Tinklo laiko protokolas yra tinklo protokolas, skirtas sinchronizuoti kompiuterio vidinį laikrodį naudojant kintamos delsos tinklus, pagrįstus paketų perjungimu.

Nors tradiciškai NTP savo darbui naudoja UDP, jis taip pat gali veikti per TCP. NTP sistema yra labai atspari žiniasklaidos delsos pokyčiams.

Laikas NTP sistemoje pateikiamas kaip 64 bitų skaičius, susidedantis iš 32 bitų sekundžių skaitiklio ir 32 bitų trupmeninio sekundžių skaitiklio, leidžiančio perduoti laiką 2–32 sekundžių intervale, teoriniu tikslumu 2-32 sekundes. Kadangi NTP laiko skalė kartojasi kas 232 sekundes (136 metus), gavėjas turi bent apytiksliai žinoti dabartinį laiką (iki 68 metų). Taip pat atminkite, kad laikas skaičiuojamas nuo 1900 m. sausio 1 d. vidurnakčio, o ne nuo 1970 m., todėl iš NTP laiko reikia atimti beveik 70 metų (įskaitant keliamuosius metus), kad laikas būtų teisingai suderintas su Windows ar Unix sistemomis. .

Kaip tai veikia

NTP serveriai veikia hierarchiniame tinkle, kiekvienas hierarchijos lygis vadinamas pakopa (sluoksniu). 0 pakopa rodoma atskaitos laikrodžiu. GPS signalas (Global Positioning System) arba ACTS (Automatizuota kompiuterio laiko paslauga) yra laikomas atskaitos tašku. Nulinėje pakopoje NTP serveriai neveikia.

1 pakopos NTP serveriai gauna laiko duomenis iš atskaitos laikrodžio. 2 pakopos NTP serveriai sinchronizuojami su 1 pakopos serveriais. Iš viso gali būti iki 15 pakopų.

NTP serveriai ir NTP klientai savo laiko duomenis gauna iš 1 pakopos serverių, nors praktiškai NTP klientams būtų geriau to nedaryti, nes tūkstančiai individualių klientų užklausų būtų per daug 1 pakopos serveriams. Geriau nustatyti vietinį NTP serveris, kurį jūsų klientai naudos norėdami gauti informaciją apie laiką.

Hierarchinė NTP protokolo struktūra yra atspari gedimams ir perteklinė. Pažvelkime į jo darbo pavyzdį. Du 2 pakopos NTP serveriai sinchronizuojasi su šešiais skirtingais 1 lygio serveriais, kurių kiekvienas yra nepriklausomas. Vidiniai kompiuteriai sinchronizuojami su vidiniais NTP serveriais. Du 2 pakopos NTP serveriai derina laiką vienas su kitu. Jei susiejimas su 1 pakopos serveriu arba vienu iš 2 lygio serverių nepavyksta, sinchronizavimo procesą perima perteklinis 2 lygio serveris.

Panašiai 3 pakopos prieglobos ir įrenginiai gali naudoti bet kurį iš 2 pakopos serverių. Dar svarbiau, kad perteklinis NTP serverių tinklas užtikrina, kad laiko serveriai visada bus pasiekiami. Sinchronizuodamas su keliais laiko serveriais, NTP naudoja duomenis iš visų šaltinių, kad apskaičiuotų tiksliausią laiką.

Verta paminėti, kad NTP protokolas nenustato laiko gryniausia forma. Jis koreguoja vietinį laikrodį naudodamas laiko poslinkį, skirtumą tarp laiko NTP serveryje ir vietinio laikrodžio. NTP serveriai ir klientai koreguoja savo laikrodžius sinchronizuodami su esamu laiku palaipsniui arba visus iš karto.

MSK-IX NTP serveris yra viešasis laiko serveris, palaikomas MSK-IX. Tikslaus laiko serveris skirtas sinchronizuoti su kompiuterių ir tinklo įrangos (serverių, maršrutizatorių, išmaniųjų telefonų ir kt.) vidinių laikrodžių etaloniniu šaltiniu, naudojant NTP protokolą.

MSK-IX NTP serveris priklauso aukščiausiam tikslumo lygiui (Stratum One Time Servers) hierarchinėje laikrodžio lygių sistemoje. Pasaulinės palydovinės navigacijos sistemų GLONASS (prioritetas) ir GPS signalas naudojamas kaip atskaitos laiko signalas.

MSK-IX NTP serveris yra įdiegtas kaip serverių, esančių Maskvoje, Sankt Peterburge, Jekaterinburge ir Novosibirske, grupė. Anycast tinklo technologijos naudojimas užtikrina aukštą sistemos patikimumą ir greitą reagavimą visoje šalyje.

MSK-IX serveriai taip pat įtraukti į tarptautinį NTP serverių telkinį POOL.NTP.ORG, kuris plačiai naudojamas operacinės sistemos nustatymuose.

Kaip pradėti naudotis NTP serverio paslauga?

Konfigūruodami aparatinę įrangą naudokite šias parinktis:

Serverio pavadinimas	ntp.msk-ix.ru
IPv4 adresas	194.190.168.1
IPv6 adresas	2001:6d0:ffd4::1

Kaip užmegzti tarpusavio ryšį su MSK-IX NTP serverių tinklu?

Norėdami sutrumpinti tinklo maršrutą iki MSK-IX NTP serverio, naudokite maršruto serverio paslaugą arba nustatykite tiesioginį tarpusavio ryšį su MSK-IX DNS debesies tinklu. Tarpusavio ryšys užmezgamas pagal papildomą paraišką pagal prisijungimo prie MSK-IX sutartį be papildomo mokesčio.

Laba diena, svečiai ir nuolatiniai skaitytojai. Palaipsniui pereinama nuo pagrindų prie išsamesnio Linux tyrimo. Šiandien noriu peržiūrėti ntp protokolo veikimas, taip pat nustatymas laiko serveriai Linux sistemoje(ntp serveris). Taigi pradėkime nuo teorijos.

NTP protokolas

Tinklo laiko protokolas (NTP)- tinklo protokolas, skirtas sinchronizuoti kompiuterio vidinį laikrodį naudojant tinklus su kintamu vėlavimu (skaitykite "plotį" / kanalo kokybę).

NTP naudoja savo darbui UDP protokolas ir 123 prievadas.

Dabartinė protokolo versija - NTP 4. NTP naudoja hierarchinę sistemą "valandų lygiai"(jie taip pat vadinami Stratum). 0 lygis (arba 0 sluoksnis)- dažniausiai tai yra įrenginiai, kurie yra atominiai laikrodžiai (molekuliniai, kvantiniai), GPS laikrodžiai arba radijo laikrodžiai. Šie įrenginiai paprastai nėra skelbiami žiniatinklyje, bet yra tiesiogiai prijungti prie 1 lygio serveriai per RS-232 protokolą (iliustracijoje pažymėta geltonomis rodyklėmis). 1 lygis sinchronizuojamas su didelio tikslumo laikrodžiu 0 lygis, paprastai veikia kaip serverių šaltinis 2 lygis. 2 lygis sinchronizuojama su viena iš mašinų 1 lygis, taip pat galima sinchronizuoti su savo lygio serveriais. 3 lygis veikia panašiai kaip antrasis. Paprastai tinkle skelbiami antro ir žemesnio lygio serveriai. NTP protokolas palaiko iki 256 lygių. Taip pat norėčiau pažymėti, kad 1 ir 2, o kartais ir 3 lygio serveriai ne visada yra atviri visuomenei. Kartais, norint su jais sinchronizuoti, reikia išsiųsti užklausą paštu – domeno administratoriams.

Kodėl yra ribojama prieiga prie serverių? Perėjus į kiekvieną lygį, klaida, palyginti su pagrindiniu serveriu, šiek tiek padidėja, tačiau padidinti bendrą serverių skaičių ir todėl.

NTP serverio priskyrimas vietiniame tinkle

Kodėl mums reikia NTP serverio? Pavyzdžiui, operacinėse sistemose yra paslaugų, kurios gali priklausyti nuo sinchronizuoto laiko. Ryškiausias tokių paslaugų pavyzdys yra Kerberos autentifikavimo protokolas. Kad jis veiktų, kompiuteriuose, prie kurių prisijungiama naudojant šį protokolą, sistemos laikas skirtųsi ne daugiau kaip 5 minutėmis. Be to, tikslus laikas visuose kompiuteriuose labai palengvina saugos žurnalų analizę tiriant incidentus vietiniame tinkle.

NTP serverio/kliento darbo režimai

Kliento serveris

Šis režimas yra pats dažniausiai naudojamas internete. Darbo schema klasikinė. Klientas siunčia užklausą, į kurią serveris kurį laiką siunčia atsakymą. Klientas sukonfigūruojamas naudojant serverio direktyvą konfigūracijos faile, kuri nurodo laiko serverio DNS pavadinimą.

Simetrinis aktyvus/pasyvus režimas

Šis režimas naudojamas, jei laikas sinchronizuojamas tarp daugelio lygiaverčių mašinų. Be to, kad kiekviena mašina sinchronizuojasi su išoriniu šaltiniu, ji taip pat sinchronizuojasi su savo bendraamžiais, veikdama kaip klientas ir laiko serveris. Todėl net jei mašina „praras“ išorinį šaltinį, ji vis tiek galės gauti tikslų laiką iš savo kaimynų. Kaimynai gali dirbti dviem režimais – aktyviu ir pasyviu. Veikdamas aktyviuoju režimu, įrenginys pats perkelia savo laiką į visus kaimyninius kompiuterius, nurodytus ntp.conf konfigūracijos failo lygiaverčių skiltyje. Jei kaimynai šiame skyriuje nenurodyti, laikoma, kad mašina veikia pasyviuoju režimu. Autentifikavimas turi būti naudojamas siekiant užkirsti kelią užpuolikui pakenkti kitiems įrenginiams apsimesdamas aktyviu šaltiniu.

Transliacijos režimas

Šis režimas rekomenduojamas, kai mažas serverių skaičius aptarnauja didelį klientų skaičių. Kai veikia šiuo režimu, serveris periodiškai transliuoja paketus naudodamas potinklio transliavimo adresą. Klientas, sukonfigūruotas sinchronizuoti tokiu būdu, gauna serverio transliavimo paketą ir sinchronizuojasi su serveriu. Šio režimo ypatybė yra ta, kad laikas perduodamas tame pačiame potinklyje (transliavimo paketų apribojimas). Be to, norint apsisaugoti nuo įsibrovėlių, turi būti naudojamas autentifikavimas.

Daugialypės siuntimo režimas

Šis režimas daugeliu atžvilgių panašus į transliaciją. Skirtumas slypi tame, kad paketams perduoti naudojami IP adresų erdvės D klasės tinklų multicast adresai. Klientams ir serveriams suteikiamas multicast grupės adresas, kurį jie naudoja laiko sinchronizavimui. Tai leidžia sinchronizuoti mašinų grupes, esančias skirtinguose potinkliuose, su sąlyga, kad juos jungiantys maršrutizatoriai palaiko IGMP protokolą ir yra sukonfigūruoti perduoti daugialypės terpės srautą.

„Manycast“ režimas

Šis režimas yra naujas ketvirtojoje NTP protokolo versijoje. Tai reiškia, kad klientas ieško daugelio perdavimo serverių tarp savo tinklo kaimynų, iš kiekvieno iš jų gauna laiko pavyzdžius (naudodamas kriptografiją) ir, remdamasis šiais duomenimis, pasirenka tris „geriausius“ daugelio perdavimo serverius, su kuriais klientas sinchronizuos. Sugedus vienam iš serverių, klientas automatiškai atnaujina savo sąrašą.

Laiko pavyzdžiams perduoti klientai ir serveriai, veikiantys daugelio perdavimo režimu, naudoja multicast grupių (D klasės tinklų) adresus. Klientai ir serveriai, naudojantys tą patį adresą, sudaro tą pačią asociaciją. Asociacijų skaičius nustatomas pagal naudojamų multicast adresų skaičių.

Laikas Linux

Trumpai papasakosiu, koks laikas egzistuoja Linux sistemoje ir kaip jį nustatyti. Linux, kaip ir kitose OS, yra 2 kartai. Pirmas - aparatūra , kartais vadinamas Laikrodis realiuoju laiku, sutrumpintai ( RTC) (jie irgi yra BIOS laikrodžiai) dažniausiai siejami su svyruojančiu kvarco kristalu, kurio tikslumas siekia iki kelių sekundžių per dieną. Tikslumas priklauso nuo įvairių svyravimų, pvz., aplinkos temperatūros. Antras laikrodis – vidinis programinės įrangos laikrodis , kurios veikia nepertraukiamai, įskaitant pertraukas sistemoje. Jie priklauso nuo svyravimų, susijusių su didele sistemos apkrova ir pertraukimo delsa. Tačiau sistema paprastai nuskaito aparatinės įrangos laikrodį įkrovos metu ir tada naudoja sistemos laikrodį.

Operacinės sistemos data ir laikas nustatytas įkrovos metu pagal vertę aparatūros laikrodis, ir laiko juostos nustatymai. Laiko juostos nustatymai paimti iš failo /etc/localtime. Šis failas yra vieno iš katalogo struktūroje esančių failų nuoroda (bet dažniau kopija). /usr/share/zoneinfo/.

„Linux“ aparatinės įrangos laikrodžiai gali saugoti laiką tokiu formatu UTC(GMT analogas) arba dabartinį teritorinį laiką. Bendra rekomendacija, kurį laiką nustatyti (?) yra tokia: jei kompiuteryje yra kelios operacinės sistemos ir viena iš jų yra Windows, tuomet reikia naudoti esamą laiką (nes Windows paima laiką iš BIOS/CMOS ir į tai atsižvelgia vietinis). Jei naudojamos tik UNIX šeimos operacinės sistemos, pageidautina laiką saugoti BIOS UTC formatu.

Paleidus operacinę sistemą, operacinės sistemos laikrodis ir BIOS yra visiškai nepriklausomi. Sistemos branduolys kas 11 sekundžių sinchronizuoja sistemos laikrodį su aparatinės įrangos laikrodžiu.

Po kurio laiko aparatinės ir programinės įrangos laikrodžiai gali skirtis keliomis sekundėmis. Kuris laikrodis laiko teisingą laiką? Nei vienas, nei kitas, kol neįsikūrėme laiko sinchronizavimas.

Pastaba:

„Linux“ branduolys visada saugo ir skaičiuoja laiką kaip sekundžių skaičių nuo vidurnakčio 1970 metų sausio 1 d metų, nesvarbu, ar jūsų laikrodis nustatytas pagal vietinį ar visuotinį laiką. Konvertavimas į vietinį laiką atliekamas užklausos proceso metu.

Kadangi sekundžių skaičius nuo 1970 m. sausio 1 d. UTC yra saugomas kaip pasirašytas 32 bitų sveikasis skaičius (tai galioja „Linux“ / „Intel“ sistemoms), jūsų laikrodis nustos veikti maždaug 2038 m. „Linux“ neturi Y2K problemos, tačiau turi Y2038 problemą. Laimei, iki to laiko visi „Linux“ įrenginiai veiks 64 bitų sistemose. 64 bitų sveikajame skaičiuje mūsų laikrodis bus maždaug iki 292271 milijono metų.

NTP serveris Linux

Įvadas

Yra daug Linux OS laiko sinchronizavimo diegimų. Žinomiausi yra Xntpd (NTP 3 versija), ntpd (NTP 4 versija), Crony ir ClockSpeed. Mūsų pavyzdyje naudosime ntp serverį ntpd.

ntpd demonas yra ir laiko serveris, ir klientas, priklausomai nuo konfigūracijos failo /etc/ntpd.conf (kartais /etc/ntp.conf) nustatymų, demonas gali „priimti“ laiką iš nuotolinių serverių ir „paskirstyti“ laiko kitiems šeimininkams.

Generolas laiko sinchronizavimo grandinė vietiniame tinkle yra taip: jums reikia turėti 1 arba 2 serverius su prieiga prie pasaulinio tinklo, kuris gaus laiką iš interneto. Sinchronizuokite visus vietinio tinklo kompiuterius su nurodytais serveriais, kurie gauna laiką iš interneto.

Diegimas ntpd

Tiesą sakant, demono diegimas reikia įdiegti šiuos paketus: ntp(paketas, įskaitant patį demoną), ntpdate(rankinio laiko sinchronizavimo įrankis – pasenęs), ntp-doc(paketo dokumentacija), kai kuriuose platinimuose turėsite įdiegti tą patį ntp-utils(diagnostikos paslaugos), kai kurios iš jų yra įtrauktos į ntp paketą. Kaip įdiegti programas „Linux“, aprašiau. Įdiegus paketą, daugumoje paskirstymų demonas jau bus sukonfigūruotas kaip ntp klientas (pavyzdžiui, taip buvo Debian'e). Atitinkamai, pagrindiniai konfigūracijos failai buvo sukurti automatiškai: /etc/ntp.conf ir /var/lib/ntp/ntp.drift, o demonas buvo paleistas automatiškai.

Prieš konfigūruojant demoną sinchronizuoti su išoriniu pasauliu, siūlyčiau nustatyti dabartinę sistemos datą į vertę, kuri būtų kuo artimesnė realiajam laikui. Datos nustatymas Linux sistemoje sukurta komanda: data MMDDhhmmCCYY.ss, kur MM – mėnuo, DD – mėnesio diena, hh – valandos, mm – minutės, CCYY – 4 metų skaitmenys, ss – sekundės. Tuo pačiu ir vertybės CCYY.ss nurodyti nereikia.

Kaip matote, nurodyta komanda dabartinę datą ir laiką nustatys į 2010 m. gruodžio 27 d., 20:06:30. data komanda be parametrų, rodyti esamą sistemos laiką. Ši komanda turi daugybę parinkčių, kurias galima rasti man data.

Be to, turite teisingai sukonfigūruoti aparatūros laikrodį ir laiko juostą. Kaip minėta aukščiau, laiko juosta sukonfigūruojama nukopijavus reikiamą zonos failą iš katalogo /usr/share/zoneinfo/į failą /etc/localtime:

Ntp serveris: ~# cp /usr/share/zoneinfo/Europe/Moscow /etc/localtime

Aparatūra Nustačiau laikrodį į UTC:

# cat /etc/sysconfig/clock | grep UTC # UTC=true rodo, kad laikrodis nustatytas į UTC; UTC=true ntp2-server:~# cat /etc/default/rcS | grep UTC UTC=taip

Pirmame pavyzdyje nurodomas konfigūracijos failas, apibrėžiantis UTC naudojimą RH, antrasis - Deb paskirstymui.

Be UTC laiko naudojimo parametrų nustatymo, turite nustatyti aparatūros laikas. (daugeliu atvejų tai nėra būtina, nes nustatytas sistemos laikas neišvengiamai sinchronizuojamas su aparatine įranga, branduolio). Tačiau jei esate pasirengęs tai padaryti... hwclock komanda nuskaito ir nustato aparatūros laikrodį pagal jam perduotus parametrus. Galimos parinktys aprašytos komandos vadovo puslapyje. Štai keletas „hwclock“ naudojimo pavyzdžių:

ntp-server# hwclock # nuskaito laiką iš aparatūros laikrodžio ntp-server# hwclock --systohc --utc # nustato aparatinės įrangos laikrodį į # UTC pagal sistemos laiką ntp-server# hwclock --systohc # nustato aparatinės įrangos laikrodį # vietiniu laiku pagal sistemos laiką ntp-server# hwclock --set --date "22 Kov 2002 13:17" # nustato aparatūros laikrodį # į nurodytą eilutę

Kitas būdas pakeisti laiką aparatūros laikrodyje yra prieiga prie BIOS, kai sistema paleidžiama. Kadangi OS laikas nepriklauso nuo aparatinės įrangos laikrodžio, į visus BIOS pakeitimus bus atsižvelgta kitą kartą paleidžiant.

Dabar, kai viską paruošėme ir įdiegėme, pereikime prie statybvietėje.

Valdyti ntpd demoną

Kontrolė ntpd demonas niekuo nesiskiria nuo kitų demonų valdymo. Paleiskite arba iš naujo paleiskite ntpd paslaugą:

#/etc/init.d/ntp start #/etc/init.d/ntp paleiskite iš naujo

Sustabdyti:

#/etc/init.d/ntp sustabdyti

#/bin/kill `cat /var/run/ntpd.pid`

Demonas turi šias paleisties parinktis:

P – PID failas,
-g – įgalina perėjimą prie didelio laiko šuolio
-c - konfigūracijos failas
-q – priverstinis rankinis sinchronizavimas

ntpd serverio nustatymas

Visų pirma, patariu pakeisti demono paleidimo parametrus šiame konfigūracijos faile:

Ntp serveris: ~# cat /etc/default/ntp NTPD_OPTS="-g"

# cat /etc/sysconfig/ntpd # NTP demono parametrai. # Daugiau informacijos rasite ntpd(8). .... # Nurodo papildomus ntpd parametrus. NTPD_ARGS="-g"

Šis nustatymas leis sinchronizuoti laikrodį, net jei yra labai didelis laiko skirtumas.

Taigi, kaip sakiau, konfigūracijos informacija ntpd demonas yra faile /etc/ntp.conf. Failo sintaksė yra standartinė, kaip ir daugelyje kitų konfigūracijų: tuščios eilutės ir eilutės, prasidedančios simboliu „#“, yra ignoruojamos. Štai paprastas pavyzdys:

Ntp-serveris:~# cat /etc/ntp.conf serveris ntplocal.example.com teikia pirmenybę serveriui timeserver.example.org serveriui ntp2a.example.net drifto failas /var/db/ntp.drift

Parametras serveris nurodo, kurie serveriai bus naudojami sinchronizavimui, po vieną eilutėje. Jei serveris pateikiamas su argumentu teikia pirmenybę, Kaip ntplocal.example.com, tada šiam serveriui teikiama pirmenybė prieš kitus. Atsakymas iš pageidaujamo serverio bus atmestas, jei jis labai skirsis nuo kitų serverių atsakymų, kitu atveju jis bus naudojamas neatsižvelgiant į kitus atsakymus. Argumentas teikia pirmenybę paprastai naudojami NTP serveriams, kurie, kaip žinoma, yra labai tikslūs, pvz., tiems, kuriuose naudojama speciali laiko matavimo įranga.

Parametras dreifuojantis failas nurodo failą, kuris naudojamas sistemos laikrodžio poslinkiui saugoti. Kiek suprantu, šiame faile nuolat saugoma tam tikra reikšmė, kuri susidaro remiantis praeities laiko patikslinimų analize, o jei išoriniai laiko šaltiniai tampa nepasiekiami, tai laiko koregavimas vyksta pagal reikšmę iš failo dreifą. Jo negalima keisti jokiais kitais procesais. Ir prieš nurodant šį failą konfigūracijoje - failas turi būti sukurtas.

Pagal numatytuosius nustatymus NTP serveris bus pasiekiamas visoms interneto priegloboms. Parametras apriboti faile /etc/ntp.conf leidžia valdyti, kurios mašinos gali pasiekti jūsų serverį. Jeigu nori neleisti visiems įrenginiams pasiekti jūsų NTP serverio, pridėkite šią eilutę prie failo /etc/ntp.conf:

apriboti numatytąjį ignoravimą

Jeigu nori leisti sinchronizuokite laikrodį tik su serveriu mašinos jūsų tinkle, Bet draudimas juos sukonfigūruoti serverį arba būkite lygiaverčiai laiko sinchronizavimo dalyviai, tada vietoj nurodytos pridėkite eilutę:

apriboti 192.168.1.0 kaukė 255.255.255.0 nomodify notrap

kur 192.168.1.0 yra jūsų tinklo IP adresas, o 255.255.255.0 yra jo tinklo kaukė. /etc/ntp.conf gali turėti kelias apribojimo direktyvas.

Kad demonas veiktų teisingai ir tiksliau, patartina rinktis serverio lygio – iš 2 sluoksnio (galima, žinoma, stratum1, bet reikia sugaišti laiką ieškant tokio serverio) ir iš pasirinkto 2 sluoksnio tuos. iki kurio minimalus „atstumas“. Paprastai tokius serverius gali suteikti jūsų IPT. Pageidautinas pasirinktų serverių skaičius – daugiau nei 2-3, kuo daugiau, tuo geriau, bet protingose ​​ribose. Jei tingite pasirinkti geriausius serverius, antrojo lygio atvirų serverių sąrašą galite pasiimti iš čia: http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers.

Pasirinkite etaloninių NTP serverių sąrašą

Einame nurodytu adresu (http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers) ir pasirenkame pradinių serverių sąrašą. Iš šio sąrašo mes pasirenkame serverius, kurie atitinka mūsų reikalavimus, analizuodami komandos išvestį ntpdate. Kai komanda vykdoma, taikoma ši sintaksė:

ntpdate parametrai serveris_tarpas atskirtas

Kad mūsų užklausa nepadarytų sistemos pakeitimų, turime naudoti parametrą -q, kuris nurodo užklausos naudojimą neatliekant pakeitimų. Taip pat galima naudoti jungiklį -d, kuris rodo, kad komanda bus vykdoma derinimo režimu, rodant papildomą informaciją, neatlikus realių pakeitimų (su šiuo jungikliu rodoma krūva kitų šiukšlių :), ko mes ne šiuo metu nereikia). Kitų variantų ieškokite man 8 ntpdate. Iš nurodytos nuorodos pasirinkau visus atviros prieigos serverius, esančius Rusijoje (RU) + tą, kurį pateikė teikėjas, ir paleidau komandą, pasirodė maždaug taip:

ntp-server:~# ntpdate -q ntp2.ntp-servers.net ntp1.vniiftri.ru ntp2.vniiftri.ru ntp4.vniiftri.ru ntp0.ntp-servers.net ntp1.ntp-servers.net ntp.corbina.net Serveris 88.147.255.85, 1 „Stratum“, poslinkis 0.006494, vėlavimas 0.09918 serveris 62.117.76.142, 1 stratum, poslinkis 0.002552, 0.06920 serveris 62.117.76.141, 1 stratum, poslinkis 0.003147, delsos Vėlavimas 0.07350 serveris 88.147.254.228, 1 stratum , poslinkis 0,002846, delsa 0,07188 sausio 13 d. 19:14:09 ntpdate: koreguoti laiko serverį 62.117.76.141 poslinkis 0,003147 sek.

Pavyzdyje mūsų serveriai sėkmingai išdavė stratum1 lygį, o tai yra gera žinia (išskyrus tiekėjo serverį), poslinkis yra laiko skirtumas nuo šio serverio sekundėmis, delsa yra sinchronizavimo delsa sekundėmis. Paprastai, b APIE Didesnis tikslumas pasiekiamas naudojant serverius, kurių paketų perdavimas tinkle yra mažas. Norėdami sužinoti, galite naudoti. Atitinkamai, pirmiausia pasirenkant tuos, kurių atsako laikas trumpesnis, o iš jų – tuos, kurių apynių mažiau. Aš, kad negaiščiau laiko, naudosiu visus nurodytus serverius ir suvesiu į konfigūracijos failą. Iš viso, žinodamas visa tai, kas išdėstyta aukščiau, aprašysiu gautą failą /etc/ntp.conf:

Ntp-serveris:~# cat /etc/ntp.conf # LAN serveriai (komentuojami, nenaudojami – tik vienas serveris tinkle) #serveris 192.168.0.2 #serveris 192.168.0.5 # Interneto serveris serveris ntp2.ntp-serveriai. tinklo serveris ntp1.vniiftri.ru serveris ntp2.vniiftri.ru serveris ntp4.vniiftri.ru serveris ntp0.ntp-servers.net serveris ntp1.ntp-servers.net serveris ntp3.vniiftri.ru serveris ntp.corbina.net # Serverio failai driftfile /var/lib/ntp/ntp.drift logfile /var/log/ntpstats # prieigos prie serverio apribojimas: # ignoruoti viską pagal nutylėjimą riboti numatytuosius nustatymus ignoruoti # localhost be parametrų - viskas leidžiama. Parametrai eina tik į draudimus. limit 127.0.0.1 # toliau aprašomi serveriai, su kuriais sinchronizuojame vietiniame tinkle. # Leidžiame jiems viską, išskyrus spąstus ir prašymus mums apriboti 192.168.0.2 noquery notrap limit 192.168.0.5 noquery notrap # LAN mes taip pat leidžiame viską, išskyrus spąstus ir modifikacijų apribojimus 192.168.0.1 mask 255.255.255.0 išorinis šaltinis nomoderify # notrap time nomoderify prieiga: apriboti ntp2.ntp-servers.net apriboti ntp1.vniiftri.ru apriboti ntp2.vniiftri.ru apriboti ntp4.vniiftri.ru apriboti ntp0.ntp-servers.net apriboti ntp1.ntp-servers.net apribojimą ntp3.vniiftri.ru riboti ntp.corbina.net # ir tai yra įsilaužimas, kuris nustato serverio (sluoksnių) pasitikėjimo lygį, lygų 3 # trumpai tariant, kuo aukštesnis lygis, tuo mažesnis skaičius. 0 yra atominis laikrodis, #1 yra sinchronizuotas su juo, 2 yra su pirmuoju ir pan. serveris 127.127.1.1 fudge 127.127.1.1 stratum 3

Norėdami geriau suprasti ir konfigūruoti serverį, aprašysiu kai kurias ntpd konfigūravimo parinktis, kurių nepaminėjau:

• įjungti išjungti auth/monitor/pll/pps/stats - Įjungti, išjungti darbo režimas:
  • aut- bendrauti su nepaminėtais kaimynais tik autentifikavimo režimu;
  • stebėti- leisti stebėti užklausas;
  • pll- leisti nustatyti vietinio laikrodžio dažnį per NTP;
  • statistika- leisti rinkti statistiką;
• statistikaloopstats- ant kiekvieno vietinio laikrodžio modifikavimo įrašo eilutę į failą loopstats;
• statistikapeerstats- kiekvienas bendravimas su kaimynu įrašomas į žurnalą, saugomą faile peerstats;
• statistikaclockstats- kiekvienas vietinio laikrodžio tvarkyklės pranešimas įrašomas į žurnalą, saugomą faile clockstats;
• statsdir(katalogo_pavadinimas_su_statistika)- nustato katalogo, kuriame bus failai su serverio statistika, pavadinimą;
• filegen - apibrėžia failų pavadinimų generavimo algoritmą, kurį sudaro:
  • priešdėlis- pastovi failo vardo dalis, nustatyta kompiliavimo metu arba specialiomis konfigūravimo komandomis;
  • failo pavadinimas- pridedamas prie priešdėlio be pasvirojo brūkšnio, du taškai draudžiami, galima keisti failo klavišu;
  • priesaga- generuojamas priklausomai nuo tipo pavadinimo;
• apribotiskaitinis-adresas- nustato prieigos apribojimą: paketai rūšiuojami ir užmaskuojami, paimamas šaltinio adresas ir lyginamas nuosekliai, vėliavėlė paimama iš paskutinio sėkmingo palyginimo prieiga:
  • jokių vėliavėlių- suteikti prieigą;
  • ignoruoti- ignoruoti visus paketus;
  • noquery- ignoruoti NTP 6 ir 7 paketus (užklausa ir būsenos keitimas);
  • nomodifikuoti- ignoruoti NTP 6 ir 7 paketus (būsenos modifikacija);
  • ribotas- aptarnauti tik ribotą klientų skaičių iš tam tikro tinklo;
  • neeer- aptarnauti šeimininką, bet nesinchronizuoti su juo;
• kliento limitasriba– už vėliavą ribotas nustato maksimalų aptarnaujamų klientų skaičių (pagal nutylėjimą 3);

Iš viso gavome ntpd-server, kuris yra sinchronizuotas su išoriniu pasauliu, leidžia gauti laiką klientams iš vietinio tinklo 192.168.0.1 su kauke 255.255.255.0, taip pat gali būti sinchronizuojamas su vietiniu serveriu (jei panaikinsite keletą eilučių). Mums tereikia sukonfigūruoti klientus ir išmokti stebėti savo serverį.

Stebėti ntpd serverį ir sinchronizuoti

Kai būsite pasiruošę. NTP sinchronizuoja laiką. Šį procesą galima stebėti naudojant komandą NTP Query (ntpq):

Ntp serveris: ~# ntpq -p nuotolinis pertvarkymas st t, kai apklausos pasiekiamumo delsos poslinkis virpėjimas ============================== = =============================================-n3.laikas1. d6.hsd .PPS. 1 u 34 64 177 70,162 2,375 8,618 +ntp1.vniiftri.r .PPS. 1 u 33 64 177 43,479 -0,020 10,198 *ntp2.vniiftri.r .PPS. 1 u 6 64 177 43,616 -0,192 0,688 +ntp4.vniiftri.r .PPS. 1 u 4 64 177 43,623 0,440 0,546 -n1.time1.d6.hsd .PPS. 1 u 53 64 77 92.865 -11.358 38.346 -ns1.hsdn.org .GPS. 1 u 40 64 177 78.057 -3.292 35.083 -ntp3.vniiftri.r .PPS. 1 u 44 64 77 47.667 2.292 2.611 -scylla-l0.msk.c 192.43.244.18 2 u 62 64 77 41.565 -1.564 28.914

Ši komanda su jungikliu -p išveda į standartinį laiko šaltinių sąrašą su jų charakteristikomis (kitos komandos parinktys man ntpq). Kiekvieno stulpelio reikšmė yra tokia:

Nuotolinio NTP serverio pavadinimas. Jei nurodysite jungiklį -n, vietoj vardų gausite serverio IP adresus.

Nurodo, iš kur kiekvienas serveris šiuo metu gauna laiką. Tai gali būti pagrindinio kompiuterio pavadinimas arba kažkas panašaus į .GPS, nurodantis pasaulinės padėties nustatymo sistemos kilmę.

Stratum (lygis) yra skaičius nuo 1 iki 16, nurodantis serverio tikslumą. Vienas reiškia maksimalų tikslumą, 16 reiškia, kad serveris nepasiekiamas. Jūsų lygis bus lygus mažiausiai tikslaus nuotolinio serverio lygiui plius 1.

Intervalas tarp apklausų (sekundėmis). Reikšmė pasikeis tarp minimalaus ir didžiausio apklausos dažnio. Pradžioje intervalas bus mažas, kad sinchronizavimas įvyktų greitai. Sinchronizavus laikrodžius, intervalas pradeda didėti, kad sumažėtų srautas ir apkrova populiariuose laiko serveriuose.

8 bitų masyvo aštuntainis vaizdas, vaizduojantis paskutinių aštuonių bandymų prisijungti prie serverio rezultatus. Bitas nustatomas, jei nuotolinis serveris atsakė.

Laikas (sekundėmis), per kurį gaunamas atsakymas į užklausą „kiek laikas?“.

Svarbiausia sritis. Skirtumas tarp vietinio ir nuotolinio serverio laiko. Sinchronizuojant ši vertė turėtų sumažėti (arčiau nulio), o tai rodo, kad vietinio įrenginio laikrodis tampa tikslesnis.

Dispersija (drebėjimas) yra statistinių nuokrypių nuo poslinkio reikšmės (pokrypio lauko) matas per kelias sėkmingas užklausos ir atsako poras. Pageidautina mažesnė dispersijos vertė, nes ji leidžia tiksliau sinchronizuoti laiką.

Simbolių reikšmė prieš serverių pavadinimus

x - netikras šaltinis pagal sankirtos algoritmą;
. - pašalintas iš kandidatų sąrašo dėl didelio atstumo;
- - klasterizacijos algoritmu pašalintas iš kandidatų sąrašo;
+ - įtrauktas į galutinį kandidatų sąrašą;
# – pasirinkta sinchronizuoti, bet yra 6 geriausi kandidatai;
* - pasirinktas sinchronizavimui;
o - pasirinktas sinchronizavimui, bet naudojamas PPS;
erdvė – per didelis lygis, ciklas arba akivaizdi klaida;

ntpd paslauga„protingas“ ir pats pašalina laiko šaltinius, kurie pernelyg nepatenka į proto ribas. Praėjus kuriam laikui po paleidimo, ntpd pasirinks patikimiausius duomenų šaltinius ir sinchronizuos su jais. Mūsų teikiamas informacinių NTP serverių sąrašas yra reguliariai peržiūrimas tarnybos.

Galite patikrinti vietinio sinchronizavimo galimybę serveryje naudodami komandą:

Ntp-serveris:~# ntpdate -q localhost serveris 127.0.0.1, 2 sluoksnis, poslinkis -0.000053, delsa 0.02573 serveris::1, sluoksnis 2, poslinkis -0.000048, delsa 0.02571 14 sausio 14:nt serveris 7:49:5 ::1 poslinkis -0,000048 sek

Iš komandos išvesties matyti, kad mūsų serveris jau tapo stratum 2 lygmeniu.Pakanka šiek tiek laiko pasiekti šį lygį. Galbūt per pirmąsias 10–15 minučių serverio lygis bus aukštesnis.

Teisingą ntp serverio veikimą taip pat galima spręsti pagal ntpd demono žurnalus:

Ntp-serveris:~# cat /var/log/ntpstats/ntp 13 sausio 20:13:16 ntpd: Klausymas naudojant sąsają #5 eth0, fe80::a00:27ff:fec1:8059#123 Įjungta 13 sausio 20:13: 16 ntpd: klausymas naudojant sąsają #6 eth0, 192.168.0.8#123 Įjungta sausio 14 d. 14:31:00 ntpd: sinchronizuota su 62.117.76.142, 1 sluoksnis sausio 14 d. 14:31:10 laikas iš naujo ntpd :31:10 ntpd: branduolio laiko sinchronizavimo būsenos keitimas 0001 14 sausio 14:34:31 ntpd: sinchronizuotas su 88.147.255.85, sluoksnis 1 14 sausio 14:36:04 ntpd: sinchronizuotas su 62.11115 sausio 14 d., stratum 111:17. 04:36 ntpd: sinchronizuota su 62.117.76.142, sluoksnis 1 14 sausio 15:10:58 ntpd: sinchronizuotas su 62.117.76.140, sluoksnis 1 14 sausio 15:17:54 sausio 1 d. ntpd: 1 pd : sinchronizuota su 62.117.76.140, 1 sluoksnis sausio 14 d. 15:32:14 ntpd: laikas nustatytas iš naujo +13,139105 s

„netfilter“ (iptables) konfigūravimas NTP serveriui

Sukonfigūravus serverį, būtų malonu jį apsaugoti. Žinome, kad serveris veikia 123/udp prievadu, o užklausos taip pat siunčiamos iš 123/udp prievado. Perskaitę straipsnį ir perskaitę praktinius, galite sukurti tinklo srauto filtravimo taisykles:

Ntp ~ # iptables-save # bendrosios iptables taisyklės DNS *filter:INPUT DROP :FORWARD DROP :OUTPUT DROP -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate SUSIJĘS, NUSTATYTA -j ACCEPT -A I -m conntrack --ctstate INVALID -j DROP # leisti LAN prieigą prie NTP serverio: -A INPUT -s 192.168.1.1/24 -d 192.168.1.1/32 -p udp -m udp --dport 123 -m conntrack - - ctstate NAUJAS -j ACCEPT -A IŠVESTIS -o lo -j PRIIMTI -A IŠVESTIS -p icmp -j ACCEPT -A IŠvestis -p udp -m udp --sport 32768:61000 -j ACCEPT -A IŠVESTIS -p tcp -m tcp --sport 32768:61000 -j ACCEPT -IŠVESTIS -m conntrack --ctstate SUSIJĘS, NUSTATYTA -j ACCEPT # leisti NTP serveriui pasiekti išeinančias užklausas -A OUTPUT -p udp -m udp --sport 123 --dport 123 -m conntrack --ctstate NAUJAS -j ACCEPT COMMIT

Tai tipiškas pavyzdys! Norėdami nustatyti iptables taisykles savo užduotims ir tinklo konfigūracijai, perskaitę aukščiau pateiktus straipsnius, turite suprasti, kaip netfilter veikia Linux.

Kliento mašinų nustatymas

Sinchronizuoti laiką UNIX įrenginiuose vietinį tinklą, patartina naudoti ntpdate įrankį, paleidžiant jį kelis kartus per dieną, pavyzdžiui, kas valandą. Norėdami tai padaryti, turite pridėti šią eilutę:

0 * * * * /usr/sbin/ntpdate -s

-s jungiklis nukreipia komandos išvestį. Jei kliento įrenginiai turi keletą papildomų megabaitų RAM, galite paleisti ntpd demoną, kaip ir serveryje, naudodami šią konfigūraciją:

serveris apriboti numatytuosius nustatymus ignoruoti apribojimą noquery notrap limit 127.0.0.1 nomodify notrap

Manau, kad šioje konfigūracijoje viskas aišku: laiko šaltinis (serveris) yra vietinis ntpd serveris, uždrausti prieigą visiems, leisti tik vietinį ntpd serverį.

Be to, klientams turite teisingai nurodyti, kokiu formatu saugoti laiką, ir pasirinkti tinkamą laiko juostą, .

Norėdami sukonfigūruoti Windows NTP klientą, konsolėje turite paleisti šias komandas:

C:\>nettime /setsntp: Komanda sėkmingai įvykdyta. C:\>net stop w32time Windows laiko paslauga sustoja. „Windows“ laiko paslauga buvo sėkmingai sustabdyta. C:\>net start w32time Paleidžiama Windows laiko paslauga. „Windows“ laiko paslauga sėkmingai paleista. C:\>neto laikas /querysntp Dabartinė SNTP reikšmė yra: Komanda sėkmingai įvykdyta.

Išvada

Na kaip ir viskas! Straipsnio apimtis pasirodė didžiulė ... aš to net nesitikėjau. Leiskite man šiek tiek apibendrinti. Tikiuosi, kad šiame straipsnyje mums tapo aišku, kas yra ir kaip veikia NTP serveris. Išmokome konfigūruoti serverį ir klientus UNIX ir Windows įrenginiuose. Keliais žodžiais laiko sinchronizavimo struktūra vietiniame tinkle yra tokia: Vietiniame tinkle yra 1,2 ar daugiau tikslaus laiko serverių, jie sinchronizuoja savo laiką su išoriniais šaltiniais pasauliniame tinkle. Serverio ir kliento nustatymai pagrįsti /etc/ntp.conf (pagrindinis ntpd demono konfigūracijos failas), /etc/localtime (dabartinės laiko juostos failas), /etc/sysconfig/ntp (skirtas RH) ir /etc/default /ntp (skirtas Deb) - demono paleidimo parametrų failai. Vietiniam ntp serveriui konfigūracijos faile nurodomi išoriniai serveriai gauti laiką ir leidžiama prieiga prie šių serverių su apribojimo parametru, taip pat kompiuteriams vietiniame tinkle, klientams nurodomas laiko šaltinis - vietiniai serveriai vietiniam tinklui, o prieiga taip pat uždrausta visiems , išskyrus laiko šaltinį vietiniame tinkle. Visi. Ačiū visiems už dėmesį! mielai komentuosiu!

• (straipsnių archyvas) aprašo, kaip prijungti GPS prie serverio, kad sutvarkytumėte Stratum1 lygio tikslaus laiko serverį.
• aprašoma, kaip sukonfigūruoti autorizaciją ntp serveryje.

Laba diena, mieli tinklaraščio skaitytojai ir svečiai, kiek daug žmonių kalba apie laiką, kad jis bėga greitai ar lėtai, ir visi supranta, kad tai neįkainojama ir svarbu. Taigi „Active Directory“ infrastruktūroje tai yra vienas iš svarbiausių veiksnių tinkamam domeno funkcionavimui. Domene visi pasitiki vieni kitais, o prisijungęs ir gavęs visus bilietus iš Kerberos, vartotojas eina bet kur, ribojamas tik turimų teisių. Taigi, jei neturite tikslaus laiko savo darbo stotyse iki domeno valdiklio, galite manyti, kad kyla rimtų problemų, kurias aptarsime toliau ir apsvarstysime, kaip jas išspręsti naudojant Windows NTP serverio nustatymai.

Laiko sinchronizavimas „Active Directory“.

Toliau nurodyta laiko sinchronizavimo schema veikia kompiuteriuose, dalyvaujančiuose Active Directory.

• Šakninis domeno valdiklis AD miške, kuriam priklauso PDC emuliatoriaus FSMO vaidmuo (vadinkime jį šakniniu PDC), yra visų kitų to domeno domeno valdiklių laiko šaltinis.
• Antriniai domeno valdikliai sinchronizuoja laiką su domeno valdikliais, esančiais prieš AD topologiją.
• Įprasti domeno nariai (serveriai ir darbo stotys) sinchronizuoja savo laiką su artimiausiu jiems prieinamu domeno valdikliu, atsižvelgdami į AD topologiją.

Šakninis PDC gali sinchronizuoti savo laiką tiek su išoriniu šaltiniu, tiek su savimi, pastarasis yra nustatytas pagal nutylėjimą ir yra absurdiškas, kaip periodiškai užsimena klaidos sistemos žurnale.

Pagrindinio PDC klientų sinchronizavimas gali būti atliekamas tiek iš vidinio laikrodžio, tiek iš išorinio šaltinio. Pirmuoju atveju šakninio PDC laiko serveris skelbiasi kaip „patikimas“.

Toliau pateiksiu mano požiūriu optimalią šakninio PDC laiko serverio konfigūraciją, kurioje pats šakninis PDC periodiškai sinchronizuoja savo laiką iš patikimo šaltinio internete, o prie jo besikreipiančių klientų laikas sinchronizuojasi su jo vidiniu laikrodžiu. .

Įeikite netdom užklausa fsmo. Mano pavyzdyje PDC ir NTP serverio vaidmuo priklauso dc7 valdikliui

NTP serverio konfigūracija pagrindiniame PDC

„Windows“ laiko serverį (NTP serverį) galima konfigūruoti naudojant komandų eilutės programą w32tm, ir per registrą. Jei įmanoma, pateiksiu abu variantus. Tačiau pradžioje pažiūrėkite į visus savo kompiuterio nustatymus, tai daroma su komanda:

w32tm /query /configuration

Įvykių žurnalo vėliavėlės: 2 (vietinis)
Paskelbti vėliavėles: 10 (vietinis)
TimeJumpAuditOffset: 28800 (vietinis)
MinPollInterval: 6 (vietinis)
MaxPollInterval: 10 (vietinis)
MaxNegPhaseCorection: 172800 (vietinis)
MaxPosPhaseCorection: 172800 (vietinis)
MaxAllowedPhaseOffset: 300 (vietinis)

Dažnio teisingas rodiklis: 4 (vietinis)
PollAdjustFactor: 5 (vietinis)
Didelis fazės poslinkis: 5 000 000 (vietinis)
SpikeWatchPeriod: 900 (vietinis)
LocalClockDispersion: 10 (vietinis)
HoldPeriod: 5 (vietinis)
PhaseCorrectRate: 7 (vietinis)
Atnaujinimo intervalas: 100 (vietinis)

NtpClient (vietinis)
Įjungta: 1 (vietinis)
InputProvider: 1 (vietinis)
CrossSiteSyncFlags: 2 (vietinis)
ResolvePeerBackoffMinutes: 15 (vietinis)
ResolvePeerBackoffMaxTimes: 7 (vietinis)
Suderinamumo vėliavėlės: 2147483648 (vietinis)
Įvykių žurnalo vėliavėlės: 1 (vietinis)
LargeSampleSkew: 3 (vietinis)
Specialios apklausos intervalas: 3600 (vietinis)
Tipas: NT5DS (vietinis)

NtpServer (vietinis)
DllName: C:\Windows\system32\w32time.dll (vietinis)
Įjungta: 1 (vietinis)
InputProvider: 0 (vietinis)
Leisti nestandartinio režimo derinius: 1 (vietinis)

VMICTimeProvider (vietinis)
DllName: C:\Windows\System32\vmictimeprovider.dll (vietinis)
Įjungta: 1 (vietinis)
InputProvider: 1 (vietinis)

Įgalinamas vidinio laikrodžio sinchronizavimas su išoriniu šaltiniu

Įgalinti NTP serverį

NTP serveris yra įjungtas pagal numatytuosius nustatymus visuose domeno valdikliuose, tačiau jis taip pat gali būti įjungtas narių serveriuose.

Išorinių sinchronizavimo šaltinių sąrašo nustatymas

0x8 vėliavėlė pabaigoje reiškia, kad sinchronizavimas turėtų vykti NTP kliento režimu šio serverio siūlomais intervalais. Norėdami nustatyti savo sinchronizavimo intervalą, turite naudoti 0x1 vėliavėlę.

Sinchronizavimo intervalo nustatymas su išoriniu šaltiniu

Laikas sekundėmis tarp sinchronizavimo šaltinio apklausų, numatytoji 900 s = 15 min. Veikia tik šaltiniams, pažymėtiems 0x1 vėliava.

• 
  "SpecialPollInterval"=dword:00000384

Mažiausios teigiamos ir neigiamos korekcijos nustatymas

Maksimali teigiamo ir neigiamo laiko korekcija (skirtumas tarp vidinio laikrodžio ir sinchronizacijos šaltinio) sekundėmis, virš kurių sinchronizavimas nevyksta. Rekomenduoju reikšmę 0xFFFFFFFF, kuriai esant visada galima atlikti pataisymą.

"MaxPosPhaseCorection"=dword:FFFFFFFF
"MaxNegPhaseCorrection"=dword:FFFFFFFF

Viskas ko jums reikia vienoje eilutėje

w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual / patikimas: taip / atnaujinti

Naudingos komandos

• Taikykite laiko tarnybos konfigūracijos pakeitimus
  w32tm /config /update
• Priverstinis sinchronizavimas iš šaltinio
  w32tm /resync /rediscover
• Rodyti domeno valdiklių sinchronizavimo būseną domene
  w32tm / monitorius
• Dabartinių sinchronizavimo šaltinių ir jų būsenos rodymas
  w32tm /query /peers

NTP serverio ir kliento konfigūravimas pagal grupės politiką

Kadangi turime Active Directory domeną, kvaila nenaudoti grupinės strategijos serverių ir darbo stočių masiniam konfigūravimui, aš parodysiu, kaip sukonfigūruoti NTP serverį Windows ir kliente. Atidarykite grupės strategijos rengyklės papildinį. Prieš nustatydami NTP serverį sistemoje Windows, turime sukurti WMI filtrą, kuris taikys politiką tik pagrindiniam PDC serveriui.

Įveskite užklausos pavadinimą, vardų erdvę, bus "root\CIMv2" ir užklausą "Select * from Win32_ComputerSystem, kur DomainRole = 5". Išsaugome.

Tada sukurkite strategiją domeno valdiklių konteineryje.

Pačioje politikos apačioje pritaikykite sukurtą WMI filtrą.

Eikite į filialą: Kompiuterio konfigūracija > Politika > Administravimo šablonai > Sistema > „Windows Time Service“ > Laiko teikėjai.

Čia atidarome politiką "Konfigūruoti Windows NTP klientą". Nustatykite parametrus

• NtpServeris: 0.ru.pool.ntp.org.0x1, 1.ru.pool.ntp.org.0x1, 2.ru.pool.ntp.org.0x1, 3.ru.pool.ntp.org.0x1
• Tipas: NTP
• CrossSiteSyncFlags: 2. Du reiškia, kad jei šis parametras nustatytas į 2 (visi), galima naudoti bet kurį sinchronizavimo narį. Į šią reikšmę nepaisoma, nebent nustatytas NT5DS. Numatytoji reikšmė: 2 (dešimtainis) (0x02 (šešioliktainis))
• ResolvePeerBackoffMinutes: 15. Ši vertė, išreikšta minutėmis, nustato, kiek laiko W32time paslauga laukia prieš bandydama išspręsti DNS pavadinimą, jei nepavyks. Numatytoji reikšmė: 15 minučių
• Resolve Peer BAckoffMaxTimes: 7. Ši reikšmė nustato DNS vardo nustatymo bandymų, kuriuos W32time paslauga atlieka prieš iš naujo paleisdama aptikimo procesą, skaičių. Kiekvieną kartą, kai nepavyksta nustatyti DNS vardo, intervalas, kurio reikia laukti prieš kitą bandymą, padvigubėja. Numatytoji reikšmė: septyni bandymai.
• SpecilalPoolInterval: 3600 Ši NTP kliento parametro reikšmė, išreikšta sekundėmis, nurodo, kaip dažnai apklausti rankiniu būdu sukonfigūruotą laiko šaltinį, kuris naudoja konkretų apklausos intervalą. Jei parametrui NTPServer nustatyta vėliavėlė SpecialInterval, klientas naudoja vertę, nurodytą kaip SpecialPollInterval, o ne MinPollInterval ir MaxPollInterval reikšmes, kad nustatytų, kaip dažnai apklausiamas laiko šaltinis. Numatytoji reikšmė: 3600 sekundžių (1 valanda).
• Įvykių žurnalo vėliavėlės: 0

Klientų darbo stotims sukuriame atskirą grupės politiką su šiais parametrais.

• NtpServer: jūsų domeno valdiklio su PDC vaidmeniu adresas.
• Tipas: NT5DS
• CrossSiteSyncFlags: 2
• ResolvePeerBackoffMinutes: 15
• Išspręskite Peer BAckoffMaxTimes: 7
• Specialusis baseino intervalas: 3600
• Įvykių žurnalo vėliavėlės: 0

Prie NTP laiko sinchronizavimo paslaugos jau visi yra pripratę – ji yra įjungta pagal numatytuosius nustatymus arba lengvai įjungiama daugumai populiariausių operacinių sistemų. Tačiau koks tikslumas pasiekiamas šiuo atveju? Kokie yra tikslūs laiko serveriai ir su kuriais gali dirbti paprasti mirtingieji? Kokie yra spąstai ir kaip pasirinkti „tinkamo“ laiko serverius?

Serverių tipai

Serveriai yra 1 ir 2, 3 (retai aukštesni).

1 sluoksnis- gauti tikslų laiką tiesiai iš tikslaus laiko šaltinio: atominio laikrodžio (pavyzdžiui, time-a.nist.gov, tikslumas – trilijonai sekundės) arba GPS imtuvo (ntpx.imvp.ru tikslumas – milijardinės sekundės dalys). Yra serverių, kurie gauna tikslų laiką per CDMA korinį tinklą (milijonines sekundės dalis). Dirbant su ntpd, serverio tipą galite sužinoti su komanda ntpq -np: "PPS" reiškia GPS, "ACTS" reiškia tiesioginį ryšį su atominiu laikrodžiu (yra ir kitos vertingos statistikos - ping, ping jitter (jitter). ), serverio rangas (1 ,2...)).

„Paprastiems“ mirtingiesiems griežtai draudžiama prieiti prie „Stratum-1“ serverių. jų apkrova jau labai didelė (o daugelis Stratum-1 serverių apskritai neturi viešos prieigos). Manoma, kad galite prisijungti prie Stratum-1 serverių arba paprašyti prieigos prie jų, jei turite NTP serverį, aptarnaujantį bent 100 klientų. Visą serverių sąrašą galite pamatyti čia: support.ntp.org/bin/view/Servers/StratumOneTimeServers . Natūralu, kad pageidautina prisijungti prie serverių jūsų šalyje.

2 sluoksnis- gauti tikslų laiką iš Stratum-1 serverių. Tinkamai sukonfigūravus ir pasirinkus tikslius laiko šaltinio serverius, jų klaida yra mažesnė nei 1 ms. Paprastai prisijungti gali visi, tačiau daugelis serverių reguliariai miršta nuo apkrovos (pavyzdžiui, time.windows.com). www.pool.ntp.org tvarko apvalius viešųjų Stratum-2 NTP serverių sąrašus. Tai užtikrina apkrovos balansavimą, ir jie yra beveik visada prieinami. Prie šių serverių galite prisijungti adresu 0.ru.pool.ntp.org 1.ru.pool.ntp.org 2.ru.pool.ntp.org ir 3.ru.pool.ntp.org (tai skirta Rusijai, atsitiktinai pasirinkta iš ~50 serverių sąrašo).

3 sluoksnis- gauti laiko iš Stratum-2 serverių ir kt.

Praktinis tikslumas

Stratum-1
Tai diagrama, rodanti skirtumą tarp sistemos laiko ir laiko, gauto iš Stratum-1 serverių (canonical.com – Stratum-2 serveris, palyginimui).
*.nist.gov – esantis JAV, dėl „didžiojo“ pingo kartais pasitaiko baisių „išmetimų“. Klaida iš Rusijos Stratum-1 serverių paprastai yra +- 1 ms.

Stratum-2
Tai yra skirtumas nuo „Stratum-2“ serverių: 4 iš rusiško, 1 iš europinio, numatytojo „ubuntu“ laiko serverio (europium.canonical.com) ir tas pats *.nist.gov:


Akį iškart patraukia serveriai, kurių nuolatinė klaida siekia iki 20 ms.

Santrauka

PS. Beje, pagal numatytuosius nustatymus Ubuntu laiko sinchronizavimas įvyksta vieną kartą paleidžiant sistemą. Jei veikimo laikas yra mažesnis nei pusė metų, laiko gali praeiti daug. Įdiegti ntpd – pastoviai ir „sklandžiai“ koreguoja laiką (be aštrių trūktelėjimų, „užtepimo“ laiko sulėtėjimo/greitino). „Windows“ sistemoje sinchronizavimas vyksta kartą per dieną per savaitę vienu „šuoliu“, o tai gali sukelti sunkumų apdorojant žurnalus, jei yra didelis skirtumas.

Draugai!

Jūs suteikiate daug viešųjų NTP serverių Rusijoje! Ypač „Stratum-1“ (mums apskritai sunku su jais, 2–3 vnt. visai buvusiai SSRS). Beje, tikslų laiką galima paimti ir iš Glonass, kas imsis paleisti pirmąjį Glonass maitinamą serverį?