Reklama na portálu

Jaký je rozdíl mezi protokolem synchronizace času NTP od SNTP? Sledujte, co je "NTP" v jiných slovech Synchronizace časově synchronizace pomocí NTP.

Network Time Protocol je síťový protokol pro synchronizaci interních hodin počítače pomocí sítí s proměnnými latencí na základě spínání paketů.

Ačkoli tradičně NTP používá protokol UDP pro svou práci, je také schopen pracovat na vrcholu protokolu TCP. Systém NTP je extrémně odolný vůči změnám v latenci přenosového média.

Čas se zobrazí v systému NTP s 64bitovým číslem sestávajícím z 32bitového měřiče sekund a 32bitovým protokolem akcií, což vám umožní přenášet čas v rozsahu 2 32 sekund, s teoretickou přesností 2- 32 sekund. Vzhledem k tomu, že časové stupnice v NTP se opakuje každých 2 32 sekund (136 let), příjemce musí přinejmenším znát aktuální čas (s přesností 68 let). Mělo by být také třeba mít na paměti, že čas se počítá od půlnoci dne 1. ledna 1900, a ne od roku 1970, takže od času na NTP potřebujete odečíst téměř 70 let (včetně přestupných let), abyste správně kombinovali čas s okny nebo Systémy UNIX.

Jak to funguje

NTP servery pracují v hierarchické síti, každá úroveň hierarchie se nazývá úroveň (stratum). Tier 0 je reprezentován referenčními hodinami. Systém globálního polohovacího systému (automatizovaná doba počítače) je pořízena standardní. Na nulovém serveru nuly nefungují.

NTP servery Yarusa 1 přijímají data v čase z referenčních hodin. NTP servery 2 synchronizovány s úrovní Servery 1. Tam může být až 15 úrovní.

NTP servery a klienty NTP přijímají data včas od serverů Yarus 1, i když je lepší neudělat to v praxi klientů NTP, protože tisíce jednotlivých požadavků klientů budou příliš těžké pro servery typu Tier 1. Je lepší nakonfigurovat a Místní server NTP, který vaši zákazníci budou používat pro časové informace.

Hierarchická struktura protokolu NTP je tolerantní a redundantní. Zvážit příklad jeho práce. Dva servery Yarus 2 NTP jsou synchronizovány se šesti různými yarus servery 1, z nichž každá - nezávislý kanál. Vnitřní uzly jsou synchronizovány interními servery NTP. Dva NTP servery Yarusa 2 koordinují s sebou. V případě propojení odkazu s typem Tier Server 1 nebo s jedním z serverů úrovně 2, úroveň overburden serveru 2 předpokládá proces synchronizace.

Stejně tak mohou uzly a zařízení Tier 3 použít některý z serverů Tier 2. Ještě důležitější je, že přítomnost redundantní sítě NTP serverů zajišťuje konstantní dostupnost časových serverů. Synchronizován s více servery přesného času, NTP používá všechny zdroje dat pro výpočet nejpřesnějšího času.

Stojí za zmínku, že protokol NTP nestanoví čas v čisté formě. Upravuje místní hodiny pomocí dočasného posunutí, rozdíl mezi časem na serveru NTP a místním hodinám. NTP servery a klienty nastavují hodiny, synchronizovat aktuální čas postupně buď současně.

Nejprve se rozhodneme o tom, co synchronizovat čas na vybavení, jako jsou: přepínače, směrovače, firewall, a tak dále.

To se provádí jako první, aby bylo možné sledovat protokoly, když se tato událost stala. A můžete si představit, jaký bude přínos z protokolů, pokud čas není synchronizován .. vpravo - ne.

Protokol Ntp. Pracuje na základě protokolu UDP., přes 123 port.

Tento protokol má nějakou hierarchii pro synchronizační systémy, jinými úrovněmi slov.

Úroveň 1 je přiřazena systému, který je synchronizován s vysoce přesnými hodinami, například prostřednictvím GPS.

Systém, který bude synchronizovat z úrovně 1 bude mít úroveň 2 a tak dále.

Můžeme tedy určit, jak přesně stanice má stanici, se kterou jsme synchronizaci.

V naší situaci máme auto s přesným časem v naší síti, je nakonfigurován na základě FreeBSD z tohoto stroje, hlavní síťové zařízení bude trvat čas (synchronizovat), a tím se stává hlavní pro jiná síťová zařízení (v ideologii Cisco NTP Master).

Chci poznamenat, že NTP je přenášen pouze ve formátu UTC (Greenwich)Každý časový pás je upraven ne mediokre na kusu železa.

Zvažme příklad jednoduchého nastavení NTP.

Chcete-li začít, synchronizace času na našem hlavním směrovači (který bude distribuován jinými síťovými zařízeními). Pro to jdeme do globálního režimu konfigurace:

nTP server 10.0.100.254.

kde, 10.0.100.254 V našem případě je to auto s FreeBSD mít přesný čas.

To je dostačující na minimální konfiguraci.

Nyní zkontrolujte, zda jsme se mohli připojit k časovému serveru a dostaneme od něj čas, pro to používáme tým:

musí vidět něco podobného:

Asterisk naproti IP našeho NTP serveru nám řekne, že vše je v pořádku, připojení je alespoň nainstalováno.

Podívejme se, zda je čas synchronizován?

Pokud je vše synchronizováno, musíme vidět následující:

Získá se čas, nyní musíte nainstalovat potřebné časové pásmo. To také dělá v režimu globální konfigurace:

hodiny TimeZone MSK / MSD 3
Zkontrolujme čas:

Všechno je skvělé.

Přejděte na nastavení náš router do režimu průvodce.

Pro toto nastavení potřebujeme, že tento router mistr a určit úroveň (v Cisco je nazýván jako stratum číslo), ten, který jsem mluvil na začátku, uvádím úroveň pátého.

Nyní se snažíte nakonfigurovat NTP na jiném Setteru, takže je synchronizován z našeho hlavního routeru, to se provádí stejným způsobem, jaký také nastavit synchronizaci serveru s FreeBSD serverem.

nTP Server 10.0.100.1 Dávejte přednost

kde, 10.0.100.1 je náš hlava router.

raději. Toto je klíčové slovo, které označuje, že tento server NTP je prioritou (i to může být předepsáno, že není možné synchronizovat z jednoho serveru, ale z několika, to se provádí pro skutečnost, že pokud není k dispozici, nebo čas Je příliš odlišný od ostatních, co říká, co - tak problémy, přístroj může přepnout na jiný časový server a dávat přednost tomu, aby tento server byl preferován více než ostatní.)

také poukazujeme na Timson, který potřebujete.

hodiny TimeZone MSK / MSD 3

Šek:

Všechno je úžasné, všechno funguje.

Nyní zvažte bezpečnostní problém.

Chcete-li začít s, budeme analyzovat otázku omezení pomocí ACL, který může synchronizovat a kdo není.

Všechno je poměrně standardní a transparentní.

Na serveru TIME vytvořte vhodné ACL:

přístupový list 20 Poznámka Přístup k syncu NTPpřístupový list 20 povolení 10.0.100.3

nyní se naučíte tento seznam přístupu k NTP.

nTP Skupina Access-Skupina slouží pouze 20

Pokud je vše nakonfigurováno správně, připojení s NTP Severem bude navázáno a synchronizace bude úspěšná.

Můžete také předepisovat seznam přístupových klientů. Jaké časové servery můžete kontaktovat. To se děje jako:

access-list 20 Poznámka Synchronizace přístupu k NTP SUPpřístupový list 20 povolení 10.0.100.1

Seznam přístupu NTP

nTP Access-Group Peer 20

Zvažte bezpečnost na základě ověřování.

Všechno je také poměrně transparentní.

Konfigurace NTP stačí přidat následující:

nTP Authentication-Key 1 MD5 15060E1F10243F34 7nTP autentizace.nTP důvěryhodný klíč 1
nastavili jsme první příkaz ověřovacího klíče, druhý zapnutí ověřování a třetiny označují, že ověřování se provádí na prvním tlačítku. Používá se na každém ze stran (server - klient). To je vše. Ukázalo se malý úvodní kurz o nastavení NTP na zařízení Cisco. Pro ladění používáme:
ASW-M # ladění ntp?upravte úpravy hodin NTPověřování ověřování NTPudálosti Události NTP.loopfilter NTP smyčka filtrpakety pakety NTP.parametry parametrů hodin ntprefClock NTP referenční hodinyvyberte možnost NTP Hodinysynchronizace hodin NTP hodinplatnost NTP Peer Clock PlatnostASW-M # ladění ntp
Zahrnout vše, co nás zajímá, jako jsou události, synchronizace, auth a podívejte se na to, co se stane. Pokud jsme šli do zařízení přes SSH / Telnet nezapomeňte Nezapomeňte TER MON 🙂

Proč potřebujete přesný čas?

A kdo potřebuje tento přesný čas? Samozřejmě, že je to pro nás nezbytné, uživatelé, aby nás méně pozdě. Představte si moderní letiště - pro jeho pracovní stovky pilotů a dispečerů by měly používat nezaměnitelně dosahující hodiny. Registrační systém zboží ve skladech, nemocničních institucí, jízdenkách na prodej vstupenek na prodej koleje a mnoho dalších institucí vyžadují, že čas na všech předmětů systému do jednoho stupně nebo jiného byly stejně. Zejména počítače. Mají spoustu služeb a programů, pro běžný provoz, z nichž je nezbytný přesný čas, a zpravidla přesnější než obvykle potřebujete, lidé. Systémové služby, součásti bezpečnostního systému a pouze aplikované programy mohou být velmi kritické pro přesnost hodin. Nejvýraznější příklad těchto služeb je ověřovací protokol Kerberos. Je to nezbytné, aby jeho práce byla na počítačích, přístup, ke kterému se provádí pomocí tohoto protokolu, systémový čas se liší ne více než 5 minut. Přesný čas na všech počítačích značně usnadňuje analýzu bezpečnostních záznamů při vyšetřování incidentů v místní síti.

Protokol NTP

NTP (Network Time Protocol) je protokol určený k synchronizaci času v síti. Jedná se o sadu dostatečně složitých algoritmů určených k zajištění vysoké přesnosti (až několik mikrosekund) a převzetí služeb při selhání synchronizace časového synchronizace. Protokol zahrnuje simultánní synchronizaci s více servery.

Existuje několik verzí tohoto protokolu s některými rozdíly. Třetí verze tohoto protokolu v roce 1992 byla standardizována jako RFC 1305. Čtvrtá (v tuto chvíli) zavádí některé vylepšení (automatická konfigurace a ověřování, zlepšování synchronizačních algoritmů) ve srovnání s třetím, ale není standardizována v RFC.

Kromě toho, kromě protokolu NTP, je SNTP (Jednoduchý časový protokol sítě). Na úrovni balíčků jsou tyto dva protokoly plně kompatibilní. Hlavním rozdílem mezi nimi je, že SNTP nemá komplexní filtrovací systémy a vícestupňová korekce chyb, která je k dispozici v NTP. SNTP je tedy zjednodušen a jednodušší při implementaci verze NTP. Je určen pro použití v těchto sítích, kde není vyžadována velmi vysoká přesnost času, a v implementacích z Microsoft Corporation poskytuje přesnost do 20 sekund v rámci podniku a ne více než 2 sekundy na jedné stránce. Protokol SNTP je standardizován jako RFC 1769 (verze 3) a RFC 2030 (verze 4).

Model synchronizace NTP předpokládá hierarchickou strukturu. Na první úrovni hierarchie jsou tzv. "Primární" časové servery (první stratum). Nachází se na různých místech po celém světě a mají nejpřesnější čas. Tyto servery jsou relativně málo, protože přesný čas je udržován pomocí drahého specializovaného vybavení (rádiový kanál, satelitní kanál). Druhé stratum servery (druhá stratum) jsou synchronizovány s prvním serverem úrovně pomocí protokolu NTP. Jsou již mnohem větší, ale jsou již poněkud pozastaveni (od 1 do 20 milisekund) vzhledem k "primárním" serverům. Dále mohou servery třetího, čtvrtého a následného úrovně jít:

S přechodem na každou úroveň se chyba zvyšuje vzhledem k primárnímu serveru, ale celkový počet serverů se zvyšuje, a proto se jejich nakládání snižuje. Proto jako externí zdroj synchronizace namísto použití primárních serverů, které mají nejpřesnější čas, doporučuje se používat sekundární servery podle méně načtených.

Pro synchronizaci času v systému Windows 2000 / XP / 2003 se používá protokol SNTP. Podpora tohoto protokolu je implementována jako služba systému Windows Time System, která je součástí operačního systému MS Windows 2000 / XP / 2003. Výrazným rysem této implementace je, že služba Windows Time Service podporuje ověřování domény při přístupu na referenční časový server, který je důležitý z hlediska zabezpečení.

Existuje několik možností pro službu SNTP v systému Windows:

  • Hierarchické (NT5DS). Ve výchozím nastavení pro všechny počítače v kombinaci do domény. Synchronizace času na pracovní stanice a doménové servery se provádí na hierarchii. Tak, pracovní stanice a běžné servery jsou synchronizovány s řadičem domény, ověřeným vstupem, řadiči domény - vlastníkem operace emulátoru PDC, který je zase synchronizován s řadičem domény stojícího na vyšší úrovni hierarchie. Je třeba poznamenat, že tento postup synchronizace se používá "ve výchozím nastavení" a lze jej předefinovat ručně nebo pomocí zásad skupiny. Jak to udělat, bude hovořit níže.
  • Nucená synchronizace s vybraným serverem NTP (NTP). V tomto případě je zdrojem referenčního času pro čas Windows nainstalován buď ručně nebo pomocí zásad skupiny.
  • Zakázat synchronizaci (NOSYNC). Tento režim je vyžadován pro schéma údržby smíšeného času, ve kterém se produkt třetí strany používá pro synchronizaci s externím zdrojem a čas Windows se používá k udržení času v rámci domény.

Tak, v případě pracovní skupiny bude muset být synchronizace času stále nastavena ručně. Jeden z počítačů lze například nakonfigurovat pro synchronizaci s externím serverem pomocí protokolu SNTP a zbytek je synchronizovat. Akce nezbytné pro to budou popsány níže.

Pro doménu se doporučuje používat hierarchickou synchronizaci protokolu SNTP. Ve většině případů poskytuje přijatelnou přesnost systémového času v rámci doménového lesa. Kromě toho automaticky zajišťuje aktualizaci zabezpečení díky podpoře ověřování služby Active Directory. Chcete-li podpořit "správný" čas v doméně, je nutné synchronizovat řadič domény na nejvyšší úrovni, který vlastní roli "PDC emulátor" s externím serverem NTP. V našem příkladu bude role takového serveru Linux stroj s pracovním démonem NTPD.

Nastavení SNTP v systému Windows

Dva utility se používají ke konfiguraci služby Windows Time Service:

  • Čistý čas.
  • W32tm.

Čistý čas se používá hlavně pro konfiguraci časové služby a W32TM je monitorovat a diagnostikovat práci. V systému Windows XP / 2003 však nástroj W32TM prošla významnými změnami a lze jej použít ke konfiguraci časové služby. Nastavení NTP Dále bude provedeno na příkladu systému Windows XP / 2003.

Aby bylo možné "ručně" zadat zdroj synchronizace pomocí čistého času, stačí zapsat na příkazovém řádku:

et Time / SetsNTP: Servery List_bers_bel

Informace o aktuálním časovém serveru:

Čistý čas / dotazntp

Můžete najít čas na řadiči domény takto:

Čistý čas / doména: jméno Domen

A synchronizovat čas s takovým řadičem domény:

Čistý čas / doména: Domen_name / Set

Systémový nástroj W32TM lze provést všechny stejné a ještě více:

  • w32TM / Resync - Pomocí tohoto příkazu můžete vynutit místní nebo vzdálený počítač synchronizovat čtení systémových hodin s časovým serverem, který jej používá.
  • w32tm / config - Tento příkaz slouží ke konfiguraci časové služby Windows. S ním můžete nastavit seznam použitých časových serverů a typu synchronizace (hierarchické nebo vybrané servery).

Například, aby bylo možné přepsat výchozí hodnoty a konfigurovat synchronizaci času s externím zdrojem, můžete použít příkaz:

w32TM / CONFIG / SYNCFROMFLAGS: Manuální / manualpeerlist: Peerlist

A v pořadí pro čas Windows pro použití nových nastavení, můžete použít příkaz namísto restartování služby:

w32tm / config / update

Kromě toho jsou v W32TM k dispozici následující parametry spojené s časem monitorování v počítačích.

  • w32TM / MONITOR - S touto volbou můžete zjistit, jak se systémový čas tohoto počítače liší od času na řadič domény nebo jiné počítače.
  • w32TM / StripCart - graficky zobrazuje časový rozdíl mezi aktuálním a vzdáleným počítačem.
  • w32TM / Register - registruje službu Windows Time Service jako službu v tomto počítači. Tato volba může být užitečná v počítačích, které nejsou zahrnuty do domény, protože výchozí čas na nich je zastaven.

Pro více informací o parametrech síťového času a nástrojů W32TM lze získat pomocí /? Nebo otevření příslušné části systému nápovědy "Nápověda a podpůrné centrum" MS Windows XP / 2003.

Je snadné hádat, že nastavení služby Windows Time Service jsou uložena v registru systému Windows v HKEY_LOCAL_MACHINE SYSTEM SYSTEM CURVECTCONALCONTROLSSET SLUŽBY W32TIME Sekce \\ t

Kořen oddílu definuje servisní parametry služby samotné, v konfigurační konfiguraci - nastavení spojená s prací samotného prací SNTP protokolu, režim synchronizace je určen v přípojkách parametrů. Nastavení zákazníka a serveru SNTP jsou umístěny v časech Timeproviders ntpclient a timeproviders ntpsperver připojení. Zvažte základní hodnoty, které určují nastavení klienta NTP a serveru:

  • Typ - Určuje režim klienta NTP (NTDS5 - hierarchické, NPTP - "ručně", NOSYNC - Nesynchronizujte, AllSync - všechny typy synchronizace jsou k dispozici);
  • Povoleno - Určuje, zda je tato komponenta (klienta nebo server) povolena;
  • CrossSitesyncflags - Určuje, zda se synchronizace času se zdrojem mimo doménu, pokud je použita hierarchická synchronizace (0 - Je nemožné, 1 je pouze s emulátorem PDC, 2 - s každým);
  • EventLogflags - Určuje, zda budou zprávy z doby Windows zapsat do protokolu nebo ne (velmi užitečná funkce při ladění práce).

Další možností pro nastavení časové doby Windows je používání zásad skupiny. Nastavení jsou definována v objektu Zásady skupiny na následující adrese: "Konfigurace počítače -\u003e Šablony pro správu -\u003e Systém -\u003e Služba Windows Time Service".

Pokud jste nainstalovali Server systému Windows 2000 a nenalezli jste takové nastavení - ne zoufalství, stačí aktualizovat "šablony pro správu". Chcete-li to provést, zkopírujte ze systémové složky System32 Grouppolicy ADM jakýkoliv počítač se systémem Windows XP nainstalován all.adm soubory na server, který je řadičem domény. Dále definováním objektu Zásady skupiny klepněte pravým tlačítkem myši na položku "Šablony pro správu" a vyberte možnost Přidat / Odstranit šablony ... "Odstranit šablony uvedené tam a přidat zkopírovaný. Po stisknutí tlačítka "OK" budou šablony aktualizovány a můžete konfigurovat časovou službu pomocí zásad skupiny:

Je snadné zjistit, že všechna nastavení, která lze změnit v registru, jsou uvedeny především. V něm není nic překvapujícího, protože většina skupinových politik pracuje.

V systému Windows XP se objevil další způsob nastavení časového serveru, který lze velmi pohodlnit konfigurovat synchronizaci na domácím počítači nebo počítači, který je součástí pracovní skupiny:

NTP server pod Linuxem - externí synchronizace pro doménu systému Windows

Jak bylo uvedeno výše, protokol NTP je odolnější vůči chybám, proto jako zdroj referenčního času je lepší použít server NTP pro externí synchronizaci. Kromě toho není vždy v řadiči domény na nejvyšší úrovni, je přístup k internetu po portu UDP 123 použitý pro NTP. Přístup může být zavřený z bezpečnostních důvodů, což je obvyklá praxe velkých organizací. V takových případech můžete tento problém vyřešit, můžete nainstalovat do demilitarizované zóny - DMZ je váš časový server nakonfigurovaný pro synchronizaci s externím zdrojem a používat jej jako referenční časový zdroj pro synchronizaci řadiče domény na nejvyšší úrovni. Jako takový počítač, nikdo, ne nutně moderní stroj s OS * NIX, například Linux instalovaný v minimální konfiguraci, bez X Serveru a dalších potenciálně zranitelných věcí.

Pro Synchronizaci času jsou masové programy pro systém Linux. Nejznámější jsou XNTPD (NTP verze 3), NTPD (NTP verze 4), Crony a ClockSpeed. V našem příkladu budeme používat NTP-Server NTPD, který je součástí RedHAT 9, který je dodáván v balení NTP-4.1.2-0.RC1.2.I386.RPM.

Balíček obsahuje několik programů určených k práci s NTP.

Zde je hlavní z nich:

  • NTPD - Démon NTP podporující přesný čas na pozadí;
  • NTPQ je nástroj určený pro průzkumu NTP serverů, které podporují standardní protokol Sred Průměrný režim NTP. S ním můžete zjistit a změnit aktuální stav serveru, pokud jeho nastavení umožňují;
  • NTPTDC - nástroj, s níž můžete rozhovor s démona NTPD a získat statistiky jeho práce;
  • NTPdate - Program pro instalaci aktuálního systému systém pomocí protokolu NTP.

Standardní funkce protokolu NTP je schopnost provádět ověřování. Lze jej použít jako symetrické algoritmy (DES), které se objevily ve druhé verzi protokolu a asymetrických algoritmů, s otevřeným klíčem, které jsou inovace čtvrté verze.

V případě použití symetrického schématu ověřování, klient a server zvolí libovolný identifikátor a jeden z 65534 klíčů definovaných standardem. Při použití asymetrických algoritmů se používá tzv. Schéma autokey, jehož výrazný znak je nepřítomnost potřeby předběžné distribuce otevřených klíčů serverů.

Chcete-li konfigurovat ověřování v NTPD, jsou zde nástroje NTP-Geneys, NTPQ a NTPDC.

Veškerá funkce NTP spojená s přesnou časovou podporou je implementována v NTPD démona. Jeho konfigurace je společná pro metodu UNIX - úpravou konfiguračního souboru NTP.conf umístěné v složce / etc.

Zadejte následující možnosti serveru NTP.

Nejprve zadejte servery, s jakou budou provedena synchronizace času:

server NTP.NASA.GOV # Stratum 1 server na NASA.ORG
Server NTP1.demos.net # Stratum 2 server na demos.net

omezit ntp.Research.gov maska \u200b\u200b255.255.255.255 Nomodify Notase Noquery

Zde se používá maska \u200b\u200b255.255.255.255 pro omezení přístupu na náš server z serveru NTP.NASA.GOV. Nyní budeme definovat seznam uzlů v naší místní síti, které chceme povolit přístup k našemu NTP serveru, abyste získali čas:

omezit 192.168.1.0 Maska 255.255.255.0 Notrust Nomodify Notrap

Potřebujeme také auto Linuxu, které mají plný přístup ke zdrojům svého serveru:

omezit 127.0.0.1.1

A teď je to nejdůležitější věcí: musíme se ujistit, že výchozí zákaz má vyšší prioritu, komentoval:

#Restrect Výchozí Ignorovat.

Po uložení souboru NTP.CONF lze nastavit znovu, ale může se ukázat, že po spuštění démona nebude ještě synchronizován čas. Faktem je, že protokol NTP byl původně vyvinut jako protokol pro udržení času, nikoli jeho instalace. Proto, pokud je rozdíl mezi hodnotami hodinek dostatečně velký (více než několik minut), synchronizace nebude provedena. V tomto případě má smysl zpočátku nastavit čas ručně pomocí příkazu ntpdate (můžete také přidat příkaz ntpdate na počáteční skripty stroje):

# Ntpdate clock.vsu.ru.
17 únor 23:44:54 ntpdate: krok časového serveru 198.123.30.132 Offset 25.307598 sec

17 únor 23:45:05 ntpdate: Upravit časový server 198.123.30.132 Offset 0.002181 sec
# Ntpdate clock.vsu.ru.

Spuštění Demonu NTP se provádí prostřednictvím inicializačních skriptů. Pokud byl program instalován z balíčku RPM, s největší pravděpodobností byly vyřešeny všechny otázky týkající se jeho automatického spuštění. Aby se ujistil, že můžete použít tým:

# Chkconfig -List ntpd
NTPD 0: Zapnuto 1: Vypnuto 2: Vypnuto 3: ON 4: OFF 5: Na 6: OFF

Pokud tento řádek nevidíte, znamená to, že automatický spuštění NTPD není nakonfigurováno. Chcete-li jej opravit, zadejte:

# Chkconfig -Level 035 ntpd na

Chcete-li spravovat NTP (Start, Spustit, restart, stav), používá se standardní inicializační skript:

# /etc/init.d/ntpd Start.

Chcete-li zobrazit statistiky synchronizace serveru, můžete použít následující příkaz:

# Ntpq -p.
Remote RefID ST
==============================================================================
* Tick.USnogps.na .usno. 1 U 38 64 377 220.00 0.149 7.08
-Navobs1.wustom.e .psc. 1 U 55 64 377 193.47 6.857 4.81
-NTP-NASA.ARC.NA .GPS. 1 U 43 64 377 254.88 7.471 9.58
-NTP0.nl.net .gps. 1 U 144 512 377 122.54 12.515 13.75
-NTP2.IEN.IT .IEN. 1 U 558 1024 377 133.94 14.594 41.99
+ TimeKeeper.isi. .Gps. 1 U 13 64 377 245.30 3.454 15.08
+ Novinky-ZERO.DEMOS NTP0.USNO.NAVY. 2 U 16 64 377 37.51 -3.239 11.14
Místní (0) Místní (0) 10 L - 64 377 0,00 0.000 10.01

Provozní režimy serveru / klienta

Klient-server.

Tento režim je nejčastěji používán na internetu. Pracovní schéma - klasika. Klient odešle požadavek, pro který po určitou dobu server odešle odpověď. Nastavení zákazníka se provádí pomocí směrnice o serveru v konfiguračním souboru, kde je zadán název serveru DNS.

Symetrický aktivní / pasivní režim

Tento režim se používá, pokud se provede synchronizace času mezi velkým počtem stejných strojů. Kromě skutečnosti, že každý stroj je synchronizován s externím zdrojem, provádí také synchronizaci se svými sousedy (peer), mluvit pro ně jako klient a časový server. Proto, i když auto "ztratí" externí zdroj, může stále dostat přesný čas ze svých sousedů. Sousedé mohou pracovat ve dvou režimech - aktivní a pasivní. Práce v aktivním režimu, stroj sám přenáší svůj čas všem sousedům uvedeným v sekcích konfiguračních souborů NTP.CONF. Pokud nejsou v této části specifikovány sousedy, předpokládá se, že stroj pracuje v pasivním režimu. Aby útočník nemohl být schopen ohrozit jiná auta, zavádějící se jako aktivní zdroj, je nutné použít ověřování.

Vysílání režimu

Tento režim se doporučuje použít v případech, kdy malý počet serverů slouží velkému počtu zákazníků. Práce v tomto režimu, server periodicky odešle pakety pomocí adresy vysílání podsítě. Klient nakonfigurovaný tak, aby synchronizace tímto způsobem přijímá vysílání serveru serveru a synchronizuje server. Funkce tohoto režimu je čas, který je dodáván ve stejné podsíti (limit vysílací balíčky). Kromě toho je nutné použít ověřování pro ochranu před vetřelcům.

Režim vícesměrového vysílání

Tento režim je do značné míry podobný vysílání. Rozdíl je v tom, že adresa multicastových adres IP adres IP adresy se používá k doručení paketů. Pro zákazníky a servery je adresa skupiny multicastu zadána pro synchronizaci času. To umožňuje synchronizovat skupiny strojů umístěných v různých podsítích, za předpokladu, že směrovače připojují jejich směrovače protokol IGMP a jsou nakonfigurovány pro přenos skupinového provozu.

MINUTCAST MODE.

Tento režim je inovacemi čtvrté verze protokolu NTP. To znamená vyhledávání klienta mezi svými síťovými sousedy serverů společnosti Mongast, získává z každého z nich vzorky času (pomocí kryptografie) a výběrem na základě těchto údajů tří "Nejlepší" Server Servers, s nimiž bude klient provádět synchronizace. V případě neúspěchu jednoho ze serverů klient automaticky aktualizuje svůj seznam.

Pro přenos časových vzorků, klientů a serverů běžících v režimu LessCast používají adresy skupiny multicast (Class D sítě). Klienti a servery používající stejnou adresu tvoří jednu sdružení. Počet sdružení je určen počtem použitých multicastových adres.

Často se objevují otázky

Proč po Net Time / SetsNTP: Příkaz serveru není čas synchronizován?

Ujistěte se, že typ spouštění "Automaticky" je určen pro službu W32Time.
Ujistěte se, že je k dispozici port UDP 123 použitého serveru NTP.
Ujistěte se, že čas mezi klientem a serverem není příliš mnoho.

Může klient SNTP synchronizovat s serverem NTP?

Ano, možná SNTP protokol je podmnožinou NTP a plně kompatibilní s ním.

Je možné použít NTP server ze třetích výrobců v systému Windows 2000 / XP / 2003?

Ano, můžete použít libovolný server, placené nebo zdarma. Přednastavení odpovídajících komponent (klient nebo server) Windows časové služby.

Proč klientská služba NTP na počítači s MS SQL Server nainstalován?

S největší pravděpodobností je problém, že SQL Server je v každém případě jakýkoliv způsob UDP port 123 je jakýmkoliv způsobem. Jako řešení můžete nabídnout spuštění klienta NTP na MS SQL Server.

Démon NTPD po spuštění pracuje 10-20 minut, po kterém se zastaví. Co by mohlo být problém?

Ujistěte se, že čas klienta a serveru není odlišný (ne více než 5 minut). Jinak, nucená synchronizace pomocí ntpdate.

Je možné synchronizovat čas v OS Windows NT4, 95, 98, mě?

Můžete, s programy třetích stran, jako např. NetTime, Automacahron, světový čas5, NTPD Windows NT port.

Při pokusu o přihlášení k doméně systému Windows se zobrazí zpráva, že čas mezi řadičem domény a pracovní stanicí je příliš mnoho, i když je synchronizace přesně nakonfigurována.

S největší pravděpodobností je problém, že čas začal velmi silně (resetovat CMOS, hacker sabotáž) a služba není schopna předat ověřování Kerberos. Chcete-li tento problém vyřešit, musíte buď ručně shrnout, nebo nepoužívejte tento typ ověřování při aktualizaci času.

Dobrý den, hosty a pravidelné čtenáři. Postupně přehlédnout před základy do hloubkové studie Linuxu. Dnes chci zvážit operace protokolu NTP, stejně jako nastavení Časové servery na Linuxu (NTP server). Začněme tedy s teorií.

Protokol NTP

Protocol sítě (NTP) - Síťový protokol pro synchronizaci interních hodin počítače pomocí variabilních latenčních sítí (přečtěte si "šířka" / kvalita kanálu).

NTP používá pro svou práci uDP protokol a port 123.

Aktuální verze protokolu - NTP 4.. Ntp.používá hierarchický systém "Časové úrovně" (jsou také nazývány Vrstva). Úroveň 0 (nebo stratum 0) - To je obvykle zařízení, která jsou atomová hodiny (molekulární, kvantová), GPS hodiny nebo rádiové frekvence. Tato zařízení obvykle nejsou publikovány v celosvětové síti a jsou připojeny přímo Úroveň časových serverů 1prostřednictvím protokolu RS-232 (na obrázcích jsou označeny žlutými šipkami). Úroveň 1 Synchronizováno s vysoce přesnými hodinami úroveň 0., obvykle fungují jako zdroje pro servery Úroveň 2. Úroveň 2. synchronizován s jedním z aut Úroveň 1, stejně jako synchronizace s úrovní servery. Úroveň 3. Funguje podobně jako druhý. Síťové servery jsou obvykle publikovány na druhé a níže. Protokol NTP Podporuje až 256 úrovní. Chci také poznamenat, že úrovně úrovní 1 a 2 nejsou vždy otevřeny pro univerzální přístup. Někdy s nimi synchronizovat s nimi, musíte odeslat požadavek poštou - správce domény.

Jaké je omezení přístupu k serverům? S přechodem na každou úroveň se chyba vzrůstá s primárním serverem, ale zvyšuje celkový počet serverů A proto,.

Přiřazení serveru NTP na LAN

Proč můžeme potřebovat server NTP? Existují například služby v operačních systémech, které mohou záviset na synchronizovaném čase. Nejvýraznější příklad těchto služeb je ověřovací protokol Kerberos. Pro svou práci je nutné, aby v počítačích, přístup, ke kterému se provádí pomocí tohoto protokolu, systémový čas se liší ne více než 5 minut. Přesný čas na všech počítačích značně usnadňuje analýzu bezpečnostních záznamů při vyšetřování incidentů v místní síti.

Provozní režimy serveru / klienta

Klient-server.

Tento režim je nejčastěji používán na internetu. Pracovní schéma - klasika. Klient odešle požadavek, pro který po určitou dobu server odešle odpověď. Nastavení zákazníka se provádí pomocí směrnice o serveru v konfiguračním souboru, kde je zadán název serveru DNS.

Symetrický aktivní / pasivní režim

Tento režim se používá, pokud se provede synchronizace času mezi velkým počtem stejných strojů. Kromě skutečnosti, že každý stroj je synchronizován s externím zdrojem, provádí také synchronizaci se svými sousedy (peer), mluvit pro ně jako klient a časový server. Proto, i když auto "ztratí" externí zdroj, může stále dostat přesný čas ze svých sousedů. Sousedé mohou pracovat ve dvou režimech - aktivní a pasivní. Práce v aktivním režimu, stroj sám přenáší svůj čas všem sousedům uvedeným v sekcích konfiguračních souborů NTP.CONF. Pokud nejsou v této části specifikovány sousedy, předpokládá se, že stroj pracuje v pasivním režimu. Aby útočník nemohl být schopen ohrozit jiná auta, zavádějící se jako aktivní zdroj, je nutné použít ověřování.

Vysílání režimu

Tento režim se doporučuje použít v případech, kdy malý počet serverů slouží velkému počtu zákazníků. Práce v tomto režimu, server periodicky odešle pakety pomocí adresy vysílání podsítě. Klient nakonfigurovaný tak, aby synchronizace tímto způsobem přijímá vysílání serveru serveru a synchronizuje server. Funkce tohoto režimu je čas, který je dodáván ve stejné podsíti (limit vysílací balíčky). Kromě toho je nutné použít ověřování pro ochranu před vetřelcům.

Režim vícesměrového vysílání

Tento režim je do značné míry podobný vysílání. Rozdíl je v tom, že adresa multicastových adres IP adres IP adresy se používá k doručení paketů. Pro zákazníky a servery je adresa skupiny multicastu zadána pro synchronizaci času. To umožňuje synchronizovat skupiny strojů umístěných v různých podsítích, za předpokladu, že směrovače připojují jejich směrovače protokol IGMP a jsou nakonfigurovány pro přenos skupinového provozu.

MINUTCAST MODE.

Tento režim je inovacemi čtvrté verze protokolu NTP. To znamená vyhledávání klienta mezi svými síťovými sousedy serverů společnosti Mongast, získává z každého z nich vzorky času (pomocí kryptografie) a výběrem na základě těchto údajů tří "Nejlepší" Server Servers, s nimiž bude klient provádět synchronizace. V případě neúspěchu jednoho ze serverů klient automaticky aktualizuje svůj seznam.

Pro přenos časových vzorků, klientů a serverů běžících v režimu LessCast používají adresy skupiny multicast (Class D sítě). Klienti a servery používající stejnou adresu tvoří jednu sdružení. Počet sdružení je určen počtem použitých multicastových adres.

Čas v Linuxu

Stručně mi řekněte, kolik času existuje v Linuxu a jak se ho zeptat. V Linuxu, stejně jako v jiném OS, existuje dvakrát. První - hardware Někdy volal Hodiny v reálném čase., zkráceně ( RTC.) (Jsou - hodiny BIOS) je obvykle spojena s oscilujícím křemenným krystalem, který má přesnost průběhu až několik sekund za den. Přesnost závisí na různých oscilacích, například teplotě okolí. Druhé hodiny jsou interní softwear. které jdou nepřetržitě, včetně přerušení systému. Podléhají odchylkám spojeným s velkým systémem zatížení a přerušení přerušení. Systém však obvykle přečte čtení hardwarových hodin při načítání a pak používá systémové hodiny.

Datum a čas operačního systému Instalován při načtení na základě hodnoty hardware hodinky, jakož i nastavení časového pásma. Nastavení časového pásma jsou převzata ze souboru / etc / localtime. Tento soubor je odkaz (ale častěji - kopie) jednoho ze souborů v adresářové struktuře / Usr / Share / ZoneInfo /.

Hardwarové hodiny Linux mohou ukládat čas ve formátu UTC.(Analog GMT) nebo aktuální územní čas. Obecné doporučení je čas nainstalovat (?) Další: Pokud několik operačních systémů nainstalovaných v počítači a jeden z nich je Windows, pak je třeba použít aktuální čas (protože Windows vyžaduje čas od systému BIOS / CMOS a považuje za místní). Pokud se používají pouze rodinné systémy UNIX, doporučuje se ukládat čas v systému BIOS ve formátu UTC.

Po načtení operačního systému jsou hodiny operačního systému a bios zcela nezávislé. Jádro systému jednou za 11 sekund synchronizuje systémové hodiny s hardwarem.

Po určité době může dojít k rozdílu mezi hardwarovým a programovým hodinami za několik sekund. Jaké hodiny dělají správný čas? Ani ty, ani jiné, dokud nefigurujeme Synchronizace času.

Poznámka:

Linux jádro "a vždy udržuje a vypočítává čas jako počet sekund minulosti od půlnoci 1. ledna 1970 roku, Nezávislost, jste nainstalováni v místním nebo světovém čase. Převod do místního času se provádí během procesu dotazu.

Vzhledem k tomu, že počet sekund od 1. ledna 1970 je globální čas uložen jako znamení 32bitové celé číslo (to platí pro systémy Linux / Intel), vaše hodinky přestanou pracovat někde v roce 2038. Linux nemá žádný problém 2000. ročníku, ale má problém 2038. Naštěstí, v té době, všechny Linuxové "S budou spuštěny na 64místných systémech. 64bitové celé číslo bude obsahovat naše hodiny na cca 292271 milionů let.

NTP server Linux

Úvod

Existuje mnoho implementací pro synchronizaci času pro systém Linuxu. Nejznámější jsou XNTPD (NTP verze 3), NTPD (NTP verze 4), Crony a ClockSpeed. V našem příkladu použijeme NTP-Server NTPD.

Démon NTPD je jak časový server, tak klient, v závislosti na nastavení konfiguračního souboru /etc/ntpd.conf (někdy /etc/ntp.conf), démon může a "vzít" čas od platných serverů a "distribuštit" k jiným časům hostitele.

Všeobecné schéma synchronizace časuv místní síti následovně: musíte mít 1 nebo 2 servery s přístupem k globální síti, která obdrží čas z Internetu. Všechny místní počítačové počítače synchronizují se zadanými servery přijímající čas z Internetu.

Instalace NTPD.

Vlastně, instalace démona Přijde dolů k instalaci následujících balíčků: Ntp. (Balíček zahrnuje samotný dubnutí) ntpdate.(Nástroj pro ruční synchronizaci času - zastaralé), nTP-doc. (Dokumentace balíčku), v některých distribucích budete muset nainstalovat stejný ntp-utils. (Nástroje pro diagnostiku), v některých jsou zahrnuty v balíčku NTP. Jak nainstalovat programy v Linuxu, popsal jsem. Po instalaci balíčku, ve většině distribucí bude démon nakonfigurován jako NTP klient (například Debian byl tak). V souladu s tím byly hlavní konfigurační soubory automaticky vytvořeny: /etc/ntp.conf a /var/lib/ntp/ntp.drift a démon byl spuštěn automaticky.

Před nastavením démona k synchronizaci s okolním světem bych vám poradil, abyste nastavili aktuální datum systému na hodnotu co nejblíže k reálnému času. Datum nastavení v Linuxu Vyrobeno týmem: datum mmddhhhmccyy.ss,kde mm - měsíc, dd - den v měsíci, hh - hodinky, mm - minuty, cyy - 4 čísla roku, SS - sekundy. Současně hodnot Cyy.ss. Ne nutně.

Jak vidíte, zadaný příkaz nastaví aktuální datum a čas dne 27. prosince 2010, 20:06:30. Datum Command. Bez parametrů, výstup aktuálního systémového času. Tento tým má spoustu parametrů, které lze nalézt v Datum člověka.

Musíte také správně nakonfigurovat hardwarové hodiny a časové pásmo. Jak je uvedeno výše, časové pásmo je nakonfigurováno kopírováním požadovaného souboru zóny z katalogu / Usr / Share / ZoneInfo /do souboru. / etc / localtime:

NTP-Server: ~ # # CP / USR / Share / ZoneInfo / Europe / Moskva / etc / lokální čas

Hardware nastavil jsem hodiny na UTC:

# CAT / ETC / SYSCONFIG / CLOCK | Grep UTC # Utc \u003d true označuje, že hodiny jsou nastaveny na UTC; UTC \u003d True NTP2-Server: ~ # # Kat / etc / výchozí / RCS | Grep utc Utc \u003d ano

V prvním příkladu je specifikován konfigurační soubor, který definuje použití UTC pro RH, druhý - pro DEB-distribuce.

Kromě instalace nastavení pro použití času ve formátu UTC musíte zadat Hardware. (Ve většině případů to není nutné, protože zadaný systémový čas je nevyhnutelně synchronizován s hardwarem, základními silami). Ale přesto, pokud máte touhu udělat ... Tým Hwclock. Přečte a nainstaluje hardware na základě parametrů přenesených na něj. Dostupné možnosti jsou popsány v týmu manuální stránce. Zde jsou některé příklady použití HWClock:

NTP-Server # Hwclock # Přečtěte si čas Přečtěte si z NTP-Server # Hwclock --Systohc - UTC Clock Clock Clock Clock Nastavení hodin Hodiny Clock Clocks Equal # UTC na základě NTP-Server # Hwclock --systohc # Nastavení hodin Časopisu # rovná místnímu založenému na systém Čas NTP-Server # HWCOCK - Date "22 března 2002 13:17" # Nastaví čas hardwarového času # rovna zadanému řádku

Další možností pro změnu času v hardwarových hodinách je při načítání systému přístup k systému BIOS. Vzhledem k tomu, že čas OS, bez ohledu na hardwarové hodiny, budou v příštím zatížení zohledněny jakékoli změny BIOS.

Teď, když bylo vše připraveno a instalováno, pokračujte na staveništi.

NTPD Demon Management.

Řízení NTPD DEMON. Žádní různé démoni se liší od jiných démonů. Spustit nebo restartovat službu NTPD:

# / etc / init.d / ntp start # / etc / init.d / ntp restart

Stop:

# / etc / init.d / ntp zastávku

# / Bin / kill `Cat / var / run / run / ntpd.pid`

Démon má následující parametry spuštění:

P - PID soubor,
-G - Nechte přechod na velké časové skoky
-C - config soubor
-Q - nucená ruční synchronizace

Nastavení serveru NTPD

Za prvé, budete poradit změně parametrů spuštění DEMON v následujícím konfiguračním souboru:

NTP-Server: ~ # Kat / etc / výchozí / ntpd_opts \u003d "- g"

# CAT / ETC / SYSCONFIG / NTPD # parametry pro Démona NTP. # Další informace naleznete v části NTPD (8). .... # Určuje další parametry pro NTPD. Ntpd_args \u003d "- g"

Tento parametr vám umožní synchronizovat hodiny, i když byl vytvořen velmi velký časový rozdíl.

Takže, jak jsem řekl, informace o konfiguraci DEMON NTPD.leží v souboru /etc/ntp.conf. Syntaxe souboru je standardní, stejně jako v mnoha jiných konfiguracích: Prázdné řetězce a řádky začínající na symbol "#" ignorovat. Zde je jednoduchý příklad:

NTP-Server: ~ # # cat /etc/ntp.conf server ntplocal.example.com preferují server časeerver.example.org server ntp2a.example.net driftfile /var/db/nttp.drift

Parametr serverurčuje, které servery budou použity pro synchronizaci, jeden v každém řádku. Pokud je server zadán s argumentem raději., tak jako ntplocal.example.com.Tento server má přednost zbytku. Odpověď z preferovaného serveru bude vyřazena, pokud se významně liší od odpovědí jiných serverů, jinak bude použita samostatně na jiné odpovědi. Argument raději.obvykle se používají pro NTP servery, které jsou známy, že jsou velmi přesné, které používají speciální přesné vybavení.

Parametr driftfileurčuje soubor, který se používá pro ukládání systémové frekvence System Frekvence. Pokud jsem pochopil, tento soubor neustále ukládá hodnotu, která je vytvořena na základě analýzy úpravy minulých časových úprav a pokud se externí časové zdroje stanou nedostupné, nastavení času dojde hodnotou ze souboru drift. Nemělo by měnit žádné další procesy. A před zadáním tohoto souboru v konfiguraci - soubor musí být vytvořen.

Ve výchozím nastavení bude server NTP k dispozici všem hostitelům na internetu. Parametr oMEZIT.v souboru /etc/ntp.conf. Umožňuje ovládat, které stroje mohou přistupovat k vašemu serveru. Pokud chceš Zakažte všechny stroje a kontaktujte server NTPDo souboru přidejte následující řádek /etc/ntp.conf.:

omezit výchozí ignorovat.

Pokud chceš dovolitsynchronizace hodin pouze s vaším serverem stroje na vaší síti, ale zákazjim přizpůsobit server. Nebo být stejní účastníci času synchronizace času, pak namísto zadaného přidejte řádek:

omezit 192.168.1.0 Maska 255.255.255.0 Nomodify Notrap

kde 192.168.1.0 je adresa IP vaší sítě a 255.255.255.0 jeho síťová maska. /etc/ntp.conf. Může obsahovat několik omezujících směrnic.

Pro správnou a přesnější práci démona je žádoucí vybrat úroveň serveru - od stratum 2 (můžete určitě stratum1, ale musíte zabít čas hledat takový server) a ze zvoleného stratum 2, na které minimální "vzdálenost". Tyto servery mohou obvykle poskytovat váš poskytovatel. Počet vybraných serverů je s výhodou - více než 2 3, tím lépe, ale v rozumných limitech. Pokud jste příliš líní, abyste si vybrali nejlepší servery, můžete si vzít seznam otevřených serverů druhé úrovně, odtud: http://support.nttp.org/bin/view/servers/stratumtwotimeservers.

Vyberte seznam referenčních serverů NTP

Jdeme na zadanou adresu (http://support.nttp.org/bin/view/servers/stratumtwotimeservers) a vyberte seznam počátečních serverů. Z tohoto seznamu vyberte servery uspokojující naše požadavky pomocí analýzy výstupu příkazu ntpdate.. Při provádění příkazu se použije následující syntaxe:

ntpdate servery_tenere_belates.

Aby našemu požadavku provést změny systému, musíte použít parametr -Q, který označuje použití požadavku bez provedení změn. Také je možné použít tlačítko -D, což znamená, že příkaz bude proveden v režimu ladění, s výstupem dalších informací, aniž by se reálné změny (spousta jiného odpadu se zobrazí :), která není potřeba moment). Zbývající parametry lze zobrazit v Man 8 ntpdate. Ze zadaného odkazu jsem si vybral všechny otevřené přístupové servery umístěné v Rusku (RU) + ten, který poskytl Poskytovateli a zahájil tým, ukázal se o následujících:

NTP-Server: ~ # ntpdate -q ntp2.vniftri.ru ntp1.vniftri.ru ntp0.vniftri.ru ntp0.nniftri.ru ntp1.nttp-servers.net ntp1.nttp-servers.net ntp3.vniftri.ru NTP.Corbina.net Server 88.147.255.85, Stratum 1, Ofsetový 0.006494, Zpoždění 0.09918 Server 62.117.76.142, Stratum 1, offset 0.002552, Zpoždění 0.06920 Server 62.117.76.141, Stratum 1, Offset 0.003147, Zpoždění 0.06918 Server 62.117.76.140, Stratum 1, offset 0.004823, zpoždění 0.07350 Server 88.147.254.228, Stratum 1, Offset -0.002355, zpoždění 0.12030 Server 88.147.254.229, Stratum 1, offset -0.000922, zpoždění 0.10577 Server 62.117.76.138, Stratum 1, offset 0.005331, 0,07401 Server Zpoždění 195.14 .40.141, stratum 2, offset 0.002846, zpoždění 0.07188 13 ledna 19:14:09 ntpdate: Upravit časový server 62.117.76.141 Offset 0.003147 sec

V příkladu, naše servery úspěšně rozdávaly úroveň stratum1, která nemůže radovat, ale radovat se (kromě serveru poskytovatele), offset je nesrovnalost času s tímto serverem v sekundách, zpoždění je zpoždění synchronizace v sekundách. Obvykle, B. Opřesnější je získána pomocí serverů, které mají nízkou zpoždění přenosu paketů v síti. Chcete-li to identifikovat, je možné použít. V souladu s tím, výběrem prvního, jejichž doba odezvy je menší, a ty, které jsou menší než chmele. Nemám ztratit čas, použiji všechny zadané servery a dodávám je do konfiguračního souboru. Celkem znát všechny výše uvedené, budu popisovat váš výsledný soubor /etc/ntp.conf.:

NTP-Server: ~ # cat /etc/ntp.conf # Místní síťový server (komentovaný, nepoužívá se - online jeden server) #Serve 192.168.0.2 #Server 192.168.0.5 # server ntp2.nttp-servers.net server ntp1.vniftri .RUIFTRI.RU Server NTP4.Vniftri.ru server NTP0.NTP-Servers.net Server NTP1.NTP-Servers.Net Server NTP3.vniftri.ru server NTP3.vniftri.ru server NTP3.vniftri.ru server NTP3.vniftri.Ru server NTP.Corbina.net # DriftFile Serverové soubory /var/lib/ntp/ntp.drift logfile / var / log / ntpstats # Omezení přístupu na server: # Ve výchozím nastavení Ignoruji všechny omezení výchozí Ignorovat # Bezčleněné bez parametrů - to znamená, že je vše povoleno. Parametry jdou pouze na zákazy. Omezte 127.0.0.1 # Dále, jsou popsány servery, s nimiž jsou synchronizovány v místní síti. # Dovolujeme jim všechny kromě štítků a dotazů k americkému omezení 192.168.0.2 Noquery Notrap Omezení 192.168.0.5 Noquery Notase # pro LAN také povolit vše s výjimkou omezení pasti a modifikací 192.168.0.1 Maska 255.255.25.0 Nomodify Notase Napeer # Povolit přístup externích časových zdrojů : Omezit NTP2.NTP-Servers.net Omezit NTP1.vniFtri.ru Omezit NTP2.vniFtri.ru Omezit NTP4.vniFtri.ru Omezit NTP0.NTP-Servers.net Omezit NTP1.NTP-Servers.net Omezit NTP3.vniftri.ru Omezit omezit ntp.corbina.net # a tento hack, který stanoví úroveň důvěry na server (strata) sám o sobě rovnou 3 # v kostce, vyšší úrovni úrovně, tím menší je číslo. 0 je atomové hodiny, # 1 je s nimi synchronizován, 2 - s první a tak dále. Server 127.127.1.1 Fudge 127.127.1.1 Stratum 3

Pro podrobnější porozumění a konfiguraci serveru budu popisovat některá nastavení konfigurace NTPD, která se nezmiňovala ::

  • povolit zakázat auth / monitor / pll / pps / statistiky - zapněte vypínač pracovní režim:
    • auth.- s neoprávněnými sousedy komunikovat pouze v režimu autentizace;
    • monitor- Povolit monitorování dotazů;
    • pll.- umožnit nastavení frekvence místních hodin na NTP;
    • statistiky.- umožnit shromažďování statistik;
  • statistikaloopstats.- S každou modifikací místních hodin zapíše linku do souboru loopstats.;
  • statistikapeeptats.- Každá komunikace se sousedem je zapsána do protokolu uloženého v souboru peeptats.;
  • statistikahodinkytáty.- Každá zpráva z ovladače místních hodin je zapsána do protokolu uloženého v souboru hodinkytáty.;
  • statsdir.(Katalog_name_setatistika) - Určuje název adresáře, ve kterém budou soubory se statistikami serveru;
  • fileGen. - Určuje algoritmus generování souborů, který se skládá z:
    • předpona- Trvalá část názvu souboru je nastavena buď při kompilaci nebo speciálních konfiguračních příkazech;
    • název souboru - Přidáno k předpony bez lomítka, dva body jsou zakázány, může být změněn klíčem souborů;
    • přípona- generované v závislosti na typumenu;
  • oMEZIT.numerická adresa- Určuje omezení přístupu: pakety jsou seřazeny a masky, úvodní adresa je přijata a je konzistentně porovnána, vlajka je převzata z posledního úspěšného srovnání. přístup:
    • Žádné vlajky - dát přístup;
    • ignorovat.- ignorovat všechny balíčky;
    • noquery.- ignorovat pakety NTP 6 a 7 (požadavek a modifikace stavu);
    • nomodifikace- ignorovat pakety NTP 6 a 7 (stavová modifikace);
    • omezený- sloužit pouze omezený počet zákazníků z této sítě;
    • napeer.- sloužit hostiteli, ale není s ním synchronizovat;
  • klientlimit.omezit.- pro vlajku omezenýurčuje maximální počet zákazníků (ve výchozím nastavení 3);

Celkem jsme dostali NTPD-ServerKterý je synchronizován s vnějším světem, umožňuje přijímat čas pro zákazníky z místní sítí v oblasti oblasti 192.168.0.1 s maskou 255.25.25.25.0, stejně jako lze synchronizovat s místním serverem (pokud vám zazvoníte více řádků). Zůstali jsme přizpůsobit zákazníky a naučit se sledovat náš server.

Pozorování serveru NTPD a synchronizace

Když jsou všechny nakonfigurovány. NTP bude udržovat čas v synchronizovaném stavu. Tento proces lze pozorovat pomocí příkazu NTP dotazu (NTPQ):

NTP-Server: ~ # NTPQ -P Remote Refid St T Když průzkum DEASS DELAY OFFSET jitter \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d -N3. Time1.d6.hsd .pps. 1 U 34 64 177 70.162 2.375 8.618 + NTP1.VniFtri.rpps. 1 U 33 64 177 43.479 -0.020 10.198 * NTP2.vniftri.rpps. 1 U 6 64 177 43.616 -0,192 0.688 + NTP4.vniftri.rpps. 1 U 4 64 177 43.623 0.440 0,546 -N1.time1.time1..d6.HSD .pps. 1 U 53 64 77 92.865 -11.358 38.346 -ns1.hsdn.org .gps. 1 U 40 64 177 78.057 -3.292 35.083-ntp3.vniftri.rpps. 1 U 44 64 77 47.667 2.292 2.611 -Scylla-l0.msk.c 192.43.244.18 2 U 62 64 77 41,565 -1,564 28.914

Tento příkaz s -p klíč zobrazí seznam časových zdrojů s jejich vlastnostmi (jiné příkazové parametry v člověku ntpq). Hodnota každého sloupce takto:

Název vzdáleného serveru NTP. Pokud zadáte tlačítko -n, obdržíte adresy IP serveru namísto názvů.

Označuje, kde každý server dostane čas v tuto chvíli. To může být jméno hostitele nebo něco jako. GPS, označující zdroj globálního polohovacího systému (globální polohovací systém).

Stratum Toto číslo je od 1 do 16, což znamená správnost serveru. Jednotka znamená maximální přesnost, 16 - server není k dispozici. Vaše úroveň bude rovna úrovni nejméně přesného vzdáleného serveru Plus 1.

Interval mezi ankety (v sekundách). Hodnota se změní mezi minimální a maximální frekvence ankety. Na začátku bude interval malý, takže se synchronizace došlo rychle. Po synchronizaci hodin se interval začne zvyšovat, aby se snížil provoz a zatížení populárních časových serverů.

Octalicí reprezentace řady 8 bitů odrážejících výsledky posledních osmi pokusů o připojení k serveru. Bit je nastaven, pokud vzdálený server odpověděl.

Množství času (v sekundách) je nutná k přijetí odpovědi na požadavek "kolik času?".

Nejdůležitější pole. Rozdíl mezi časem místních a vzdálených serverů. Během synchronizace by tato hodnota měla být snížena (přístup k nule), což znamená, že hodiny místního stroje zvyšují přesnější.

Disperze (jitter) je míra statistických odchylek od ofsetové hodnoty (ofsetové pole) pro několik úspěšných parametrů reakce-reakce. Je výhodná menší disperzní hodnota, protože to umožňuje přesněji synchronizovat čas.

Význam znaků před názvy serverů

x je falešný zdroj v křižovatce algoritmu;
. - vyloučeno ze seznamu kandidátů v důsledku dlouhé vzdálenosti;
- - Odebráno ze seznamu kandidátských algoritmů klastrů;
+ - vstupuje do konečného seznamu kandidátů;
# - Vybraný pro synchronizaci, ale tam jsou 6 nejlepších kandidátů;
* - Vybrané pro synchronizaci;
O - Vybraný pro synchronizaci, ale použité PPS;
Prostor - příliš velká úroveň, cyklus nebo explicitní chyba;

NTPD služba"Smart" a prosévat zdroje času příliš srazí z rozsahu rozumného. Po nějaké době po spuštění NTPD vybere nejspolehlivější zdroje dat a bude s nimi synchronizováno. Seznam referenčních NTP serverů předložených USA je pravidelně revidován službou.

Zkontrolujte funkci synchronizace lokálně na serveru je možné příkazem:

NTP-Server: ~ # ntpdate -q localhost server 127.0.0.1, stratum 2, ofset -0.00000053, zpoždění 0.02573 server :: 1, stratum 2, offset -0.000048, zpoždění 0.02571 14 ledna 14:49:57 ntpdate: Upravit časový server :: 1 ofset -0.000048 sec

Od výstupu příkazu je jasné, že náš server se již stal úrovní stratum 2. Pro dosažení této úrovně je nutné na chvíli nutné. Snad v prvních 10-15 minut bude úroveň serveru vyšší.

Ve správném provozu serveru NTP můžete také posoudit protokoly démona NTPD:

NTP-Server: ~ # # CAT / VAR / LOG / NTPSATS / NTP 13 Jan 20:13:16 NTPD: Poslech na rozhraní # 5 ETH0, FE80 :: A00: 27FF: FEC1: 8059 # 123 Povoleno 13. ledna 20:13: 16 ntpd: poslech na rozhraní # 6 eth0, 192.168.0.8 # 123 povoleno 14. ledna 14:31:00 ntpd: synchronizováno na 62.117.76.142, stratum 1 14 ledna 14:31:10 ntpd: resetování času +10.291312 s 14 ledna 14 : 31: 10 NTPD: Čas jádra Sync Status Změna 0001 14 Jan 14:34:31 NTPD: Synchronizováno na 88.147.255.85, Stratum 1 14 Jan 14:36:04 NTPD: Synchronizováno na 62.117.76.141, Stratum 1 14. ledna: 04:36 NTPD: Synchronizováno na 62.117.76.142, Stratum 1 14 Jan 15:10:58 NTPD: Synchronizace na 62.117.76.140, Stratum 1 14 Jan 15:17:54 NTPD: Žádné servery Dosahatelné 14 ledna 15:31:49 NTPD : Synchronizováno na 62.117.76.140, Stratum 1 14 Jan 15:32:14 NTPD: časový reset +13.139105 S

Nastavení NetFilter (IPTAbles) pro NTP server

Konfigurace serverového práce by bylo hezké chránit. Víme, že server pracuje na portu 123 / UDP, zatímco požadavky jsou také odeslány z portu 123 / UDP. Po přečtení článku a obeznámeni s praktickým praktickým, můžete vytvořit pravidla pro filtrování sítě provozu:

NTP ~ # IPTABles-Save # Typické Iptables Pravidla pro DNS * Filtr: Input Drop: Dopředu Drop: Output Drop -A vstup -I Lo -j Accept -A Input -A -M CONTRACK-CTSTESTED SOUVISEJÍCÍ -M CONNTRACK - CCTSTATE INVALID-DROPS DROP # Povolit lokální přístup k síti na server NTP: -A vstup do 192.168.1.1/24 -d -d 192.168.1.1/32 -P -P UDP -M UDP --dport 123 -m CtState New -J Accept -A výstup -o lo -j Accept -A výstup -P -P icmp -j Accept -A výstup -P -P UDP -M UDP --Sport 32768: 61000 -j Accept -A výstup -M CONTRACK-CTATE související, založené -J Accept # Povolit přístupový server Access NTP, aby se odchozí požadavky - výstup -P -P -P UDP -M UDP --Sport 123 --dport 123 -M CONTRACK --CTSTE NEW -J Accept Commit

To je typický příklad! Chcete-li nastavit pravidla Iptables pro své úkoly a konfiguraci sítě, musíte pochopit princip práce netfilter v Linuxu, čtení výše uvedených článků.

Nastavení klientských strojů

Synchronizace času na unixových automatech Lokální síť je vhodná použít nástroj NTPdate, spustit ji několikrát denně, například každou hodinu. Chcete-li to provést, musíte přidat následující řádek:

0 * * * * / usr / sbin / ntpdate -s

Klíčové odeslání příkazového výstupu. Pokud mají klientské stroje pár zbytečných megabajtů paměti RAM, můžete spustit NTPD démon, jako na serveru s následujícím configem:

Server Omezte výchozí Ignorovat Omezit Noquery Notrap Residrict 127.0.0.1 Nomodify Notrap

Myslím, že v tomto configu je vše jasné: Zdroj času (server) je místním serverem NTPD, zakázat vše, umožnit pouze místní NTPD server.

Také na klientů musíte správně určit, ve kterém formátu pro ukládání času a vybrat správné časové pásmo ,.

Konfigurace klienta Windows Client NTPV konzole musí být provedeny následující příkazy:

C:\u003e Čistý čas / SETSNTP: Příkaz byl úspěšně dokončen. C:\u003e Net Stop W32time Time Service Windows se zastaví. Služba Windows Time byla úspěšně zastavena. C:\u003e NET START W32TIME začíná služba Windows Time Service. Služba Windows Time byla spuštěna úspěšně. C:\u003e Net Time / QuerySNTP Aktuální hodnota SNTP je: Příkaz byl úspěšně dokončen.

Závěr

Zdá se, že je to všechno! Objem článku se ukázal být enormní ... ani nečekal. Přiveďte malý výsledek. V tomto článku doufáme, že to bylo jasné, co je a jak funguje server NTP. Naučil se přizpůsobit server a klienty na počítačích UNIX a Windows. V několika slovech, struktura synchronizace času v lokální síti je následující: v místní síti existuje 1.2 nebo přesnější časové servery, synchronizují svůj čas s externími zdroji v globální síti. Nastavení serveru a zákazníků jsou založeny na souborech /etc/ntp.conf (hlavní konfigurační soubor ntpd démon), / etc / localtime (aktuální časový pásový soubor), stejně jako / etc / sysconfig / ntp (pro RH) a / Etc / výchozí / NTP (pro DEB) - Demon Spustit parametrové soubory. Pro místní server NTP v konfiguračním souboru jsou externí servery zadány pro dosažení času a přístup k těmto serverům je povolen parametrem Omezit, stejně jako pro místní sítě počítače, klient označuje časový zdroj - místní servery na místní Síť, stejně jako přístup pro všechny kromě časového zdroje v místní síti. Všechno. Děkuji vám všem za vaši pozornost! Budu rád komentuje!

  • (Archiv článku) popisuje, jak připojit GPS na server uspořádat přesný časový server Stratum1.
  • Popsáno jak konfigurovat autorizaci na serveru NTP.

Odpovědi na otázky

26.09.2018

Je těžké představit moderní svět bez přesný čas. V mnoha oblastech života musíte mít velmi přesné hodinky, s přesností by mělo být mnohem vyšší než přesnost hodinek používaných lidmi v obyčejném životě. Například požadavky na přesnost hodin leteckého dispečinku, komplexů, které kontrolují kosmickou loď nebo vojenské systémy, jsou na nejvyšší úrovni. Také hodiny s vysokou přesností jsou nezbytné v systémech s jednoduššími funkcemi - při fakturačních a fakturačních systémech buněčných operátorů a poskytovatelů internetu, v bankovních transakčních systémech, v systémech burze, v průmyslových a vědeckých komplexech. V místních sítích používá protokol ověřování uživatelů Kerberos také čas řadiče domény s vlastními hodinami pracovních stanic. V počítačových sítích je synchronizace obvykle spuštěna s přesnými časovými servery pomocí protokolu. Ntp. nebo jeho "lehká" odrůda - Snt.. V tomto článku se podíváme na funkce, rozdíly a příklady aplikace těchto protokolů.

Ntp. (Eng. Síť Čas. Protokol - Protocol sítě sítě) - síťový protokol pro synchronizaci interních hodin počítače pomocí sítí s proměnnými šířkovými pásma. Poskytuje vysoce časově synchronizační přesnost díky speciálnímu algoritmu, který vám umožní vybrat nejpřesnější zdroje pro odhad přesný čas. Tento algoritmus umožňuje minimalizaci vlivu dat z očividně nesprávně nakonfigurovaných serverů NTP ke společnému systému. Protokol NTP poskytuje synchronizační mechanismy až do nanosekund a obsahuje prostředky k určení vlastností a vyhodnocování chyb lokálních hodin a dočasný server, který provádí synchronizaci. Protokol NTP používá hierarchický systém úrovní nebo stratum. Server NTP má nejvyšší úroveň (Stratum 1), pokud přijímá data přímo ze zdroje přesného času. Servery, synchronizace jejich hodiny se serverem 1. Stratum, jsou na úrovni níže (stratum 2) atd.

Snt. (Eng. Jednoduchý. Síť Čas. Protokol - Simple Síťový časový protokol) - Protocol synchronizace času v počítačové síti. Jedná se o zjednodušenou implementaci protokolu NTP, neexistuje složitost algoritmu NTP. SNTP se používá pro síťové uzly, které nevyžadují úplnou sadu funkcí NTP. Obecně přijatá praxe je synchronizovat hodiny několika lokálních síťových uzlů s jinými uzly NTP na internetu a pomocí těchto uzlů dočasně synchronizovat služby poskytované ostatním klientům v místní síti. V tomto provedení je nutná vysoká přesnost dočasné synchronizace. SNTP protokol poskytuje mechanismy synchronizace s přesností 1 až 50 ms

Příkladem použití protokolu NTP: Banka N poskytuje svým klientům aplikací klient-server pro obchodování s akciemi. Servery, které zpracovávají informace o Exchange Quotes, musí mít hodiny s vysokou přesností synchronizace s rozsahem světového času. V takovém případě je každá banka banky bankovní banky n synchronizována s nejpřesnějším přesným časovým serverem ("stratum 1"), která přijímá data přímo ze zdroje přesného času. Nejpřesnější server je vybrán algoritmem vloženým v protokolu NTP. Přibližná architektura takového roztoku se odráží v diagramu níže:

Klasický příklad použití synchronizace SNTP - čas v doméně. Řadič domény přijímá čas od globálního internetu z veřejně dostupných vrstevníků 1 nebo Stratum serverů 2. Zbývající klienti domény synchronizují své hodinky v čase na řadiči domény. Přibližná architektura je zobrazena v diagramu.