Nastavení serveru NTP ve Windows

Počínaje Windows 2000 obsahují všechny operační systémy Windows časovou službu W32 Čas. Tato služba je navržena tak, aby synchronizovala čas v rámci organizace. W32Time zodpovídá za provoz klientské i serverové části časové služby a stejný počítač může být klientem i serverem NTP (Network Time Protocol).

Ve výchozím nastavení je časová služba systému Windows nakonfigurována takto:

Po instalaci operačního systému Windows spustí klienta NTP a synchronizuje se s externím zdrojem času;
Když přidáte počítač do domény, změní se typ synchronizace. Všechno klientské počítače a členské servery v doméně používají řadič domény k synchronizaci času a ověřují je;
Když je členský server povýšen na řadič domény, spustí se na něm server NTP, který jako zdroj času používá řadič s rolí emulátoru primárního řadiče domény;
Emulátor primárního řadiče domény umístěný v kořenové doméně doménové struktury je primárním časovým serverem pro celou organizaci. Zároveň je také synchronizován s externím zdrojem času.

Toto schéma funguje ve většině případů a nevyžaduje zásah. Struktura časové služby systému Windows však nemusí dodržovat hierarchii domény a jako spolehlivý zdroj času lze označit jakýkoli počítač. Jako příklad popíšu Nastavení NTP-server v systému Windows Server 2008 R2, ačkoli se postup od systému Windows 2000 příliš nezměnil.

Spuštění serveru NTP

Hned poznamenávám, že časová služba v systému Windows Server (od roku 2000 do roku 2012) nemá grafické rozhraní a je konfigurována buď z příkazový řádek nebo přímou úpravou systémový registr. Osobně je mi bližší druhý způsob, takže jdeme do registru.

Takže první věc, kterou musíme udělat, je spustit server NTP. Otevřete větev registru
HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer.
Zde povolíte parametr serveru NTP Povoleno musíte nastavit hodnotu 1 .

Poté příkazem restartujeme časovou službu net stop w32time && net start w32time

Po restartování služby NTP je server již aktivní a může obsluhovat klienty. Můžete to ověřit pomocí příkazu w32tm /query /configuration. Tento příkaz zobrazí úplný seznam možností služby. Pokud oddíl NtpServer obsahuje řetězec Povoleno: 1, pak je vše v pořádku, časový server funguje.

Aby NTP server obsluhoval klienty, nezapomeňte na firewallu otevřít UDP port 123 pro příchozí a odchozí provoz.

Základní nastavení NTP serveru

Server NTP byl povolen, nyní jej musíte nakonfigurovat. Otevřete větev registru HKLM\System\CurrentControlSet\services\W32Time\Parameters. Zde nás zajímá především parametr typ A, které určuje typ synchronizace. Může nabývat následujících hodnot:

NoSync- Server NTP není synchronizován s žádným externím zdrojem času. Jsou použity hodiny zabudované do CMOS čipu samotného serveru;
NTP- Server NTP je synchronizován s externími časovými servery, které jsou specifikovány v nastavení registru NtpServer;
NT5DS- NTP server se synchronizuje podle hierarchie domény;
AllSync- NTP server používá pro synchronizaci všechny dostupné zdroje.

Výchozí hodnota pro počítač, který je členem domény, je NT5DS, pro samostatný počítač - NTP.

A parametr NtpServer, který určuje servery NTP, se kterými bude tento server synchronizovat čas. Ve výchozím nastavení tento parametr obsahuje server Microsoft NTP (time.windows.com, 0x1), v případě potřeby můžete přidat několik dalších serverů NTP zadáním jejich DNS názvů nebo IP adres oddělených mezerou. Můžete si například prohlédnout seznam dostupných časových serverů.

Na konec každého jména můžete přidat vlajku (např. ,0x1), který určuje režim synchronizace s časovým serverem. Jsou povoleny následující hodnoty:

0x1– SpecialInterval, použití speciálního intervalu dotazování;
0x2– Režim UseAsFallbackOnly;
0x4– SymmetricActive, symetrický aktivní režim;
0x8– Klient, odeslání požadavku v klientském režimu.

Při použití příznaku SpecialInterval je vyžadována hodnota intervalu nastavená v klíči SpecialPollInterval. Pokud je nastaven příznak UseAsFallbackOnly, je časové službě sděleno, že tento server bude použit jako záložní server a že před synchronizací s ním budou kontaktovány ostatní servery v seznamu. NTP servery standardně používají symetrický aktivní režim a v případě problémů se synchronizací lze použít klientský režim. Můžete vidět více o režimech synchronizace, nebo neblbnout a dát to všude ,0x1(podle doporučení společnosti Microsoft).

Další důležitý parametr Oznámit vlajky umístěný v klíči registru HKLM\System\CurrentControlSet\services\W32Time\Config. Je odpovědný za to, jak se server NTP deklaruje, a může nabývat následujících hodnot:

0x0( Není časový server) – server se nepropaguje prostřednictvím NetLogon jako zdroj času. Může reagovat na požadavky NTP, ale sousedé jej nebudou schopni rozpoznat jako zdroj času;
0x1(Always time server) - server se vždy ohlásí bez ohledu na stav;
0x2(Automatický časový server) - server se ohlásí pouze v případě, že obdrží spolehlivý čas od jiného souseda (NTP nebo NT5DS);
0x4(Vždy spolehlivý časový server) - server se bude vždy deklarovat jako spolehlivý zdroj času;
0x8(Automatický spolehlivý časový server) – řadič domény je automaticky prohlášen za spolehlivý, pokud se jedná o emulátor PDC kořenové domény doménové struktury. Tento příznak umožňuje hlavnímu PDC doménové struktury, aby se prosadil jako autorizovaný zdroj času pro celou doménovou strukturu, i když není připojen k nadřazeným serverům NTP. Žádný jiný řadič nebo členský server (který má výchozí příznak 0x2) nemůže tvrdit, že je spolehlivým zdrojem času, pokud nemůže najít zdroj času pro sebe.

Význam Oznámit vlajky je součet příznaků, které jej tvoří, například:

10=2+8 - Server NTP se deklaruje jako spolehlivý zdroj času za předpokladu, že přijímá čas ze spolehlivého zdroje nebo je PDC kořenové domény. Příznak 10 je standardně nastaven pro členy domény i pro samostatné servery.

5=1+4 - NTP server vždy tvrdí, že je spolehlivým zdrojem času. Chcete-li například deklarovat členský server (nikoli řadič domény) jako spolehlivý zdroj času, je zapotřebí příznak 5.

No, nastavíme interval mezi aktualizacemi. Může za to již výše zmíněný klíč. SpecialPollInterval, umístěný v klíči registru HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpClient. Je v sekundách a výchozí hodnota je 604800, což je 1 týden. To je hodně, takže se vyplatí snížit hodnotu SpecialPollInterval na rozumnou hodnotu, řekněme 1 hodinu (3600).

Po konfiguraci je třeba aktualizovat konfiguraci služby. Můžete to udělat pomocí příkazu w32tm /config /update. A několik dalších příkazů pro konfiguraci, sledování a diagnostiku časové služby:

w32tm /monitor - pomocí této volby můžete zjistit, jak moc se liší systémový čas tohoto počítače od času na řadiči domény nebo jiných počítačích. Například: w32tm /monitor /computers:time.nist.gov
w32tm /resync - Pomocí tohoto příkazu můžete vynutit synchronizaci počítače s časovým serverem, který používá.
w32tm /stripchart - zobrazuje časový rozdíl mezi aktuálním a vzdálený počítač a umí zobrazit výsledek v grafické podobě. Například příkaz w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonly provede 5 porovnání se zadaným zdrojem a výsledek zobrazí v textové podobě.

w32tm /config je základní tým Používá se ke konfiguraci služby NTP. S jeho pomocí můžete nastavit seznam použitých časových serverů, typ synchronizace a mnoho dalšího. Pomocí příkazu můžete například přepsat výchozí hodnoty a nastavit synchronizaci času s externím zdrojem w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov /update
w32tm /query - Zobrazuje aktuální nastavení služby. Například w32tm /query /source zobrazí aktuální zdroj času a w32tm /query /configuration zobrazí všechny parametry služby.

No, jako poslední možnost 🙁
w32tm /unregister - Odebere časovou službu z počítače.
w32tm /register - Registruje časovou službu v počítači. V tomto případě se znovu vytvoří celá větev parametrů v registru.

Přesný časový server je navržen tak, aby synchronizoval indikátory čas-frekvence. Zařízení generuje frekvenční a časové signály s vysokou přesností a synchronizuje tyto parametry na vzdálených místech.

Server pro synchronizaci času může pracovat pomocí různých signálů a protokolů, včetně běžného protokolu NTP a populárnějšího protokolu PTP. Server přijímá signály ze satelitů globálních polohových systémů GPS a GLONASS, přenáší je na klientská zařízení a synchronizuje časové parametry.

Popis SSV-1G

Frekvenční a časový server "SSV-1G" je samostatné zařízení o výšce 1,5 U, instalované v 19" telekomunikačním racku, určené pro generování frekvenčních a časových signálů.

Na rozdíl od mnoha jiných produktů na trhu není časový server SSV-1G založen na průmyslových serverech, ale využívá vlastní hardwarovou platformu, což výrazně snižuje jeho náklady, zvyšuje spolehlivost a eliminuje závislost na výrobci operačního systému a serverové platformě. .

Synchronizace přesného časového serveru je prováděna ze signálů družicových radionavigačních systémů (SRNS) ruského GLONASS i GPS, což zvyšuje přesnost určení času a snižuje rizika závislosti operátora na zahraničních navigačních systémech.

Vstup signálu 1PPS, vstup E1/2,048 MHz nebo vstup 5 (10) MHz lze použít jako záložní zdroje hodin pro hlavní oscilátor.

Vstup RS232 modulu COMB lze použít jako záložní zdroj synchronizace časové škály pomocí protokolů TOD, Sirf.

SSV-1G je napájen dvěma vstupy (hlavní / záložní) z nezávislých zdrojů AC 220 V 50 Hz / DC 48 V. K dispozici je možnost dodávky se dvěma napájecími vstupy DC 48 V a přídavným externím měničem AC 220 V 50 Hz - DC 48 V, což umožňuje napájet SSV-1G přes jeden vstup AC 220 V 50 Hz a přes druhý vstup DC 48 V. Příkon závisí na konfiguraci a nepřesahuje 40 W.

Údržba zařízení je maximálně zjednodušena. Obslužný personál může přijímat informace a ovládat zařízení pomocí softwaru Maintenance System, nebo pomocí ovládacích nástrojů zabudovaných v zařízení - grafického indikátoru a klávesnice.

Specifikace SSV-1G

Charakteristický Význam
Všeobecné
Typ vnitřního generátoru Ultra-přesný piezoelektrický termostat
Vstupy externí synchronizace hodinový signál GLONASS, GPS, Galileo, 1 PPS, Е1/2,048 MHz, 5 MHz, 10 MHz
Vstupy externích hodin GLONASS, GPS, Galileo, ToD, SIRF
Synchronizační výstupy NTP server, PTP master, 1 PPS, Е1/2,048 MHz, SIRF, IRIG-B, 5 MHz, 10 MHz, proudová smyčka
Řízení
Autonomní vestavěná klávesnice a displej
Místní USB port a software pro údržbu
síť Ethernet a software pro údržbu, SNMP v2C (RFC 1158)
síťové rozhraní Ethernet 10/100 Base-T
Podporované protokoly
transportní vrstva TCP, UDP
IP protokol IP v4
IP v6 (volitelné)
automatická konfigurace DHCP (RFC 2131)
NetBios Name Service (NBNS)
NTP (Network Time Protocol) NTP v2 (RFC 1119)
NTP v3 (RFC 1305)
NTP v4 (RFC 5905),
SNTP v3 (RFC 1769)
SNTP v4 (RFC 2030)
PTP (Precision Time Protocol) PTP v2 (IEEE Std 1588-2008)
protokol SNMP SNMPv2c (RFC 1158)
protokol RS-232 SIRF
TOD
Rozhraní 1PPS (1Hz)
výstupní úroveň 5V (kompatibilní s TTL)
trvání pulsu 5 µs (IEEE Std 1344 - 1995)
polarita pulzu pozitivní negativní
odpor vedení 50 ohmů
5 MHz a 10 MHz hodinové signály
průběh jmenovitě obdélníkový
úroveň výstupního signálu při zátěži 50 ohmů 1 V
Hodinový signál 2,048 MHz (G.703/10)
průběh jmenovitě obdélníkový
1,5 V
1,9 V
Hodinový signál 2,048 Mbps (G.703/6)
průběh bipolární
výstupní úroveň signálu při zátěži 75 ohmů (koaxiální pár) 1,5 V
úroveň výstupního signálu při zátěži 120 ohmů (vyvážený pár) 1,9 V
Metrologické charakteristiky
meze přípustné relativní chyby frekvence v režimu synchronizace signály GNSS GLONASS/GPS ±5,0×10-11
meze přípustné střední kvadratické relativní odchylky náhodné složky chyby měření frekvence výstupního signálu v časovém intervalu měření 100 s ±5,0×10-11
meze přípustné absolutní chyby vazby náběžné hrany výstupního impulsu s frekvencí 1 Hz na časovou stupnici UTC v režimu synchronizace pomocí signálů GNSS GLONASS/GPS ±110 ns
meze dovolené absolutní chyby vazby náběžné hrany výstupního impulsu s frekvencí 1 Hz na časovou stupnici UTC v režimu autonomního provozu za den ±20 µs
meze přípustné absolutní chyby reference časové stupnice vzhledem k časové stupnici UTC(SU) přes protokol NTP přes rozhraní Ethernet ±10 µs
Počet rozšiřujících modulů až 8 kusů
Výkon
Rychlost serveru NTP na 10/100 Base-T Ethernet port, požadavky za sekundu, ne méně než 123 000
Zdroj napájení
počet napájecích vstupů
2
napájecí napětí
(v závislosti na typu provedení)		 ═ 60 V (36 až 72) V
~ 220 V (od 198 do 242) 50 Hz
Spotřeba energie ne více než 50 W v "pracovním" režimu
ne více než 60 W v režimu „zahřívání“.
rozměry 483 × 255 × 65 mm
Hmotnost ne více než 6 kg
Pracovní režim neustále
průměrná životnost minimálně 20 let

Výhody zdroje času SSV-1G

    • Optimální poměr ceny a kvality

Zdroj SSV-1G má jeden z nejlepších poměrů ceny a kvality ve své třídě výbavy. Toho je dosaženo dvěma technologickými řešeními.

Za prvé, SSV-1G je postaven na základě hardwarové platformy vlastní výroby. Kromě toho v zařízení SSV-1G není žádný licencovaný software třetích stran.

Za druhé, místo drahých vysoce přesných rubidiových oscilátorů s krátkou životností se používají quartzové oscilátory s dvojitou regulací teploty, která zajišťuje konstantní úroveň teploty nutnou pro zajištění stabilního provozního režimu. Toto řešení je podobné přesností jako generátory rubidia, ale stojí podstatně méně a je spolehlivější.

    • Informační bezpečnost

Všechny rozšiřující moduly SSV-1G, včetně modulu NTP-server, mají hardwarovou implementaci postavenou na bázi rigidního automatu.

Toto řešení poskytuje nejvyšší výkon a v důsledku toho:

  1. Vysoká přesnost přenosu časové značky díky absenci vnitřních zpoždění, která ovlivňují asymetrii kanálu vysílání a příjmu NTP paketů.
  2. Nemožnost narušení fungování NTP serveru kvůli DDOS útokům. Rychlost lokálního NTP serveru je vyšší než rychlost ethernetového kanálu.
  3. Nemožnost narušení fungování NTP serveru z důvodu neoprávněného přístupu ke zdrojům přes ethernetový port. Časový server NTP poskytuje pouze funkčnost a neodpovídá na žádné další IP pakety.

Modulární design

Základní šasi zdroje SSV-1G je 19palcová skříň s nainstalovanými řídicími moduly, přijímačem signálu SRNS, tepelně stabilizovaným quartz oscilátorem se smyčkou fázového závěsu a backplane pro instalaci funkčních rozšiřujících modulů.

Modulární konstrukce umožňuje vytvořit až 16 NTP serverů na základě jednoho zařízení ve fyzicky oddělených sítích.

Rozšiřující moduly jsou instalovány v souladu s požadovanou konfigurací vstupních / výstupních signálů na základě specifikace stanovené v době objednávky.

Při změně konfigurace není potřeba kupovat nové zařízení, stačí osadit dodatečný potřebný počet rozšiřujících modulů.

Celkem lze nainstalovat až 8 rozšiřujících modulů.

Moduly frekvenčního a časového zdroje SSV-1G

modul MLAN

  • Simple Network Time Protocol (RFC 1769, RFC 2030);
  • časový protokol (RFC 868);
  • Denní protokol (RFC 867).

Modul MLANP

Modul je navržen tak, aby přijímal požadavky od klientů a generoval paket s přesným aktuálním časem podle následujících protokolů:

  • Network Time Protocol (RFC 1119, RFC 1305, RFC 5905);

Protokol PTP (Precision Time Protocol) je navržen pro připojení jednoho klienta. Provozní režim je určen libovolnou kombinací následujících parametrů:

Přenosový protokol Ethernet, UDP
režim adresování Unicast, Multicast, Mixed
dva kroky Ano ne

Při použití Network Time Protocol (NTP) je možné posílat pakety na zadanou IP adresu (včetně broadcast Broadcast) se zadanou frekvencí.

Modul má dva nezávislé kanály se stejnou funkčností a stejnou sadou konfiguračních parametrů. Kanály se konfigurují individuálně. Kapacita zatížení každého kanálu je asi 123 000 paketů za sekundu.

Modul MGLAN (NTP/PTP)

Modul je navržen tak, aby přijímal požadavky od klientů a generoval paket s přesným aktuálním časem podle následujících protokolů:

  • Precision Time Protocol V2 (IEEE Std 1588-2008);
  • Network Time Protocol (RFC 1119, RFC 1305, RFC 5905);
  • Simple Network Time Protocol (RFC 1769, RFC 2030).

modul MPPS

Modul je navržen tak, aby přijímal PPS signál (1Hz) a tvořil signál, jehož tvar je nastaven v konfiguraci, má dva identické kanály, z nichž každý může pracovat v režimu příjmu nebo vysílání.

Modul "MSYNC 120", "MSYNC 75"

Modul je určen pro příjem a generování signálů 2,048 MHz (G.703/10) nebo 2,048 Mbps (G.703/6) a má dva identické kanály, z nichž každý může pracovat v režimu příjmu nebo vysílání signálu.

Modul MCOMB

Modul MCOMB je určen pro příjem/vysílání přesného aktuálního času ve stanoveném formátu přes rozhraní RS-232 a také pro příjem a generování pulsu časové značky 1 PPS.

Podporované protokoly rozhraní RS-232: TOD; Sirf, TimeString, NMEA.

Modul "M10M"

Modul je určen pro příjem a generování signálů 5 MHz nebo 10 MHz a má dva identické kanály, z nichž každý může pracovat v režimu příjmu nebo vysílání signálu.

Modul "MTP" (aktuální smyčka)

Modul je navržen tak, aby generoval puls časové značky přes rozhraní "Current loop" nebo "Dry contact" a má dva nezávislé, galvanicky oddělené kanály.

Modul MIRIG

Modul MIRIG je navržen tak, aby generoval signál podle specifikace protokolu IRIG STANDARD 200-04.

Modul "M422"

Modul "M422" je určen pro příjem/vysílání přesného aktuálního času ve specifikovaném formátu přes rozhraní RS-422/485 a také pro příjem a generování pulzu časové značky přes rozhraní RS-422/485.

Podporované protokoly rozhraní RS-422/485: TOD, Sirf, TimeString, NMEA.

Centralizované řízení

Řízení a řízení provozu synchronizačních zařízení instalovaných v síti operátora může zajišťovat specializovaná síť software"Údržba", vyvinutý CJSC "COMSET-service".

Správa odstraňování problémů

  • shromažďování zpráv o nehodách, poruchách a událostech vyžadujících pozornost připojených zařízení;
  • získání seznamu nehod;
  • filtrace nehod s přiřazením stupně závažnosti k nim;
  • zobrazení nehod a poruch, jakož i jejich charakteristik;
  • kontrola přístupnosti řídicího zařízení (přítomnost komunikačního kanálu mezi zařízením a řídicím systémem);
  • vytváření zpráv o nehodách a událostech.

Řízení bezpečnosti

  • ochrana přístupu do systému pomocí uživatelského jména a hesla;
  • oprávnění uživatele v řídicím systému;
  • čtyři úrovně uživatelských práv od administrátora (s plnými právy) po uživatele s právy pouze pro čtení;
  • kontrola akcí operátorů při zpracování poruch.

Správa konfigurace

  • přidání nového zařízení;
  • pro každé podporované zařízení vzdálené zobrazení informací o zařízení: informace o použitých vstupech/výstupech, konfiguraci zařízení, provozní režimy zařízení, parametry, které určují činnost zařízení;
  • automatické rozpoznání sériová čísla zařízení (funkce inventury).

Řízení výkonnosti

  • zobrazení aktuálních charakteristik zařízení v reálném čase.

Výstup a uživatelské rozhraní

  • údaje o stavu síťových prvků jsou zobrazovány v tabulkové podobě s možností jejich tisku;
  • systém má pohodlné uživatelské rozhraní, což usnadňuje prohlížení:
    • seznam zařízení, jejich aktuální stav a prvky stavové informace;
    • seznam uživatelů, přístupová práva udělená uživatelům;
    • aktuální stav všech modulů zařízení;
    • stav přijímače družicového signálu, stav družicové konstelace viditelné v místě instalace;
    • a mnohem víc.
  • Software „Maintenance“ má pokročilé nástroje pro vizualizaci a analýzu poruchových signálů s možností zvukového upozornění různých tónů, snadno přizpůsobitelné uživatelem systému.

Časový server "SSV-1G" je proprietární vývoj společnosti KOMSET-service. Má nezávislou hardwarovou platformu, vysokou přesnost časování, uživatelsky přívětivé rozhraní a dva napájecí zdroje: hlavní a záložní. Časový synchronizační server v Moskvě si u nás můžete zakoupit ve standardní nebo rozšířené verzi. Zařízení je také možné dodat po celém Rusku. Ceny za zařízení získáte podáním žádosti o obchodní nabídku společnosti.

Kde se používá časový server NTP?

Rozsah zařízení je poměrně široký. NTP servery se používají ve všech zařízeních, kde je extrémně důležité regulovat časové parametry:

  • Společnosti mobilních operátorů a telekomunikací.
  • poskytovatelé internetu.
  • Letiště, železniční a autobusová nádraží.
  • V komerčních automatizovaných účetních systémech.

Synchronizace času je důležitý úkol, i když o tom moc lidí nepřemýšlelo. No, co je špatného na útěku na serveru? Věděli jste, že mnoho problémů s hodinami ovlivňuje protokoly související s kryptografií? Z tohoto důvodu ve službě Active Directory způsobí rozdíl hodin o více než 5 minut problémy s ověřováním Kerberos.

hodinové úrovně. Strata.

Abyste porozuměli zařízení NTP, měli byste o tomto konceptu vědět vrstvy nebo vrstva. Autoritativní zdroje času, jako jsou satelity GPS, cesiové atomové hodiny, rádiové vlny WWVB – to vše vrstva 0. Jsou směrodatné na základě toho, že mají nějaký způsob, jak udržovat velmi přesné měření času. Můžete samozřejmě použít běžné quartzové hodinky, ale s vědomím, že je snadné s nimi ztratit 15 sekund za měsíc, je lepší je nepoužívat jako měřítko času. Vrstva 0 to je, když se za 300 000 let neztratí ani vteřina!

Počítače, které přímo (ne přes síť!) berou čas vrstva 0- tohle je vrstva 1. Protože vždy dochází ke zpožděním způsobeným přenosem signálu a náklady na nastavení času, počítače vrstva 1 ne tak přesné jako vrstva 0, ale v reálném životě rozdíl dosahuje několika mikrosekund (1 µs = 10 -6 s), což je celkem přijatelná odchylka.

Další úroveň počítačů, které zabírají čas po síti vrstva 1- je to... drumroll... intrika... vrstva 2! Opět kvůli různým zpožděním (síť určitě), vrstva 2 trochu pozadu vrstva 1 a určitě od vrstva 0. V praxi se tento rozdíl pohybuje od několika mikrosekund (1 µs = 10 -6 s) do několika milisekund (1 ms = 10 -3 s). Mnozí již nechtějí synchronizaci s vrstvou vrstva 2.

Jak je z diagramu zřejmé, vrstva 4 bere čas od nadřízených vrstva 3. vrstva 5 v vrstva 4 a tak dále. vrstva 16 je považována za nejnižší vrstvu a tam je uvažován čas mimo synchronizaci.

Chcete-li synchronizovat čas pomocí protokolu NTP, musíte nejprve ručně nastavit čas. Rozdíl více než 1000 sekund mezi vaším přesným časem a vašimi hodinkami není povolen. Pokud časový server, který používáte, leží déle než 1000 milisekund (1 sekunda), bude odstraněn ze seznamu a místo něj budou použity jiné. Tento mechanismus umožňuje odfiltrovat špatné zdroje času.

Časový klient.

V souboru /etc/ntp.conf jsou pro klienta důležité řádky Server. Může jich být několik - až 10 kusů!

Kolik přidat? Mějte na paměti:

  • Pokud máte pouze jeden server (jedna serverová linka), pak pokud tento server začne lhát, budete ho slepě následovat. Pokud mu čas vyprší o 5 sekund a vy poběžíte za ním.
  • Pokud jsou přidány 2 servery (2 serverové řádky), pak NTP označí oba jako falešné tickery. Pokud jeden z nich lže, pak NTP nemůže pochopit, kdo lže, protože neexistuje žádné kvorum.
  • Pokud jsou přidány 3 nebo více časových serverů, lze vypočítat jednoho lháře falešné tickery. Pokud existuje 5 nebo 6 časových serverů, můžete najít 2 lháře falešné tickery. Pokud je 7 nebo 8 serverů, pak 3 falešné tickery. Pokud existuje 9 a 10 serverů, pak 4 falešné tickery.

Projekt NTP Pool.

Existuje takový projekt NTP Pool, na jehož adrese pool.ntp.org/zone/ru/ můžete najít časové servery doporučené pro ruské uživatele.

server0.ru.pool.ntp.org
server1.ru.pool.ntp.org
server2.ru.pool.ntp.org
server3.ru.pool.ntp.org

Operační systémy jako Debian a Ubuntu nabízejí uživatelům vlastní časové servery.

server0.debian.pool.ntp.org
server1.debian.pool.ntp.org
server2.debian.pool.ntp.org
server3.debian.pool.ntp.org

server0.ubuntu.pool.ntp.org
server1.ubuntu.pool.ntp.org
server2.ubuntu.pool.ntp.org
server3.ubuntu.pool.ntp.org

Pokud na svém počítači se systémem Linux, který používá NTP, zavoláte ntpq -pn

Vzdálená refid st t, když zpoždění dosahu dotazování offset jitter ========================================= ===================================== +93 180.6.3 77.37.134.150 2 u 62 1024 377 53 658 – 0,877 1,174 +85,21,78,23 193.190.230.65 2 U 1027 1024 377 54,651 0,167 1,531 *62,16,36091963,16,3,309,2060,16,3,360,2060,163,3609,2060163,330 1099,130 ​​52,36 -09,130 ​​52,796 -09,130 ​​52,796 -09,130 ​​52,796 -09,130. 91.189.94.4 193.79.237.14 2 u 596 1024 377 100.219 1.562 1.482

Co říkají názvy sloupců?

  • dálkový- vzdálené servery, se kterými synchronizujete čas.
  • předělat- nadřazená vrstva pro tento server.
  • Svatý- úroveň vrstvy. Od 0 (není pro nás k dispozici) do 16 (pro nás není žádoucí). Ideální - 2.
  • t- typ připojení. " u"- unicast nebo manycast," b"-vysílání nebo vícesměrové vysílání," l"místní referenční hodiny," s"- symetrický uzel," A" - server manycast," B"-vysílání server," M"- server multicast.
  • když- čas, kdy nám server naposledy odpověděl. Parametr zobrazuje číslo v sekundách, ale může být v minutách, pokud je číslo m nebo hodiny, pokud h.
  • hlasování- frekvence dotazování. Minimálně 16 sekund, maximálně 32 hodin. Číslo musí být 2 n . Obvykle je v tomto parametru buď 64 sekund nebo 1024.
  • dosáhnout- 8bitový oktet indikující stav komunikace se vzdáleným časovým serverem: úspěch nebo selhání. Pokud jsou bity nastaveny, pak úspěch, v opačném případě neúspěch. Hodnota 377 je binární 0000 0000 1111 1111.
  • zpoždění- hodnota v milisekundách ukazuje dobu mezi odesláním a přijetím odpovědi (doba oběhu - RTT).
  • offset- posun v milisekundách mezi vámi a časovými servery. Může být kladné nebo záporné číslo.
  • nervozita- absolutní hodnota v milisekundách udávající směrodatnou odchylku vašeho offsetu.

Před IP adresou NTP serveru je symbol - toto je sčítací kód. Druhy sčítací kód:

  • " " - vyřazen jako neplatný. Například s ním není žádné spojení nebo je offline, má příliš vysokou hodnost a neslouží lidem, jako jste vy.
  • "X"- vyřazeno algoritmem "průnik". Algoritmus průniku připraví seznam kandidátských partnerů, kteří se mohou stát zdroji synchronizace, a pro každého z nich vypočítá interval spolehlivosti.
  • "." - spadl kvůli přetečení stolu.
  • "-" - vyřazeno shlukovým algoritmem. Algoritmus shlukování třídí seznam kandidátů podle kódů vrstev a synchronizačních vzdáleností.
  • "+" - server je povolen "kombinačním algoritmem". Tento server je skvělým kandidátem, pokud vám váš aktuální časový server začne selhávat.
  • "#" - server je skvělý alternativní časový server. Server s # lze vidět pouze v případě, že máte více než 10 záznamů serveru v /etc/ntp.conf
  • "*" - aktuální časový server. Jeho hodnoty se používají k synchronizaci vašich hodin.
  • "Ó"- Pulz za sekundu (PPS) server. To obvykle znamená, že tento časový server používá zdroje času, jako jsou satelity GPS a další přesné časové signály. Pokud je nakresleno o, pak se další typy sčítacích kódů již nebudou zobrazovat.

V terénu předělat mohou být následující hodnoty:

  • IP adresa - adresa vzdáleného časového serveru.
  • .ACST.- NTP manycast server.
  • .ACTS.- Automatizovaná počítačová časová služba od American National Institute of Standards and Technology.
  • .AUTH.- chyba ověření.
  • .AUTO - chyba v sekvencích Autokey.
  • .BCST.- NTP vysílací server.
  • .CHU.- Krátkovlnný rozhlasový přijímač ze stanice CHU v Ottawě, Ontario, Kanada.
  • .CRYPT.- Chyba protokolu Autokey.
  • .DCFx.- LF rádiový přijímač ze stanice DCF77 v Mainflingenu, Německo.
  • .DENY.- Přístup odepřen.
  • .GAL.-evropský satelitní přijímač Galileo.
  • .GOES.- Americký geostacionární provozní environmentální satelitní přijímač.
  • .GPS.- Americký přijímač globálního polohového systému.
  • Rádiový přijímač .HBG.- LF ze stanice HBG v Prangins, Švýcarsko.
  • .INIT.- Bylo inicializováno přidružení.
  • Časový kód .IRIG.- Inter Range Instrumentation Group.
  • .JJY.- LF rádiový přijímač ze stanice JJY na hoře Otakadoya, poblíž Fukušimy nebo hory Hagane na ostrově Kyushu, Japonsko.
  • .LFx.- Běžný LF rádiový přijímač.
  • .LOCL - místní hodiny hostitele.
  • .LORC.- LF rádiový přijímač od společnosti Long Range Navigation (LORAN-C).
  • .MCST.- NTP multicast server.
  • .MSF.- Anthorn Radiostanice poblíž Anthorn, Cumbria.
  • .NIST.-Americký národní institut pro standardy a technologie.
  • .PPS.- hodin Puls za sekundu.
  • .PTB.- Physikalisch-Technische Bundesanstalt z Brunswicku a Berlína, Německo.
  • .RATE.- Byl překročen práh dotazování NTP.
  • .STEP.- změna kroku NTP. Zaujatost offset méně než 1000 milisekund, ale více než 125 milisekund.
  • Rádiový přijímač .TDF.- LF ze stanice TéléDiffusion de France v Allouis, Francie.
  • .TIME.- Časový limit přidružení NTP.
  • .USNO.- Námořní observatoř Spojených států.
  • .WWV.- HF rádiový přijímač ze stanice WWV ve Fort Collins, Colorado, Spojené státy americké.
  • .WWVB.- LF rádiový přijímač ze stanice WWVB ve Fort Collins, Colorado, Spojené státy americké.
  • .WWVH.- HF rádiový přijímač ze stanice WWVH v Kekaha, na ostrově Kauai na Havaji, Spojené státy americké.

Nejprve se zbavte myšlenky, jak z toho získat čas vrstva 1, říkají, že jsou nejblíže přesnému času. Jsou blíže nejpřesnějšímu času na planetě, jen oni sami jsou přetížení a mají vysoké zpoždění RTT pro běžné servery. Raději si najdi normálního vrstva 2 a netrap se tím. Nezapomeňte, že mluvíme o mikrosekundách a milisekundách, kterých je v běžném životě docela dost.

Za druhé, nezapomeňte, že připojení k nejbližšímu časovému serveru není vždy ideální. Důležitější není územní blízkost, ale úroveň vrstvy. Projekt NTP Pool publikuje seznam serverů pouze na úrovni vrstva 1 a vrstva 2 a je lepší vzít až 10 časových serverů z tohoto seznamu, což bude v pořádku.

Za třetí, pokud jste jednoduchý domácí uživatel-klient, pak budou servery doporučené pro vás ve vašem operačním systému ideální volbou, která nevyžaduje další gesta.

Pro velké kanceláře by bylo nejlepší zřídit si vlastní časový server pro pracovní počítače. Tento server obdrží přesný čas z internetových časových serverů a poskytne jej lokální počítače. Na serverech Debian a Ubuntu stačí odkomentovat řádek

Omezit masku 192.168.0.0 255.255.0.0 nomodify notrap

v konfiguračním souboru démona ntpd - /etc/ntp.conf

Uživatelé ze sítě 192.168/16 budou moci získat nejpřesnější hodiny z vašeho serveru. Pro interní servery založené na Linuxu, které nejsou časovými servery a dělají své vlastní věci, stačí místo spuštění démona ntpd v klientském režimu zadat v souboru /etc/cron.daily/syncntpd. Doporučuje se, abyste si přečetli rozdíly mezi ntpdate a ntp a rozhodli se sami.
#!/bin/sh
/usr/sbin/ntpdate IP adresu vašeho serveru > /dev/null 2>&1
výstup 0

a jednou denně se díky příkazu ntpdate provede synchronizace času. Abyste předešli nedorozuměním, nebuďte líní před implementací časového serveru a synchronizací všeho a všeho přes protokol NTP – ručně nastavte správný čas na všech serverech a pracovních stanicích, které máte k dispozici. Pokud se váš nesynchronizovaný čas příliš liší od toho správného, ​​pak můžete na začátku začít spoustu zbytečných problémů.

Za čtvrté, NTP není nijak propojeno, ve které zemi a jaká časová pásma se používají a jak dochází k přechodu na letní a zimní čas a zda se takový přechod v této zemi provádí. Tato odpovědnost leží na operačním systému, který musíte aktualizovat, pokud v zemi dojde ke změnám v hodinářství. Na systémech Debian a Ubuntu je za to zodpovědný balíček tzdata a měl by být aktuální.

Za páté, je lepší nezvedat svůj NTP server na vysoce zatíženém systému.

Dobré odpoledne, hosté a pravidelní čtenáři. Postupný přechod od základů k hlubšímu studiu Linuxu. Dnes chci zrecenzovat provoz protokolu ntp, stejně jako nastavení časové servery na linuxu(ntp server). Začněme tedy teorií.

protokol NTP

Network Time Protocol (NTP)- síťový protokol pro synchronizaci vnitřních hodin počítače pomocí sítí s proměnnou latencí (čti "šířka" / kvalita kanálu).

NTP používá pro svou práci Protokol UDP a port 123.

Aktuální verze protokolu - NTP 4. NTP používá hierarchický systém "hodinové úrovně"(také se jim říká Vrstva). Úroveň 0 (nebo vrstva 0)- obvykle se jedná o zařízení, která jsou atomovými hodinami (molekulárními, kvantovými), hodinami GPS nebo rádiovými hodinami. Tato zařízení obvykle nejsou publikována na World Wide Web, ale jsou k nim přímo připojena Časové servery úrovně 1 přes protokol RS-232 (na obrázku označeno žlutými šipkami). Úroveň 1 synchronizované s vysoce přesnými hodinami úroveň 0, obvykle fungují jako zdroje pro servery úroveň 2. Úroveň 2 synchronizované s jedním ze strojů úroveň 1, a je také možné synchronizovat se servery vaší úrovně. Úroveň 3 funguje podobně jako druhý. Obvykle jsou v síti publikovány servery úrovní od druhé a níže. protokol NTP podporuje až 256 úrovní. Také bych rád poznamenal, že servery úrovně 1 a 2 a někdy i 3 nejsou vždy přístupné veřejnosti. Někdy, abyste se s nimi mohli synchronizovat, musíte poslat žádost poštou - správcům domény.

Proč existuje omezení přístupu k serverům? S přechodem na každou úroveň se chyba vzhledem k primárnímu serveru mírně zvyšuje, ale zvýšení celkového počtu serverů a odtud .

Přiřazení NTP serveru v místní síti

Proč potřebujeme NTP server? Existují například služby v operační systémy, což může záviset na synchronizovaném čase. Nejpozoruhodnějším příkladem takových služeb je ověřovací protokol Kerberos. Pro jeho fungování je nutné, aby se na počítačích přistupovaných pomocí tohoto protokolu systémový čas nelišil o více než 5 minut. Přesný čas na všech počítačích navíc značně usnadňuje analýzu bezpečnostních protokolů při vyšetřování incidentů v lokální síť.

Provozní režimy NTP server/klient

Klient-server

Tento režim je na internetu zdaleka nejpoužívanější. Schéma práce je klasické. Klient odešle požadavek, na který server nějakou dobu odešle odpověď. Klient se konfiguruje pomocí direktivy server v konfiguračním souboru, která určuje název DNS časového serveru.

Symetrický aktivní/pasivní režim

Tento režim se používá, pokud se časová synchronizace provádí mezi velkým počtem rovnocenných počítačů. Kromě toho, že se každý stroj synchronizuje s externím zdrojem, synchronizuje se také se svými protějšky, které pro ně fungují jako klient a časový server. I když tedy stroj „ztratí“ externí zdroj, bude stále schopen získat přesný čas od svých sousedů. Sousedé mohou pracovat ve dvou režimech – aktivním a pasivním. Při provozu v aktivním režimu stroj sám přenáší svůj čas na všechny sousední stroje uvedené v sekci peers konfiguračního souboru ntp.conf. Pokud v této části nejsou uvedeni sousedé, pak se má za to, že je stroj v pasivním režimu. Autentizace musí být použita k zabránění útočníkovi v kompromitování jiných počítačů tím, že se vydává za aktivní zdroj.

Režim vysílání

Tento režim se doporučuje, když malý počet serverů obsluhuje velký počet klientů. Při provozu v tomto režimu server pravidelně vysílá pakety pomocí vysílací adresy podsítě. Klient nakonfigurovaný pro synchronizaci tímto způsobem přijímá paket všesměrového vysílání serveru a synchronizuje se se serverem. Charakteristickým rysem tohoto režimu je, že čas je doručován v rámci stejné podsítě (omezení vysílání paketů). Kromě toho musí být k ochraně před vetřelci použita autentizace.

Režim Multicast

Tento režim je v mnoha ohledech podobný vysílání. Rozdíl spočívá v tom, že k doručování paketů se používají multicastové adresy sítí třídy D IP adresního prostoru. Klientům a serverům je přidělena adresa skupiny multicast, kterou používají pro synchronizaci času. To umožňuje synchronizovat skupiny strojů umístěných v různých podsítích za předpokladu, že směrovače, které je spojují, podporují protokol IGMP a jsou nakonfigurovány pro přenos multicastového provozu.

Režim Manycast

Tento režim je novinkou ve čtvrté verzi protokolu NTP. Znamená to, že klient hledá mnoho serverů vysílání mezi svými sousedy v síti, od každého z nich přijímá časové vzorky (pomocí kryptografie) a na základě těchto dat vybírá tři „nejlepší“ servery manycast, se kterými bude klient synchronizovat. V případě výpadku jednoho ze serverů klient automaticky aktualizuje jeho seznam.

K přenosu časových vzorků používají klienti a servery pracující v režimu manycast adresy skupin vícesměrového vysílání (sítě třídy D). Klienti a servery používající stejnou adresu tvoří stejné přidružení. Počet asociací je určen počtem použitých multicastových adres.

Čas v Linuxu

Stručně vám řeknu, jaký čas v Linuxu existuje a jak jej nastavit. V Linuxu, stejně jako v jiných OS, jsou 2 časy. První - Hardware , někdy nazývané Hodiny reálného času, zkráceně ( RTC) (jsou to také hodiny BIOS) jsou obvykle spojeny s oscilujícím křemenným krystalem, který má přesnost až několik sekund za den. Přesnost závisí na různých výkyvech, jako je okolní teplota. Druhé hodiny - vnitřní softwarové hodiny , které běží nepřetržitě, včetně přestávek v systému. Podléhají výkyvům spojeným s vysokým zatížením systému a latencí přerušení. Systém však obvykle čte hardwarové hodiny při bootování a poté je používá.

Datum a čas operačního systému nastavit při bootování na základě hodnoty hardwarové hodiny, stejně jako nastavení časového pásma. Nastavení časového pásma jsou převzata ze souboru /etc/localtime. Tento soubor je odkazem (ale častěji kopií) jednoho ze souborů v adresářové struktuře /usr/share/zoneinfo/.

Hardwarové hodiny Linuxu mohou ukládat čas ve formátu UTC(analog GMT), nebo aktuální územní čas. Obecné doporučení, jaký čas nastavit (?), je následující: pokud má počítač několik operačních systémů a jedním z nich je Windows, musíte použít aktuální čas (protože systém Windows bere čas z BIOSu / CMOS a považuje jej za místní). Pokud pouze v provozu UNIXové systémy rodiny, je žádoucí ukládat čas do BIOSu ve formátu UTC.

Po nabootování operačního systému jsou hodiny operačního systému a BIOS zcela nezávislé. Systémové jádro synchronizuje systémové hodiny s hardwarovými hodinami každých 11 sekund.

Po určité době může být mezi hardwarovými a softwarovými hodinami rozdíl několika sekund. Které hodiny ukazují správný čas? Ani jedno, ani druhé, dokud nenastavíme synchronizace času.

Poznámka:

Linuxové jádro vždy ukládá a vypočítává čas jako počet sekund od půlnoci 1. ledna 1970 roku, zda jsou vaše hodiny nastaveny na místní nebo univerzální čas. Převod na místní čas se provádí během procesu dotazu.

Protože počet sekund od 1. ledna 1970 UTC je uložen jako 32bitové celé číslo se znaménkem (toto platí pro systémy Linux/Intel), vaše hodiny přestanou fungovat kolem roku 2038. Linux nemá problém Y2K, ale má problém Y2038. Naštěstí v té době budou všechny linuxy běžet na 64bitových systémech.

NTP server Linux

Úvod

Existuje mnoho implementací pro synchronizaci času pro OS Linux. Nejznámější jsou Xntpd (NTP verze 3), ntpd (NTP verze 4), Crony a ClockSpeed. V našem příkladu použijeme ntp server ntpd.

Démon ntpd je časový server i klient, v závislosti na nastavení konfiguračního souboru /etc/ntpd.conf (někdy /etc/ntp.conf) může démon „přijímat“ čas ze vzdálených serverů a „distribuovat“ čas na jiné hostitele.

Všeobecné obvod časové synchronizace v místní síti je následující: potřebujete mít 1 nebo 2 servery s přístupem do globální sítě, které budou přijímat čas z internetu. Synchronizujte všechny počítače v místní síti se zadanými servery, které přijímají čas z internetu.

Instalace ntpd

Vlastně, instalace démona jde o instalaci následujících balíčků: ntp(balíček včetně samotného démona), ntpdate(utilita pro ruční synchronizaci času - zastaralá), ntp-doc(dokumentace balíčku), v některých distribucích budete muset nainstalovat totéž ntp-utils(diagnostické nástroje), některé z nich jsou součástí balíčku ntp. Jak instalovat programy na Linux, jsem popsal v. Po instalaci balíčku bude ve většině distribucí již démon nakonfigurován jako ntp klient (například v Debianu to bylo takto). V souladu s tím byly automaticky vytvořeny hlavní konfigurační soubory: /etc/ntp.conf a /var/lib/ntp/ntp.drift a démon byl spuštěn automaticky.

Před konfigurací démona pro synchronizaci s vnějším světem bych navrhoval nastavit aktuální systémové datum na hodnotu, která je co nejblíže reálnému času. Nastavení data v Linuxu vytvořeno příkazem: datum MMDDhhmmCCYY.ss, kde MM - měsíc, DD - den v měsíci, hh - hodiny, mm - minuty, CCYY - 4 číslice roku, ss - sekundy. Přitom hodnoty CCYY.ss není nutné specifikovat.

Jak vidíte, zadaný příkaz nastaví aktuální datum a čas na 27. prosince 2010, 20:06:30. příkaz data bez parametrů zobrazí aktuální systémový čas. Tento příkaz má spoustu možností, které najdete v man date.

Také musíte správně nakonfigurovat hardwarové hodiny a časové pásmo. Jak bylo uvedeno výše, časové pásmo se konfiguruje zkopírováním požadovaného souboru zóny z adresáře /usr/share/zoneinfo/ do souboru /etc/localtime:

Ntp-server:~# cp /usr/share/zoneinfo/Europe/Moskva /etc/localtime

Hardware Nastavil jsem hodiny na UTC:

# cat /etc/sysconfig/clock | grep UTC # UTC=true označuje, že hodiny jsou nastaveny na UTC; UTC=true ntp2-server:~# cat /etc/default/rcS | grep UTC UTC=ano

V prvním příkladu konfigurační soubor, který definuje použití UTC pro RH, druhý - pro distribuce Deb.

Kromě nastavení pro použití času UTC musíte provést nastavení hardwarový čas. (ve většině případů to není nutné, protože nastavený systémový čas je jádrem nevyhnutelně synchronizován s hardwarem). Pokud jste však ochotni tak učinit... příkaz hwclockčte a nastavuje hardwarové hodiny na základě parametrů, které mu byly předány. Dostupné možnosti jsou popsány v manuálové stránce příkazu. Zde je několik příkladů použití hwclock:

ntp-server# hwclock # čte čas z hardwarových hodin ntp-server# hwclock --systohc --utc # nastavuje hardwarové hodiny na # UTC na základě systémového času ntp-server# hwclock --systohc # nastavuje hardwarové hodiny # na místní čas na základě systémového času ntp-server# hwclock --set --date "22 Mar 2002 13:17" # nastaví hardwarové hodiny # na zadaný řetězec

Další možností změny času v hardwarových hodinách je přístup do BIOSu při startu systému. Vzhledem k tomu, že čas operačního systému je nezávislý na hardwarových hodinách, budou jakékoli změny v BIOSu zohledněny při příštím spuštění.

Nyní, když máme vše připraveno a nainstalováno, pojďme na to na staveništi.

Správa démona ntpd

Řízení démon ntpd se neliší od ovládání jakýchkoli jiných démonů. Spusťte nebo restartujte službu ntpd:

#/etc/init.d/ntp start #/etc/init.d/ntp restart

Stop:

#/etc/init.d/ntp stop

#/bin/kill `cat /var/run/ntpd.pid`

Démon má následující možnosti spuštění:

P - soubor PID,
-g - umožní přechod na velký časový skok
-c - konfigurační soubor
-q - vynutí ruční synchronizaci

Nastavení serveru ntpd

Nejprve vám doporučuji změnit parametry spouštění démona v následujícím konfiguračním souboru:

Ntp-server:~# cat /etc/default/ntp NTPD_OPTS="-g"

# cat /etc/sysconfig/ntpd # Parametry pro démona NTP. # Další podrobnosti viz ntpd(8). .... # Určuje další parametry pro ntpd. NTPD_ARGS="-g"

Toto nastavení umožní synchronizaci hodin, i když je velmi velký časový rozdíl.

Takže, jak jsem řekl, informace o konfiguraci démon ntpd je v souboru /etc/ntp.conf. Syntaxe souboru je standardní, jako v mnoha jiných konfiguracích: prázdné řádky a řádky začínající znakem "#" jsou ignorovány. Zde je jednoduchý příklad:

Ntp-server:~# cat /etc/ntp.conf server ntplocal.example.com preferuje server timeserver.example.org server ntp2a.example.net driftfile /var/db/ntp.drift

Parametr server určuje, které servery budou použity pro synchronizaci, jeden na řádek. Pokud je server uveden s argumentem preferovat, jak ntplocal.example.com, pak má tento server přednost před ostatními. Odpověď z preferovaného serveru bude zahozena, pokud se bude výrazně lišit od odpovědí ostatních serverů, jinak bude použita bez ohledu na ostatní odpovědi. Argument preferovat obvykle se používá pro servery NTP, o kterých je známo, že jsou velmi přesné, jako jsou ty, které používají vyhrazené zařízení pro měření času.

Parametr driftfile určuje soubor, který se používá k uložení posunu systémových hodin. Pokud jsem pochopil, tento soubor neustále ukládá nějakou hodnotu, která se tvoří na základě analýzy minulých úprav času, a pokud se externí zdroje času stanou nedostupnými, dojde k úpravě času podle hodnoty ze souboru drift. Nesmí být upravován žádnými jinými procesy. A před zadáním tohoto souboru v konfiguraci - musí být soubor vytvořen.

Ve výchozím nastavení bude NTP server dostupný všem hostitelům v Internetu. Parametr omezit v souboru /etc/ntp.conf umožňuje řídit, které stroje mohou přistupovat k vašemu serveru. Pokud chceš zabránit všem počítačům v přístupu k vašemu NTP serveru, přidejte do souboru následující řádek /etc/ntp.conf:

omezit výchozí ignorovat

Pokud chceš dovolit synchronizujte hodiny pouze se serverem strojů ve vaší síti, ale zákaz jim nakonfigurovat server nebo být rovnými účastníky časové synchronizace, pak místo určeného přidejte řádek:

omezit 192.168.1.0 maska ​​255.255.255.0 nomodify notrap

kde 192.168.1.0 je IP adresa vaší sítě a 255.255.255.0 je její síťová maska. /etc/ntp.conf může obsahovat více omezovacích příkazů.

Aby démon fungoval správně a přesněji, je vhodné zvolit server úrovně - ze vrstvy 2 (můžete samozřejmě stratum1, ale musíte zabít čas hledáním takového serveru) a z vybrané vrstvy 2 ty ke kterému je minimální "vzdálenost". Tyto servery může obvykle poskytovat váš ISP. Počet vybraných serverů je žádoucí - více než 2-3, čím více, tím lépe, ale v rozumných mezích. Pokud jste příliš líní vybrat si nejlepší servery, můžete si vzít seznam otevřených serverů druhé úrovně zde: http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers.

Vyberte seznam referenčních serverů NTP

Přejdeme na zadanou adresu (http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers) a vybereme seznam počátečních serverů. Z tohoto seznamu vybereme servery, které splňují naše požadavky analýzou výstupu příkazu ntpdate. Po provedení příkazu se použije následující syntaxe:

parametry ntpdate servers_space odděleny

Aby náš dotaz neprováděl změny v systému, musíme použít parametr -q, který indikuje použití dotazu bez provedení změn. Je také možné použít přepínač -d, který označuje, že příkaz bude proveden v režimu ladění se zobrazením dalších informací bez provedení skutečných změn (s tímto přepínačem se zobrazí hromada dalšího smetí :), což my ne v tuto chvíli nepotřebuji). Další možnosti viz man 8 ntpdate. Ze zadaného odkazu jsem vybral všechny servery s otevřeným přístupem umístěné v Rusku (RU) + ten, který poskytl poskytovatel a spustil příkaz, ukázalo se něco takového:

ntp-server:~# ntpdate -q ntp2.ntp-servers.net ntp1.vniiftri.ru ntp2.vniiftri.ru ntp4.vniiftri.ru ntp0.ntp-servers.net ntp1.ntp-servers.net ntp.corbina.net Server 88.147.255.85, Stratum 1, offset 0,006494, zpoždění 0,09918 Server 62.117,76,142, Stratum 1, offset 0,002552, zpoždění 0,06920 Server 62.117,76,141, STRATUM 1, 0,003147, DELACE 0,06918 Server 62,117, Server 62,116, Server 62,116, Server 62,116, Server 62.140, Server 62.117,76,141, OFFET. Zpoždění 0,07350 Server 88.147.254.228, Stratum 1, offset -0,002355, zpoždění 0,12030 Server 88.147,254,229, Stratum 1, offset -0,000922, zpoždění 0,10577 Server 62.117.76.138, STRATUM 1, offlet, 0,00531, 0,0401, 0,0401, 0,0401, 0,0401, 0,0401, 0 , offset 0,002846, zpoždění 0,07188 13 Jan 19:14:09 ntpdate: upravit časový server 62.117.76.141 offset 0,003147 sec

V příkladu naše servery úspěšně vydaly úroveň stratum1, což je dobrá zpráva (kromě serveru poskytovatele), offset je časový rozdíl s tímto serverem v sekundách, zpoždění je zpoždění synchronizace v sekundách. Obvykle b Ó Vyšší přesnosti je dosaženo při použití serverů, které mají přenos paketů po síti s nízkou latencí. Chcete-li to zjistit, můžete použít . V souladu s tím nejprve vyberte ty s kratší dobou odezvy a z nich ty s menším počtem skoků. Abych neztrácel čas, použiji všechny zadané servery a vložím je do konfiguračního souboru. Celkem, s vědomím všeho výše uvedeného, ​​popíšu svůj výsledný soubor /etc/ntp.conf:

Ntp-server:~# cat /etc/ntp.conf # LAN servery (komentováno, nepoužívá se - pouze jeden server v síti) #server 192.168.0.2 #server 192.168.0.5 # Internetový server server ntp2.ntp-servery. síťový server ntp1.vniiftri.ru server ntp2.vniiftri.ru server ntp4.vniiftri.ru server ntp0.ntp-servers.net server ntp1.ntp-servers.net server ntp3.vniiftri.ru server ntp.corbina.net # Soubory serveru driftfile /var/lib/ntp/ntp.drift logfile /var/log/ntpstats # omezení přístupu k serveru: # ve výchozím nastavení vše ignorovat omezit výchozí ignorovat # localhost bez parametrů - vše je povoleno. Parametry jdou pouze do zákazů. omezit 127.0.0.1 # dále popisuje servery, se kterými synchronizujeme v místní síti. # Povolujeme jim vše kromě pastí a požadavků na nás omezovat 192.168.0.2 noquery notrap omezovat 192.168.0.5 noquery notrap # pro LAN také umožňujeme vše kromě pastí a modifikací omezovat 192.168.0.1 maskovat 255.255.255.0 # povolit externí zdroje času nopeer přístup: omezit ntp2.ntp-servers.net omezit ntp1.vniiftri.ru omezit ntp2.vniiftri.ru omezit ntp4.vniiftri.ru omezit ntp0.ntp-servers.net omezit ntp1.ntp-servers.net omezit ntp3.vniiftri.ru omezit ntp.corbina.net # a to je hack, který nastavuje úroveň důvěry pro server (stratu) sobě rovnou na 3 # v kostce, čím vyšší úroveň, tím nižší číslo. 0 jsou atomové hodiny, #1 je s nimi synchronizováno, 2 je s prvními a tak dále. server 127.127.1.1 fudge 127.127.1.1 vrstva 3

Pro hlubší pochopení a konfiguraci serveru popíšu některé možnosti konfigurace ntpd, které jsem nezmínil:

  • povolit zakázat auth/monitor/pll/pps/stats - zapnout vypnout pracovní režim:
    • auth- komunikovat s neuvedenými sousedy pouze v autentizačním režimu;
    • monitor- umožnit sledování požadavků;
    • pll- umožnit nastavení místní frekvence hodin přes NTP;
    • statistiky- umožnit shromažďování statistik;
  • statistikaloopstats- při každé úpravě lokálních hodin zapíše řádek do souboru loopstats;
  • statistikapeerstats- každá komunikace se sousedem je zaznamenána v protokolu uloženém v souboru peerstats;
  • statistikahodinové statistiky- každá zpráva z ovladače místních hodin je zapsána do protokolu uloženého v souboru hodinové statistiky;
  • statsdir(jméno_katalogu_se_statistikami)- nastavuje název adresáře, kde budou umístěny soubory se statistikou serveru;
  • filegen - definuje algoritmus pro generování názvů souborů, který se skládá z:
    • předpona- konstantní část názvu souboru, nastavená buď při kompilaci nebo speciálními konfiguračními příkazy;
    • Název souboru- přidáno do předpony bez lomítka, dvě tečky jsou zakázány, lze změnit pomocí klíče souboru;
    • přípona- se generuje v závislosti na názvu typu;
  • omezitčíselná adresa- nastavuje omezení přístupu: pakety jsou tříděny a maskovány, zdrojová adresa se bere a porovnává sekvenčně, příznak se bere od posledního úspěšného porovnání přístup:
    • žádné vlajky- umožnit přístup;
    • ignorovat- ignorovat všechny pakety;
    • noquery- ignorovat pakety NTP 6 a 7 (požadavek a změna stavu);
    • nomodovat- ignorovat pakety NTP 6 a 7 (změna stavu);
    • omezený- obsluhovat pouze omezený počet klientů z dané sítě;
    • nepeer- sloužit hostiteli, ale nesynchronizovat se s ním;
  • klientský limitomezit- pro vlajku omezený určuje maximální počet obsluhovaných klientů (standardně 3);

Celkem jsme dostali ntpd-server, který je synchronizován s vnějším světem, umožňuje získat čas pro klienty z místní sítě 192.168.0.1 s maskou 255.255.255.0 a lze jej také synchronizovat s místním serverem (pokud odkomentujete pár řádků). Potřebujeme pouze nastavit klienty a naučit se monitorovat náš server.

Monitorování ntpd serveru a synchronizace

Až budete mít vše připraveno. NTP bude udržovat čas v synchronizaci. Tento proces lze pozorovat pomocí příkazu NTP Query (ntpq):

Ntp-server:~# ntpq -p vzdálené refid st t, když se zpoždění posunu dotazování jitter ============================== ==============================================-n3. čas1. d6.hsd .PPS. 1 u 34 64 177 70,162 2,375 8,618 +ntp1.vniiftri.r .PPS. 1 u 33 64 177 43,479 -0,020 10,198 *ntp2.vniiftri.r .PPS. 1 u 6 64 177 43,616 -0,192 0,688 +ntp4.vniiftri.r .PPS. 1 u 4 64 177 43,623 0,440 0,546 -n1.čas1.d6.hsd .PPS. 1 u 53 64 77 92,865 -11,358 38,346 -ns1.hsdn.org .GPS. 1 u 40 64 177 78,057 -3,292 35,083 -ntp3.vniiftri.r .PPS. 1 u 44 64 77 47,667 2,292 2,611 -scylla-l0.msk.c 192,43.244,18 2 u 62 64 77 41,565 -1,564 28,914

Tento příkaz s přepínačem -p vypíše na standardní výstup seznam zdrojů času s jejich charakteristikami (další možnosti příkazu v man ntpq). Význam každého sloupce je následující:

Název vzdáleného serveru NTP. Pokud zadáte přepínač -n, získáte místo jmen IP adresy serveru.

Označuje, odkud každý server aktuálně získává čas. Může to být název hostitele nebo něco jako .GPS označující původ systému Global Positioning System.

Stratum (úroveň) je číslo od 1 do 16 udávající přesnost serveru. Jedna znamená maximální přesnost, 16 znamená, že server je nedostupný. Vaše úroveň bude rovna úrovni nejméně přesného vzdáleného serveru plus 1.

Interval mezi průzkumy (v sekundách). Hodnota se bude měnit mezi minimální a maximální rychlostí dotazování. Na začátku bude interval malý, aby synchronizace proběhla rychle. Po synchronizaci hodin se interval začne prodlužovat, aby se snížil provoz a zatížení oblíbených časových serverů.

Osmičková reprezentace 8bitového pole představující výsledky posledních osmi pokusů o připojení k serveru. Bit je nastaven, pokud vzdálený server odpověděl.

Doba (v sekundách), kterou trvá získání odpovědi na dotaz „kolik je hodin?“.

Nejdůležitější obor. Rozdíl mezi časem místního a vzdáleného serveru. Během synchronizace by se tato hodnota měla snížit (blíže k nule), což znamená, že hodiny místního počítače jsou stále přesnější.

Rozptyl (jitter) je mírou statistických odchylek od hodnoty offsetu (pole offsetu) v průběhu několika úspěšných párů požadavek-odpověď. Menší hodnota rozptylu je výhodnější, protože umožňuje přesnější synchronizaci času.

Význam znaků před názvy serverů

x - falešný zdroj podle průsečíkového algoritmu;
. - vyloučen ze seznamu kandidátů z důvodu velké vzdálenosti;
- - odstraněn ze seznamu kandidátů pomocí shlukovacího algoritmu;
+ - zařazen do konečného seznamu kandidátů;
# - vybráno pro synchronizaci, ale existuje 6 nejlepších kandidátů;
* - vybráno pro synchronizaci;
o - vybráno pro synchronizaci, ale používá se PPS;
prostor - příliš mnoho úrovně, cyklus nebo zjevná chyba;

služba ntpd„chytrá“ a sama odpleveluje zdroje času, které jsou příliš za hranicí rozumu. Nějaký čas po spuštění si ntpd vybere nejspolehlivější zdroje dat a bude se s nimi synchronizovat. Seznam námi poskytovaných referenčních NTP serverů je službou pravidelně revidován.

Možnost synchronizace místně na serveru můžete zkontrolovat příkazem:

Ntp-server:~# ntpdate -q localhost server 127.0.0.1, vrstva 2, offset -0,000053, zpoždění 0,02573 server::1, vrstva 2, offset -0,000048, zpoždění 0,02571 14. ledna 14:49: upravit čas serveru ::1 offset -0,000048 sec

Z výstupu příkazu je vidět, že náš server se již stal úrovní 2. Dosažení této úrovně nějakou dobu trvá. Možná během prvních 10-15 minut bude úroveň serveru vyšší.

Správnou činnost serveru ntp lze také posoudit podle protokolů démona ntpd:

Ntp-server:~# cat /var/log/ntpstats/ntp 13. ledna 20:13:16 ntpd: Poslouchání na rozhraní #5 eth0, fe80::a00:27ff:fec1:8059#123 Povoleno 13. ledna 20:13: 16 ntpd: Poslech na rozhraní #6 eth0, 192.168.0.8#123 Povoleno 14. ledna 14:31:00 ntpd: synchronizováno s 62.117.76.142, stratum 1 14. ledna 14:31:10 +141129 s resetováním času ntpd. :31:10 ntpd: změna stavu synchronizace času jádra 0001 14. ledna 14:34:31 ntpd: synchronizováno na 88.147.255.85, vrstva 1 14. ledna 14:36:04 ntpd: synchronizováno na 62.1417:14 stratum 1. ledna 04:36 ntpd: synchronizováno s 62.117.76.142, vrstva 1 14. ledna 15:10:58 ntpd: synchronizována s 62.117.76.140, vrstva 1 14. ledna 15:17:54 ntpd: 4 ntpd 15 nedostupné servery : synchronizováno na 62.117.76.140, vrstva 1 14. ledna 15:32:14 ntpd: reset času +13.139105 s

Konfigurace netfilter (iptables) pro NTP server

Po konfiguraci serveru by bylo hezké jej chránit. Víme, že server běží na portu 123/udp, přičemž požadavky jsou také odesílány z portu 123/udp. Po přečtení článku a přečtení těch praktických můžete vytvořit pravidla filtrování síťového provozu:

Ntp ~ # iptables-save # obecná pravidla iptables pro DNS *filtr:PÁDNUTÍ VSTUPU :POPÁDNUTÍ VPŘED :POPNUTÍ VÝSTUPU -A VSTUP -i lo -j PŘIJMOUT -A VSTUP -m conntrack --ctstate RELATED,ESTABLISHED -j PŘIJMOUT -A INPUT -m conntrack --ctstate INVALID -j DROP # povolit LAN přístup k NTP serveru: -A INPUT -s 192.168.1.1/24 -d 192.168.1.1/32 -p udp -m udp --dport 123 -m conntrack - - ctstate NEW -j PŘIJÍMÁTE -A VÝSTUP -o lo -j PŘIJÍMÁ -A VÝSTUP -p icmp -j PŘIJÍMÁ -A VÝSTUP -p udp -m udp --sport 32768:61000 -j PŘIJÍMÁ -A VÝSTUP -p tcp -m tcp --sport 32768:61000 -j PŘIJÍMÁM -A VÝSTUP -m conntrack --ctstate SOUVISEJÍCÍ,STANDOVÁNO -j PŘIJÍMÁM # povolit přístup k serveru NTP pro odchozí požadavky -A VÝSTUP -p udp -m udp --sport 123 --dport 123 -m conntrack --ctstate NOVÉ -j PŘIJMOUT ZÁVAZEK

Toto je typický příklad! Chcete-li nastavit pravidla iptables pro vaše úlohy a konfiguraci sítě, musíte porozumět tomu, jak funguje netfilter v Linuxu, přečtením si výše uvedených článků.

Nastavení klientských strojů

Chcete-li synchronizovat čas na počítačích UNIX místní síti, je vhodné použít utilitu ntpdate, spouštět ji několikrát denně, například každou hodinu. Chcete-li to provést, musíte přidat následující řádek:

0 * * * * /usr/sbin/ntpdate -s

Přepínač -s řídí výstup příkazu. Pokud mají klientské počítače pár megabajtů paměti RAM navíc, můžete spustit démona ntpd, stejně jako na serveru s následující konfigurací:

server omezit výchozí ignorovat omezit noquery notrap omezit 127.0.0.1 nomodify notrap

Myslím, že v této konfiguraci je vše jasné: zdroj času (server) je místní server ntpd, odepřít přístup všem, povolit pouze místní server ntpd.

Na klientech také musíte správně určit, ve kterém formátu se má ukládat čas, a vybrat správné časové pásmo, .

Konfigurace klienta Windows NTP, musíte v konzoli spustit následující příkazy:

C:\>nettime /setsntp: Příkaz byl úspěšně dokončen. C:\>net stop w32time Služba Windows Time se zastavuje. Služba Windows Time byla úspěšně zastavena. C:\>net start w32time Služba Windows Time se spouští. Služba Windows Time byla úspěšně spuštěna. C:\>net time /querysntp Aktuální hodnota SNTP je: Příkaz byl úspěšně dokončen.

Závěr

No jako všechno! Objem článku se ukázal být obrovský ... ani jsem to sám nečekal. Dovolte mi to trochu shrnout. Doufám, že v tomto článku nám bylo jasné, co je a jak NTP server funguje. Naučili jste se, jak nastavit server a klienty na UNIX a Stroje se systémem Windows. Stručně řečeno, struktura časové synchronizace v lokální síti je následující: V lokální síti je 1,2 a více přesných časových serverů, které synchronizují svůj čas s externími zdroji v globální síti. Nastavení serveru a klienta jsou založena na /etc/ntp.conf (hlavní konfigurační soubor démona ntpd), /etc/localtime (aktuální soubor časového pásma), /etc/sysconfig/ntp (pro RH) a /etc/default /ntp (pro Deb) - soubory spouštěcích parametrů démona. Pro lokální ntp server jsou v konfiguračním souboru specifikovány externí servery pro příjem času a přístup je povolen pro tyto servery s parametrem omezení, stejně jako pro počítače v lokální síti, pro klienty je určen zdroj času - lokální servery na místní síti a přístup je také odepřen všem , kromě zdroje času v místní síti. Všechno. Děkuji všem za pozornost! Budu ráda za komentáře!

  • (archiv článků) popisuje, jak připojit GPS k serveru pro uspořádání vašeho serveru přesného času na úrovni Stratum1.
  • popisuje, jak nakonfigurovat autorizaci na serveru ntp.

V operačních systémech existuje mnoho služeb, jejichž normální fungování závisí na přesnosti systémových hodin. Pokud není na serveru nastaven přesný čas, může to způsobit různé problémy.

Například v lokální síti je vyžadována synchronizace hodin strojů sdílejících soubory – jinak nebude možné správně nastavit čas úpravy souborů. To zase může způsobit konflikty verzí nebo přepsání důležitých dat.

Pokud server nemá nastaven přesný čas, nastanou problémy s úlohami Cron – není jasné, kdy budou spuštěny. Bude velmi obtížné analyzovat systémové protokoly událostí, aby bylo možné diagnostikovat příčiny poruch a poruch ...

Můžete pokračovat dlouho...

Abyste se vyhnuli všem popsaným problémům, je třeba nastavit synchronizaci systémových hodin. Linux k tomu používá protokol NTP (Network Time Protocol). V tomto článku budeme podrobně hovořit o tom, jak nainstalovat a nakonfigurovat NTP na server. Začněme malým teoretickým úvodem.

Jak funguje protokol NTP?

Protokol NTP je založen na hierarchické struktuře přesných časových serverů, ve kterých jsou rozlišeny různé úrovně (anglické vrstvy). Úroveň 0 odkazuje na referenční hodiny (atomové hodiny nebo hodiny GPS). Na úrovni nula NTP servery nefungují.

Servery Tier 1 NTP, které jsou zdroji pro servery Tier 2, se synchronizují s referenčními hodinami. Servery Tier 2 se synchronizují se servery Tier 1, ale mohou se také synchronizovat mezi sebou. Servery úrovně 3 a nižší fungují stejným způsobem. Celkem je podporováno až 256 úrovní.

Hierarchická struktura protokolu NTP se vyznačuje odolností proti chybám a redundancí. V případě selhání spojení s nadřazenými servery převezmou proces synchronizace záložní servery. Redundance zajišťuje, že servery NTP jsou vždy dostupné. Díky synchronizaci s více servery používá NTP data ze všech zdrojů k výpočtu nejpřesnějšího času.

Instalace a konfigurace serveru NTP

Nejznámějším a nejpoužívanějším nástrojem pro synchronizaci času je démon ntpd. V závislosti na nastavení zadaném v konfiguračním souboru (toto bude probráno níže) může fungovat jako server i jako klient (tj. může přijímat čas od vzdálených hostitelů a distribuovat jej dalším hostitelům). Níže podrobně popíšeme, jak nainstalovat a nakonfigurovat tohoto démona v OC Ubuntu.

Instalace

Program NTP je součástí distribucí většiny moderních systémů Linux a instaluje se pomocí standardního správce balíčků:

$ sudo apt-get install ntp

Nastavení

Po dokončení instalace otevřete textový editor/etc/ntp.conf. Ukládá všechna nastavení programu. Zvažme je podrobněji.

Možnosti protokolování

První řádek konfiguračního souboru vypadá takto:

Driftfile /var/lib/ntp/ntp.drift

Určuje soubor pro ukládání informací o frekvenci časového posunu. Tento soubor ukládá hodnotu vyplývající z předchozích úprav času. Pokud se externí servery NTP z toho či onoho důvodu stanou nedostupnými, hodnota se převezme z nich.

Soubor protokolu /var/log/ntp.log

Seznam serverů pro synchronizaci

Konfigurační soubor specifikuje seznam NTP serverů, se kterými bude synchronizace provedena. Ve výchozím nastavení to vypadá takto:

Server 0.ubuntu.pool.ntp.org server 1.ubuntu.pool.ntp.org server 2.ubuntu.pool.ntp.org server 3.ubuntu.pool.ntp.org

Každý řádek znamená skupinu serverů, které budou našemu serveru hlásit správný čas. Přesnost synchronizace můžete zlepšit pomocí možnosti iburst (označuje, že na server by měl být odeslán k synchronizaci ne jeden, ale několik paketů):

Server 0.ubuntu.pool.ntp.org iburst server 1.ubuntu.pool.ntp.org iburst server 2.ubuntu.pool.ntp.org iburst server 3.ubuntu.pool.ntp.org iburst

Můžete také zadat preferovaný server pomocí preferované možnosti:

Server 0.ubuntu.pool.ntp.org preferuje iburst

NTP servery jsou rozesety po celém světě (zde je například seznam dostupných veřejných NTP serverů). Pro zajištění přesnějšího nastavení systémových hodin se doporučuje synchronizovat pouze s ntp servery regionu, ve kterém se náš server geograficky nachází. Chcete-li to provést, v konfiguračním souboru /etc/ntp.conf zadejte regionální subdoménu pro pool.ntp.org v adresách serveru:

  • Asie – asia.pool.ntp.org;
  • Evropa - europe.pool.ntp org;
  • Afrika — africa.pool.ntp.org;
  • Severní Amerika - north-america.pool.ntp.org;
  • Jižní Amerika - south-america.pool.ntp.org;
  • Oceánie - oceania.pool.ntp.org.

Můžete také zadat subdomény pro jednotlivé země (podrobněji viz ). Existuje také subdoména pro Rusko - ru.pool.ntp.org

Záložní časový server

Server NTP, který je z jakéhokoli důvodu odpojen od internetu, může přenášet data svých systémových hodin pro synchronizaci. Chcete-li to provést, přidejte do konfiguračního souboru následující řádek:

Server 127.127.1.0

Omezení

V poslední době se stále častěji objevují případy použití NTP serverů pro zesílení provozu při DDoS útocích (podrobněji viz např.). Aby se náš server nestal obětí zneužití, bylo by užitečné nastavit omezení přístupu pro externí klienty. Ve výchozím nastavení jsou v souboru /etc/ntp.conf nastavena následující omezení:

Omezit −4 výchozí kod notrap nomodify nopeer noquery omezit −6 výchozí kod notrap nomodify nopeer noquery

Volby nomodify, notrap, nopeer a noquery brání klientům třetích stran v úpravě čehokoli na serveru. Parametr kod (tato zkratka znamená polibek smrti) poskytuje další ochranu: klient, který odešle příliš mnoho požadavků, nejprve obdrží tzv. paket kod (upozornění na odmítnutí služby) a poté bude odpojen od serveru.

Aby se počítače z místní sítě synchronizovaly se serverem NTP, přidejte do konfiguračního souboru následující řádek:

Omezit masku 192.168.1.0 255.255.255.0 nomodify notrap

Pro místního hostitele můžete nastavit přístup k serveru NTP bez omezení:

Omezit 127.127.1.0

Kontrola synchronizace

Po provedení všech nezbytných změn v konfiguračním souboru a uložení restartujte server NTP:

$ restart služby ntp

Poté spusťte následující příkaz:

$ ntpq -pn

Jeho výstup bude prezentován ve formě tabulky:

Vzdálená refid st t, když zpoždění dosahu dotazování offset jitter ========================================= ===================================== *62.76.96.4 130.173.91.58 2 u 207 256 37 10 985 – 215.79 256.992 +85.21.78.91 89.175.22.41 2 U 193 256 37 32.623 -207.70 259.121 +31.131.249.27 89.175.22.41 2 U 19621 -216.90 257.037 +85.21.11.11.1111111.11.111111111.1111111111.1AND 207.41 259.863 +91.189.94.4 193.79.237.14 2 u 192 256 37 50,573 -206,62 259,542

V tabulce jsou uvedeny následující parametry:

  • vzdálený — přesná adresa časového serveru (tento sloupec zobrazuje servery ze seznamu v konfiguračním souboru);
  • refid - upstream server (ten, ze kterého server z předchozích sloupců přijímá synchronizaci);
  • st — úroveň (vrstva) serveru;
  • t — typ peer (u- unicast, m- multicast);
  • kdy je čas poslední synchronizace;
  • dotazování je čas v sekundách, který trvá synchronizaci démona NTP s peerem.
  • dosah — stav dostupnosti serveru; po osmi úspěšných pokusech o synchronizaci se hodnota tohoto parametru rovná 377;
  • zpoždění — doba zpoždění odezvy ze serveru;
  • offset je časový rozdíl mezi naším serverem a synchronizačním serverem; kladná hodnota tohoto parametru znamená, že naše hodiny jsou rychlé, záporná hodnota znamená, že jsou pozadu;
  • jitter je časový posun na vzdáleném serveru.

Nalevo od adresy serveru lze zadat následující znaky:

  • * server vybraný pro synchronizaci;
  • + server vhodný pro aktualizaci (se kterým se můžete synchronizovat);
  • — nedoporučuje se synchronizovat se serverem;
  • x server je nedostupný.

Zda je server ze seznamu vhodný pro synchronizaci, můžete zkontrolovat pomocí příkazu:

Ntpdate -q server хх.ххх.ххх.ххх, vrstva 2, offset −0,127936, zpoždění 0,02600 7. července 14:30:23 ntpdate: upravit časový server хх.хххххх.2.

Z výše uvedeného výstupu je vidět, že server je vhodný pro synchronizaci, jeho úroveň je 2, offset je 0,127936 ms a zpoždění je 0,026 ms.

Jak synchronizace probíhala (úspěšně nebo s chybami), můžete také zjistit z protokolů:

7. července 15:17:17 ntpd: synchronizováno s 91.198.10.4, stratum=2 7. července 15:17:17 ntpd: synchronizace času jádra zakázána 0041 7. července 15:17:21 ntpd: synchronizace času jádra povolena 0001

Nastavení místního data a času

Příkaz ntpdate lze použít k nastavení místního data a času na serveru odesláním požadavku na server NTP.