177 43.623 0.440 0.546 -N1.Time1.d6.hsd .pps. 1 U 53 64 77 92.865 -11.358 38.346 -NS1.HSDN.ORG .GPS. 1 U 40 64 177 78.057 -3.292 35.083 -NTP3.vniftri.r .pps. 1 U 44 64 77 47.667 2.292 2.611 -SCYLLA-L0.MSK.C 192.43.244.18 2 U 62 64 77 41.565-1.564 28.914

Această comandă cu tasta -P afișează o listă de surse de timp cu caracteristicile lor (alți parametri de comandă în Man NTPQ). Valoarea fiecărei coloane după cum urmează:

Numele serverului NTP la distanță. Dacă specificați cheia -n, veți primi adrese IP server în loc de nume.

Indică locul în care fiecare server primește momentul în acest moment. Acesta poate fi un nume de gazdă sau ceva de genul ăsta. GPS, indicând sursa sistemului global de poziționare (sistemul global de poziționare).

Stratum Acest număr este de la 1 la 16, indicând acuratețea serverului. Unitatea înseamnă acuratețea maximă, 16 serverul nu este disponibilă. Nivelul dvs. va fi egal cu nivelul celui mai puțin precis al serverului la distanță plus 1.

Intervalul dintre sondaje (în secunde). Valoarea va fi schimbată între frecvența minimă și maximă a sondajelor. La început, intervalul va fi mic, astfel încât sincronizarea a apărut rapid. După ce ceasul este sincronizat, intervalul începe să crească pentru a reduce traficul și sarcina pe serverele de timp populare.

Reprezentarea octal a unei matrice de 8 biți care reflectă rezultatele ultimelor opt încercări de conectare la server. Bitul este setat dacă serverul de la distanță a răspuns.

Numărul de timp (în secunde) este necesar pentru a primi un răspuns la cererea "la ce oră?".

Cel mai important domeniu. Diferența dintre timpul serverelor locale și la distanță. În timpul sincronizării, această valoare ar trebui redusă (abordare la zero), indicând faptul că ceasul mașinii locale crește mai precis.

Dispersia (jitter) este o măsură a abaterilor statistice de la valoarea offset (câmp offset) pentru mai mulți parametri de succes solicitați răspuns-răspuns. Este preferabilă o valoare mai mică de dispersie, deoarece face posibilă sincronizarea cu mai precis a timpului.

Înțeles semne înainte de numele serverului

x este o sursă falsă în algoritmul de intersecție;
. - excluse din lista candidaților datorită distanței lungi;
- - eliminat din lista de algoritm de candidați;
+ - intră în lista finală a candidaților;
# - selectat pentru sincronizare, dar există 6 cei mai buni candidați;
* - selectat pentru sincronizare;
o - selectat pentru sincronizare, dar utilizat PPS;
Spațiu - nivel prea mare, ciclu sau eroare explicită;

Serviciul NTPD."SMART" și motivează sursele de timp prea bătut din domeniul rezonabil. După ceva timp, după lansarea NTPD, acesta va selecta cele mai fiabile surse de date și va fi sincronizată cu acestea. Lista serverelor NTP de referință trimise de noi este revizuită în mod regulat de către serviciu.

Verificați caracteristica de sincronizare la nivel local pe server este posibilă prin comandă:

NTP-server: ~ # Ntpdate -q localhost server 127.0.0.1, stratum 2, offset -0.000053, întârziere 0.02573 server :: 1, stratum 2, offset -0.000048, întârziere 0.02571 14 Jan 14:49:57 Ntpdate: Reglați serverul de timp :: 1 offset -0.000048 sec

Din ieșirea comenzii este clar că serverul nostru a devenit deja nivelul de strat 2. Pentru a atinge acest nivel, este necesar pentru o vreme. Poate că în primele 10-15 minute nivelul serverului va fi mai mare.

Pe funcționarea corectă a serverului NTP, puteți să judecați și jurnalele daemonului NTPD:

NTP-server: ~ # cat / var / log / ntpstats / NTP 13 Jan 20:13:16 NTPD: Ascultarea pe interfață # 5 Eth0, Fe80 :: A00: 27ff: FEC1: 8059 # 123 Activat 13 ianuarie 20:13: 16 NTPD: Ascultarea pe interfață # 6 eth0, 192.168.0.8 # 123 Activat 14 ianuarie 14:31:00 NTPD: Sincronizat la 62.117.76.142, Stratum 1 14 Jan 14:31:10 NTPD: Resetarea timpului +10.291312 s 14 ianuarie 14 : 31: 10 NTPD: Starea statutului de sincronizare a kernelului 0001 14 ianuarie 14:34:31 NTPD: sincronizat la 88.147.255.85, Stratum 1 14 Jan 14:36:04 NTPD: Sincronizat la 62.117.76.141, Stratum 1 14 Jan 15: 04:36 NTPD: Sincronizat la 62.117.76.142, Stratum 1 14 Jan 15:10:58 NTPD: sincronizat la 62.117.76.140, Stratum 1 14 Jan 15:17:54 NTPD: Nici un servere accesibil 14 ianuarie 15:31:49 NTPD : Sincronizat la 62.117.76.140, Stratum 1 14 Jan 15:32:14 NTPD: Timp Reset +13.139105 S

Setarea NetFilter (iptables) pentru serverul NTP

Configurarea muncii serverului, ar fi plăcut să o protejați. Știm că serverul funcționează pe un port 123 / UDP, în timp ce cererile sunt de asemenea trimise de la portul 123 / UDP. După citirea articolului și familiarizați cu practica, puteți crea reguli pentru filtrarea traficului de rețea:

NTP ~ # IPTABABABABABLE-SAVE # reguli iptables tipice pentru DNS * Filtru: picătură de intrare: picătură înainte: drop de ieșire-o intrare-lo-acceptare -a intrare -m connttrack-ctstate asociate, stabilit -j acceptați -A intrare -M ConntTrack - CCTState-Jo Drop # Permite accesul la rețeaua locală la serverul NTP: -A Intrare -S 192.168.1.1/24 -D 192.168.1.1/32 -p UDP-M UDP --Port 123-M ConntTrack - - Ctstate nou -j acceptă -a ieșire -o lo-i acceptare -a ieșire -p icmp -j acceptă -a ieșire -p udp -m UDP --Sport 32768: 61000 -J acceptați -A OUTPUT-PP TCP -M TCP . -m continck --Ctstate nou -j acceptă comiterea

Acesta este un exemplu tipic! Pentru a seta regulile iptables pentru sarcinile dvs. și configurația rețelei, trebuie să înțelegeți principiul lucrărilor Netfilter în Linux, citiți articolele de mai sus.

Configurarea mașinilor client

Pentru a sincroniza timpul pe mașinile UNIX Rețeaua locală este recomandabilă să se utilizeze utilitarul NTPDate, lansându-l de mai multe ori pe zi, de exemplu, la fiecare oră. Pentru a face acest lucru, trebuie să adăugați următoarea linie:

0 * * * * / USR / SBIN / NTPDate -s

Tasta-urile trimite ieșirea de comandă. Dacă mașinile clientului au o pereche de megaoctes inutile de memorie RAM, puteți rula daemonul NTPD, ca în server cu următorul config:

Server Restricționați implicit Ignore Restriction Noquery NOTRAP Restricționează 127.0.0.1 Nomody Intrați

Cred că în acest config, totul este clar: sursa de timp (server) este un server local NTPD, pentru a dezactiva totul, permite doar serverul local NTPD.

De asemenea, la clienți, trebuie să specificați corect în ce format să stocați timpul și să alegeți fusul orar corect ,.

Pentru a configura Windows client NTPUrmătoarele comenzi trebuie executate în consola:

C: \\\u003e Timp net / Settlentp: Comanda a fost finalizată cu succes. C: \\\u003e Stop net W32Time Serviciul de timp Windows se oprește. Serviciul de timp Windows a fost oprit cu succes. C: \\\u003e Net Start W32Time Serviciul Windows Time începe. Serviciul de timp Windows a fost inițiat cu succes. C: \\\u003e Ora netă / QuerySNTP Valoarea SNTP curentă este: Comanda a fost finalizată cu succes.

Concluzie

Păi, pare a fi totul! Volumul articolului sa dovedit a fi enorm ... Nici măcar nu m-am așteptat. Să aducem un rezultat mic. În acest articol, sperăm că a devenit clar ce este și modul în care funcționează serverul NTP. A învățat să personalizeze serverul și clienții pe mașinile UNIX și Windows. În câteva cuvinte, structura de sincronizare a timpului în rețeaua locală este următoarea: Există 1,2 sau mai multe servere de timp exacte în rețeaua locală, își sincronizează timpul cu surse externe în rețeaua globală. Setările serverului și ale clienților se bazează pe fișierele /etc/ntp.conf (fișierul principal de configurare al demonului NTPD), / etc / local (fișierul curent de timp orar), precum și / etc / sysconfig / NTP (pentru RH) și / etc / implicit / NTP (pentru Deb) - Demon Parametru de pornire. Pentru un server local NTP într-un fișier de configurare, serverele externe sunt specificate pentru a obține timp și accesul pentru aceste servere este permis de parametrul restricționat, precum și pentru computerele rețelei locale, clientul indică sursa de timp - serverele locale pe locale Rețea, precum și accesul tuturor, cu excepția sursei de timp din rețeaua locală. Tot. Vă mulțumesc tuturor pentru atenția dvs.! Voi fi bucuros să comentez!

(Arhiva articolului) descrie modul de conectare a GPS la server pentru a-și organiza Stratul de timp exact de timp1.
A descris modul de configurare a autorizației pe serverul NTP.

NTP. (Protocolul de timp de rețea - Protocolul de rețea) - Protocolul de rețea Pentru a sincroniza orele interne ale computerului utilizând rețele variabile de latență. Protocolul a fost dezvoltat de David L. Mills, profesor de la Universitatea Delaware, în 1985. Versiune pentru 2015 - NTPV4.

NTP Bazat pe algoritmul Marzullo utilizează protocolul UDP pentru munca sa și ia în considerare timpul de transfer. Sistemul NTP este extrem de rezistent la modificările în latența mediului de transmisie. În versiunea 4, este capabil să atingă o precizie de 10 ms (1/100 secunde) atunci când lucrează prin Internet și până la 0,2 ms (1/5000 secunde) și mai bine în cadrul rețelelor locale.

Aplicația cea mai largă a protocolului NTP se găsește pentru a sincroniza serverele de timp exact. Pentru a obține o precizie maximă, funcționarea constantă a software-ului NTP este preferată în modul de service sistem. În familia sistemului de operare Microsoft Windows, acesta este W32Time, Serviciul Linux - serviciul NTPD.

O implementare mai simplă a acestui algoritm este cunoscută sub numele de SNTP - un simplu protocol de timp de rețea. Utilizat în sisteme și dispozitive încorporate care nu necesită o precizie ridicată, precum și în programele de timp definite de utilizator.

Structura pachetului

Structura ambalajului este descrisă în RFC 5905. Pachetul constă dintr-un număr întreg de cuvinte pe 32 de biți.

Datele din titlu vor fi diferite pentru diferite moduri de funcționare. De exemplu, clientul din domeniu urmăriți stratul, sursa de identificare, timpul de începere și timp de primire Trebuie să înregistreze zerouri.

Titlu

NTP Titlu

Liniuță	Octet	0								1								2								3
Octet	Pic	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23	24	25	26	27	28	29	30	31
0	0	Ik.		Versiune			Mod.			Urmăriți stratul								Sondajul intervalului								Precizie
4	32	Întârziere
8	64	Dispersie
12	96	Sursa de identificare
16	128	Timpul de actualizare
20	160	Timpul de actualizare
24	192	Timpul de începere
28	224	Timpul de începere
32	256	Timp de primire
36	288	Timp de primire
40	320	Timp de expediere.
44	352	Timp de expediere.

Indicator de corecție

Un exemplu de sincronizare a timpului utilizând NTP

Lungime - 2 biți, de la indicatorul LEAP. Un număr întreg care prezintă un avertisment despre o a doua coordonare.

Versiunea numarul

Lungime - 3 biți, de la numărul de versiune. Un număr întreg reprezentând versiunea protocolului.

Mod.

Lungime - 3 biți, din modul. Un număr întreg reprezentând modul. Valorile sunt prezentate în tabelul de mai jos.

Urmăriți stratul

Lungime - 8 biți, de la stratum. Un număr întreg reprezentând stratul de ceas.

Sondajul intervalului

Lungime - 8 biți, de la sondaj. Un număr întreg cu un semn reprezentând intervalul maxim între mesaje secvențiale. Valoarea este egală cu logaritmul binar de secunde. Limitele implicite ale anchetelor minime și maxime sunt de 6 și, respectiv, 10.

Precizie

Lungime - 8 biți, de la precizie. Un număr întreg cu un semn reprezentând acuratețea orelor de sistem. Valoarea este egală cu logaritmul binar de secunde. De exemplu, valoarea de -18 va corespunde acurateței a aproximativ 1 μs.

Întârziere

Lungime - 32 de biți, de la întârzierea rădăcinii. Timpul total de distribuție a semnalului în ambele părți în format scurt NTP.

Dispersie

Lungime - 32 de biți, de la dispersie rădăcină. Dispersie totală pentru sursa de timp în format scurt NTP.

Sursa de identificare

Lungime - 32 de biți, de la ID de referință. Codul sursă de sincronizare. Depinde de valoarea din câmpul de strat orar. Pentru stratul 0. - Acestea sunt patru caractere ASCII, numite "cod Kiss", sunt utilizate pentru depanare și monitorizare. Vedeți mai jos pentru stratul 1. - Acestea sunt cele patru octeți ale caracterelor ASCII, completate în stânga de zerouri atribuite pentru timpul de referință. Tabelul de mai jos oferă o listă susținută de Iana.

ID.	O sursă
Merge.	Satelitul geostaționar al sistemului de monitorizare și observare a mediului
GPS.	Sistem de poziționare globală
FATĂ.	Sistemul de localizare a "Galileo"
PPS.	Semnal radio comun cu o durată de puls de 1 secundă
Irig.	Grup de standardizare în telemetrie, Statele Unite ale Americii
WVB.	Transmițător radio cu frecvență joasă, 60 KHz, Fort Collins, Colorado, SUA
DCF.	Transmițător radio cu frecvență joasă, 77,5 kHz, DCF77, Mainflingen, Germania
Hbg.	Transmițător radio cu frecvență joasă, 75 KHz, Prangins, Elveția
MSF.	Transmițător radio cu frecvență joasă, 60 KHz, Anthorn, Regatul Unit
JJY.	Transmițător radio de joasă frecvență, 40 kHz, Fukushima, 60 KHz, Saga, Japonia
Lorc.	Transmițător radio de frecvență, 100 kHz, navigație radio, Loran-C
TDF.	Transmițător radio cu frecvență medie, 162 KHz, Allois, Franța
Chu.	Transmițător radio de înaltă frecvență, Ottawa, Ontario, Canada
Wwv.	Transmițător radio de înaltă frecvență, Fort Collins, Colorado, SUA
Wwvh.	Transmițător radio de înaltă frecvență, Kauai, Hawaii, SUA
Nist.
Acte.	Modemul telefonic al Institutului Național de Standarde și Tehnologii din Statele Unite
USNO.	Modemul telefonic al Observatorului Național al SUA
PTB.	Modem de telefon al Institutului Metrologic Național din Germania

Pentru stratul 2. Și mai sus este un identificator al serverului și poate fi utilizat pentru a înregistra bucle temporare. Dacă este utilizat IPv4, identificatorul reprezintă patru oscilații ale adresei IP. Dacă este utilizat IPv6, atunci acestea sunt primele patru adrese de hash octeți MD5. Este demn de remarcat faptul că atunci când se utilizează adresele IPv6 pentru server cu NTPV4 și client cu NTPV3, identificatorul poate avea o valoare aleatorie, motiv pentru care buclele temporare pot fi fixate.

Timpul de actualizare

Lungime - 64 biți, de la Timestamp de referință. Timpul când sistemul a fost instalat sau a ajustat timpul. Formatul NTP.

Timpul de începere

Lungime - 64 biți, de origine Timestamp. Timpul client când cererea este trimisă pe server. Formatul NTP.

Timp de primire

Lungime - 64 biți, de la primirea marcajului de timp. Ora serverului când cererea vine de la client. Formatul NTP.

Timp de expediere.

Lungime - 64 biți, de la Timestamp de transmisie. Ora serverului când cererea este trimisă clientului. Formatul NTP.

Mesajul NTP "Kiss-O" -Death "

Pentru stratul 0.care este considerat incert sau inacceptabil, câmp Sursa de identificare Acesta poate fi utilizat pentru a furniza mesaje care fac rolul datelor privind starea sistemului și controlul accesului. Astfel de mesaje sunt numite "Kiss-O" -Death "(KOD), iar datele ASCII livrate de acestea se numesc" coduri de sărutare "(coduri de ajutor). Lista codurilor de asistență din prezent este prezentată în tabelul de mai jos.

Beneficienții de mesaje KOD sunt obligați să le verifice și să urmeze acești pași:

Când primiți combinații de coduri Deny. și RRSTR. Clientul este obligat să spargă conexiunile virtuale cu acest server de timp și să oprească trimiterea mesajelor pe acest server.
Când primiți o combinație de coduri Rată. Clientul este obligat să reducă imediat intervalul de anchetă al acestui server și să continue să o reducă de fiecare dată când se obține această combinație de cod.
Când primiți o combinație de cod începând cu simbolul ASCII H.Destinate pentru efectuarea de studii experimentale și îmbunătățiri ulterioare, trebuie să fie ignorată dacă nu este recunoscută.
Toate celelalte combinații de coduri și mesaje KOD care nu sunt definite de acest protocol sunt distruse după verificarea lor.

Codurile de "ajutor"

Codul	Descriere
ACST.	Conexiunea virtuală este stabilită de un server Unicast.
Autori	Serverul de autentificare sa încheiat cu refuz
AUTO.	Secvența autoKey incorectă
BCST.	Conexiunea virtuală este setată de serverul de difuzare.
Cryp.	Autentificarea sau identificarea criptografică încheiată cu refuzul
Deny.	Serverul de la distanță a refuzat accesul
Cădere brusca.	Pierderea serverului de timp la distanță în modul simetric
RRSTR.	Nerespectarea accesului din cauza strategiei de securitate locală
Init.	Conectarea virtuală de la prima dată nu este stabilită
McST.	Sinconizarea virtuală este setată de un server detectat dinamic
Nkey.	Cheia nu a fost găsită (sau nu a fost încărcată niciodată sau nu este fiabilă)
Rată.	Viteza este depășită. Serverul a interzis temporar accesul, deoarece clientul a depășit pragul de viteză
Rmot.	Schimbarea conexiunii virtuale de la nodul IP la distanță utilizând direct protocolul NTP
Etapa.	A fost o iterație pentru a schimba timpul de sistem, sincronizarea virtuală nu este stabilită

Uita-te la straturi

Săgețile galbene indică o conexiune hardware; Săgețile roșii indică o conexiune la rețea.

NTP utilizează o rețea ierarhică în care fiecare nivel are numărul său propriu numit un strat. Stratul 1. - servere primare, sincronizate direct cu serviciile naționale de timp prin intermediul modemului prin satelit, radio sau telefon. Stratul 2. - servere secundare, sincronizate cu servere primare etc. De regulă, clienții NTP și serverele cu un număr relativ mic de clienți nu sunt sincronizate cu serverele primare. Există câteva sute de servere secundare publice care operează la straturi mai mari. Ele sunt alegerea preferată.

Formatul de timp

Timpul este prezentat în sistemul NTP cu un număr de 64 de biți (8 octeți), constând dintr-un metru de 32 de minute și un contor pe 32 de biți al celui de-al doilea secundă, permițându-vă să transferați timpul în intervalul de 2 32 de secunde, cu o precizie teoretică de 2-32 de secunde. Deoarece scala de timp din NTP se repetă la fiecare 22 de secunde (136 de ani), destinatarul trebuie cel puțin să știe timpul curentă (cu o precizie de 68 de ani). De asemenea, ar trebui să se țină cont de faptul că timpul se bazează de la miezul nopții pe 1 ianuarie 1900 și nu din 1970, deci din când în când NTP trebuie să fie dedus cu aproape 70 de ani (luând în considerare anii de salt) pentru a combina corect timpul cu Windows sau sisteme UNIX.

Formatul normal de timp

Pic	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23	24	25	26	27	28	29	30	31
0	Secunde
4	Acțiuni secunde

Formatul datei

Pic	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23	24	25	26	27	28	29	30	31
0	Numărul ERA.
4	Era antenantă
8	Solo.
16	Solo.

Sincronizarea timpului este o sarcină importantă, deși nu mulți s-au întrebat despre asta. Ei bine, rău în clasament pe server? Știți că multe probleme cu ceasul influențează protocoalele legate de criptografie? Din acest motiv, în Active Directory, diferența de ceas pentru mai mult de 5 minute va duce la problemele autentificării Kerberos.

Niveluri orare. Strata.

Pentru a înțelege dispozitivul NTP ar trebui să știți despre concept strata. sau strat.. Surse de timp autoritare, cum ar fi sateliții GPS, ceasul atomic de cesiu, radio WVVB Wave - toate acestea stratum 0.. Ele sunt autoritare pe motiv că au o modalitate de a menține timpul de înaltă precizie. Puteți, bineînțeles, să profitați de ceasul de cuarț obișnuit, dar știind că timp de o lună cu ei este ușor să pierdeți 15 secunde, este mai bine să nu le folosiți ca măsură de timp. Stratum 0. Acesta este momentul în care al doilea nu este pierdut timp de 300.000 de ani!

Calculatoarele care sunt direct (nu online!) Luați timp stratum 0. - aceasta este stratum 1.. Deoarece există întotdeauna întârzieri din cauza transmiterii semnalului și a setării timpului, apoi computerele stratum 1. nu atât de precis ca stratum 0.Dar, în viața reală, diferența atinge o pereche de microsecunde (1 μs \u003d 10-6 ° C), care este o abatere complet admisă.

Următorul nivel de computere necesită timp în rețea stratum 1. - Asta e ... Drum ... Intriga ... stratum 2.Fotografiile! Din nou din cauza diverselor întârzieri (exact în rețele), stratum 2. Există un pic în spatele OT stratum 1. Și cu siguranță de la stratum 0.. În practică, aceasta este diferența față de mai multe microsecunde (1 μs \u003d 10-6 ° C) la mai multe milisecunde (1 ms \u003d 10-3 s). Mulți doresc să se sincronizeze cu stratul nu mai departe stratum 2..

Deoarece este clar din sistem, stratum 4. nevoie de timp la cea mai mare stratum 3.. stratum 5. W. stratum 4. etc. stratum 16. Este considerat cel mai mic strat și timp în care se ia în considerare non-indemnizat.

Pentru a sincroniza timpul utilizând protocolul NTP, trebuie să vă stabiliți mai întâi timpul. Diferența dintre timpul exact și citirile ceasurilor dvs. de peste 1000 de secunde este inacceptabilă. Dacă serverul de timp pe care îl utilizați este situat mai mult de 1000 de milisecunde (1 secundă), acesta va fi exclus din listă și altele vor fi utilizate. Acest mecanism vă permite să tăiați sursele de timp proaste.

Timpul clientului.

În fișierul /etc/ntp.conf, șirurile de servere sunt importante pentru client. Pot exista mai multe dintre ele - până la 10 bucăți!

Cât de mult de adăugat? Ar trebui să fie luată în considerare:

Dacă aveți un singur server (un șir de server), atunci dacă acest server începe să mintă, îl veți urma orbește. Dacă o rulează timp de 5 secunde și veți fi simțiți în următorul.
Dacă sunt adăugate 2 servere (2 linii de server), NTP le va marca atât ca fALSE TICKERS.. Dacă unul dintre ei se află, NTP nu poate înțelege cine minte, pentru că nu există cvorum.
Dacă se adaugă server de 3 sau mai multe timp, puteți calcula o singură mână fALSE TICKERS.. Dacă serverele de timp 5 sau 6, atunci puteți găsi 2 minciuni fALSE TICKERS.. Dacă serverele 7 sau 8, apoi 3 fALSE TICKERS.. Dacă serverele 9 și 10, apoi 4 fALSE TICKERS..

Proiectul Pool NTP.

Există un astfel de proiect de piscină NTP la adresa POOL.NTP.org/zone/ru/ Puteți găsi serverul de timp recomandat utilizatorilor ruși.

server 0.ru.pool.ntp.org.
Server 1.ru.pool.ntp.org.
Server 2.ru.pool.ntp.org.
Server 3.ru.pool.ntp.org.

Sistemele de operare, cum ar fi Debian și Ubuntu să ofere utilizatorilor serverele lor de timp.

server 0.debian.pool.ntp.org.
Server 1.debian.pool.ntp.org.
Server 2.debian.pool.ntp.org.
Server 3.debian.pool.ntp.org.

server 0.ubuntu.pool.ntp.org.
Server 1.ubuntu.pool.ntp.org.
Server 2.ubuntu.pool.ntp.org.
Server 3.ubuntu.pool.ntp.org.

Dacă sunați la computerul dvs. Linux care utilizează comanda NTP, NTPQ -PN

Refuzul la distanță St t Când sondajul REACH Întârzieri Offset Jitter \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d +93.180.6.3 77.37.134.150 2 U 62 1024 377 53.658 -85.21.78.23. 2.196 -91.189.94.4 193.79.237.14 2 U 596 1024 377 100.219 1.562 1.482

Care sunt numele coloanelor:

la distanta. - Servere la distanță cu care vă sincronizați timpul.
refacere - Stratum mai mare pentru acest server.
sf. - nivelul stratului. De la 0 (nu sunt disponibile pentru noi) la 16 (nu suntem de dorit). Ideal - 2.
t. - tipul conexiunii. " u."- Unicast sau multe imagini" b."- difuzat sau multicast", l."Ceas de referință local" s."- nod simetric", A."- Server multiplu" B."- Server de difuzare" M."- Server multicast.
cand. - Timpul în care ultima dată când serverul ne-a răspuns. Parametrul afișează un număr în câteva secunde, dar mai în câteva minute dacă numărul este m. sau în ore dacă h..
sondaj - frecvența sondajului. Minim 16 secunde, maximum 32 de ore. Numărul trebuie să fie de 2 n. În mod tipic, acest parametru este observat sau 64 secunde sau 1024.
a ajunge. - 8 biți ai unui octet care arată starea de comunicare cu un ora serverului de la distanță: reușită sau eșec. Dacă biții sunt setați - apoi cu succes, altfel - eșec. Valoarea de 377 - binar este 0000 0000 1111 1111.
ÎNTÂRZIERE. - Valoarea din milisecunde arată timpul dintre trimiterea și primirea răspunsului (Timpul de călătorie rotund - RTT).
decalaj. - Offset în milisecunde între tine și servere de timp. Poate fi un număr pozitiv și negativ.
jitter. - Valoarea absolută în milisecunde indică abaterea RMS a deplasării dvs.

Înainte de adresa IP a serverului NTP există un caracter - este codul de cod.. Vizualizări codul de cod.:

" " - respins ca inacceptabil. De exemplu, nici o legătură cu ea sau este offline, este prea mare și nu servește, cum ar fi tu.
"X" - încorporată de algoritmul "intersecție" (algoritmul de intersecție). Algoritmul de intersecție pregătește lista candidaților partenerilor care pot deveni surse de sincronizare și calculează intervalul de încredere pentru fiecare dintre ele.
"." - aruncate datorită depășirii mesei.
"-" - Algoritmul clusterului (algoritmul clusterului) este aruncat. Algoritmul de clustering sortează lista candidaților pentru codurile stratului și distanțele de sincronizare.
"+" - Serverul este inclus de algoritmul combinat (combinați algoritmul). Acest server este un candidat excelent dacă serverul de timp curent începe să vă refuzați.
"#" - Serverul este un server de timp alternativ excelent. Serverul C # poate fi văzut numai dacă aveți mai mult de 10 server de înregistrare în /etc/ntp.conf
"*" - serverul de timp curent. Citirile sale sunt folosite pentru a vă sincroniza ceasurile.
"O" - Pulse pe al doilea server (PPS). Aceasta înseamnă, de obicei, că acest server de timp utilizează sursele de sateliți GPS de tip și alte semnale de timp exact. Dacă trage despre, alte tipuri de coduri de tal nu vor fi afișate.

În câmpul refacere Următoarele valori pot fi:

Adresa IP - adresa serverului de timp la distanță.
.Aksst.- NTP Multecast Server.
.Acts.- Serviciu automat de timp al informaticii de la Institutul Național American de Standarde și Tehnologie.
.Auth.- Eroare de autentificare.
.Auto.- Eroare în secvențele autokye.
.Bcst.- NTP Broadcast Server.
.Chu.- Receptor radio Shortwave de la stația Chu din Ottawa, Ontario, Canada.
.Crypt.- Eroare de protocol autoKey.
.Dcfx.- Receptor radio LF de la stația DCF77 din Mainflingen, Germania.
.Den. - La acces este refuzat.
.Gal.- Receptor european de satelit Galileo.
..- Receptor de mediu de mediu geostaționar american.
.Gps. - Receptor american de poziționare globală.
.Hbg.- LF Receptor radio de la stația HBG din Prangins, Elveția.
.Init.- Asociația peer inițializată.
.Irrig.- Codul de timp al grupului de instrumente inter-interval.
.Jy.- Receptor radio LF de la stația JJY din Muntele Otakadoya, lângă Fukushima sau Muntele Hagane pe Insula Kyushu, Japonia.
.LFX.- Receptor radio normal LF.
.Locl. - Ceas gazdă local.
. Receptor radio Lon de la navigarea pe distanțe lungi (LORAN-C).
.Mst.- NTP Multicast Server.
.Sf.- Stația de radio Antorn lângă Anthorn, Cumbria.
.Nist.- Institutul Național de Standarde și Tehnologie americană.
.Pps.- Puls pe al doilea ceas.
.PTB.- Physikalisch-Technische Bundesanstalt de la Brunswick și Berlin, Germania.
.Rate. Pragul de sondaj NTP este depășit.
.Step.- Schimbarea pasului NTP. Părtinire decalaj. Mai puțin de 1000 de milisecunde, dar mai mult de 125 de milisecunde.
.TDF.- Receptor radio LF de la stația Télédiffus de France din Allouis, Franța.
..- Timp de asociere NTP.
.Sno.- Observatorul Naval al Statelor Unite.
.Wwwv.- Receptor radio HF de la stația WWV din Fort Collins, Colorado, Statele Unite.
.Wwwvb.- Receptor radio LF de la stația WVVB din Fort Collins, Colorado, Statele Unite.
.Wwwvh.- Receptor radio HF de la stația WWVH din Kekaha, pe insula Kauai pe Hawaii, Statele Unite ale Americii.

În primul rând, scapați de gândire cum să obțineți timp de la stratum 1., ei spun că sunt mai aproape de timpul exact. Ele sunt mai aproape de o perioadă extremă de pe planetă, numai ei înșiși sunt supraîncărcați și au întârzieri ridicate RTT pentru serverele obișnuite. Este mai bine să găsiți normal stratum 2. Și nu vă faceți griji cu privire la asta. Nu uitați că vorbim despre microsecunde și milisecunde că în viața obișnuită este destul de suficient.

În al doilea rând, amintiți-vă că conexiunea la cel mai apropiat server de timp nu este întotdeauna opțiunea perfectă. Este mai importantă, nu proximitatea teritorială și nivelul stratului. Proiectul Pool NTP publică o listă de servere numai nivel stratum 1. și stratum 2. Și este mai bine să luați până la 10 servere servere din această listă, ceea ce va fi minunat.

În al treilea rând, dacă sunteți un client simplu de origine, atunci serverele recomandate pentru dvs. în sistemul dvs. de operare vor fi o opțiune ideală care nu necesită televisiuni inutile.

Pentru birourile mari, cea mai bună opțiune vă va ridica serverul de timp pentru computerele de lucru. Acest server va obține timpul exact de la serverele de timp de pe Internet și va oferi computere locale. Pe serverele debian și Ubuntu, este suficient să rezolvați șirul

Restricționați 192.168.0.0 Masca 255.255.0.0 Nomody Inds

În fișierul de configurare al demonului NTPD - /etc/ntp.conf

Utilizatorii din 192.168 / 16 vor putea să ia citirile celor mai eliminate ore de pe serverul dvs. Pentru serverele interne bazate pe Linux, care nu sunt servere de timp și sunt angajate în sarcinile lor, în loc să lanseze un daemon NTPD în modul client - este suficient să specificați în fișierul /etc/cron.daily/SyncNTPD. Se recomandă citirea diferențelor dintre Ntpdate și NTP și rezolvați întrebarea pentru dvs.
#! / bin / sh
Usr / sbin / ntpdate ip.Adrest. Serverul\u003e / dev / null 2\u003e & 1
Ieșiți 0.

Și o dată pe zi, datorită comenzii NTPDate, se va face sincronizarea timpului. Pentru a evita neînțelegerile, nu fiți etichetați înainte de a implementa serverul de timp și sincronizarea tuturor și a întregului protocol NTP - Setați ora corectă pe toate serverele și stațiile de lucru disponibile pentru dvs. Dacă timpul dvs. inconspicuos este prea diferit de cel potrivit, atunci puteți întârzia mai întâi o mulțime de probleme nu necesare.

În al patrulea rând, NTP nu este în nici un caz conectat în țara și ce zone de timp sunt folosite și cum este tranziția spre vara și timpul de iarnă și există o astfel de tranziție în această țară. Această datorie se află pe sistemul de operare pe care trebuie să îl actualizați dacă apar schimbări în afacerile de vizionare în țară. În sistemele Debian și Ubuntu, pachetul TZDATA este responsabil pentru aceasta, care ar trebui să fie relevantă.

În al cincilea rând, este mai bine să nu ridicați serverul NTP pe un sistem de înaltă încărcare.

Mai întâi, decidem pentru ce să sincronizăm timpul pe echipament, cum ar fi: comutatoare, routere, firewall-uri și așa mai departe.

Acest lucru se face mai întâi pentru a urmări jurnalele atunci când acesta sau evenimentul sa întâmplat. Și vă puteți imagina ce beneficii vor fi din bușteni, dacă timpul nu este sincronizat .. Dreptul - Nu.

Protocol NTP. Lucrări bazate pe protocol UDP., prin 123 port.

Acest protocol are o ierarhie pentru sincronizarea sistemelor, cu alte cuvinte.

Nivelul 1 este atribuit unui sistem care este sincronizat cu ore de înaltă precizie, de exemplu, prin GPS.

Sistemul care se va sincroniza de la nivelul 1 va avea nivelul 2 și așa mai departe.

Astfel, putem determina cum exact stația cu care ne sincronizăm.

În situația noastră, avem o mașină cu timp exactă în rețeaua noastră, este configurată pe baza FreeBSD, de la această mașină, dispozitivul principal de rețea va dura timpul (sincronizare) și, prin urmare, devine principalul pentru alte dispozitive de rețea (în ideologia Maestrului Cisco NTP).

Vreau să menționez faptul că NTP este transmis numai în format UTC (Greenwich), fiecare fusul de timp este ajustat nu mediocru pe bucata de fier.

Să luăm în considerare un exemplu de setare simplă NTP.

Pentru a începe, sincronizarea timpului de pe routerul nostru principal (care va fi distribuit de alte dispozitive de rețea). Pentru aceasta intrăm în modul de configurare globală:

nTP Server 10.0.100.254.

unde, 10.0.100.254 În cazul nostru, aceasta este o mașină cu FreeBSD având exact timpul.

Acest lucru este suficient pentru o configurație minimă.

Acum, verificați dacă am reușit să vă conectăm la serverul de timp și să obținem timp de la acesta, pentru că noi folosim echipa:

trebuie să vadă ceva similar:

Un asterisc opus IP-ului serverului nostru NTP, ne spune că totul este bine, conexiunea este cel puțin instalată.

Acum, să vedem dacă timpul sincronizat?

Dacă totul este sincronizat, atunci trebuie să vedem următoarele:

Timpul este obținut, acum trebuie să instalați fusul orar de care aveți nevoie. De asemenea, face în modul Global Configuration:

ceas timezone MSK / MSD 3

Acum, să verificăm ora:

Totul e minunat.

Să mergem la configurarea routerului la modul Wizard.

Pentru această setare, avem nevoie de faptul că acest router master și specificați nivelul (în Cisco este numit ca număr de strat), cel pe care am vorbit la început, voi indica nivelul celei de-a cincea.

Acum, să încercăm să configuram NTP pe un alt setter, astfel încât să fie sincronizat din routerul nostru principal, se face în același mod ca și de asemenea, setă de sincronizarea serverului cu serverul FreeBSD.

nTP Server 10.0.100.1 Preferă

unde, 10.0.100.1 este routerul nostru de cap.

prefera. Acesta este un cuvânt cheie care indică faptul că acest server NTP este o prioritate (chiar poate fi prescris că nu este posibil să se sincronizeze de la un singur server, dar de la mai multe, acest lucru se face pentru faptul că dacă nu este disponibil sau timpul este prea diferită de ceilalți ceea ce spune el, ceea ce - atât de probleme, dispozitivul poate trece la un alt server de timp și preferă să facă acest server mai preferabil decât alții.)

de asemenea, subliniem Timson de care aveți nevoie.

ceas timezone MSK / MSD 3

Verifica:

Totul este minunat, totul funcționează.

Ia în considerare acum problema de securitate.

Pentru a începe, vom analiza problema limitării utilizării ACL, care se poate sincroniza și care nu este.

Totul este destul de standard și transparent.

Pe serverul de timp, creați un ACL adecvat:

lista de acces 20 Observație Acces la Sync NTPlista de acces 20 Permis 10.0.100.3

acum vom învăța această listă de acces la NTP.

nTP de acces pentru grupul de acces - numai 20

Dacă totul este configurat corect, conexiunea cu NTP Nord va stabili și sincronizarea va avea succes.

De asemenea, puteți prescrie o listă de acces la clienți. Ce servere de timp puteți contacta. Acest lucru se face ca:

listă de acces 20 Remarca Access Sync la NTP Servlista de acces 20 Permis 10.0.100.1

Lista de acces NTP NTP

nTP Access-Group Peer 20

Acum luați în considerare securitatea bazată pe autentificare.

Totul este, de asemenea, destul de transparent.

Configurația NTP este suficientă pentru a adăuga următoarele:

nTP Autentificare-cheie 1 MD5 15060E1F10243F34 7nTP autentifică.nTP Trusted-cheie 1

am setat prima comandă a cheii de autentificare, a doua pornire a autentificării, iar al treilea indică faptul că autentificarea se efectuează pe prima tastă. Este utilizat pe fiecare dintre părți (server - client). Asta-i tot. Sa dovedit un mic curs introductiv privind înființarea NTP pe dispozitivele Cisco. Pentru depanare, folosim:

ASW-M # Debug NTP?reglați ajustările ceasului NTPautentificare Autentificare NTP.evenimente NTP Evenimente.filtru de buclă Loopfilter NTPpachete NTP pachete.parametri NTP Parametrii ceasuluireflock NTP Ceasuri de referințăselectați selecția ceasului NTPsincronizarea ceasului NTP Sync NTPvalabilitate NTP Valabilitate de ceas de la egal la egalASW-M # Debug NTP

Includeți tot ceea ce suntem interesați, cum ar fi evenimentele, sincronizarea, auth și privim ceea ce se întâmplă. Dacă am mers la dispozitiv prin ssh / telnet nu uita Ter Mon 🙂