NTP时间服务器配置
1.服务器端配置:
#允许这些IP向自己同步时间
restrict x.x.x.x mask x.x.x.x nomodiy notrap
#当和定义的所有server服务器无法同步后,和自身同步
server 127.127.1.0 fudge 127.127.1.0 stratum 10
#局域网内的上层时间服务器
server 192.168.1.117
2.客户端配置:
#创建自动任务计划 crontab -e * 2 * * * /usr/sbin/ntpdate 192.168.x.x #分 时 日 月 星期 命令位置
3.故障解决
#[root@localhost ~]# ntpdate 192.168.70.52 #27 Sep 05:22:11 ntpdate[2392]: no server suitable for synchronization found
3.1防火墙问题
未关闭防火墙或者防火墙开启为放通UDP123端口,使用下列命令可以检测
#如果看到123端口,说明ntp服务成功启动 netstat -tlunp | grep ntp #例: udp 0 0 192.168.70.52:123 0.0.0.0:* 2841/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:* 2841/ntpd udp 0 0 0.0.0.0:123 0.0.0.0:* 2841/ntpd udp 0 0 fe80::20c:29ff:fe88:22ad:123 :::* 2841/ntpd udp 0 0 ::1:123 :::* 2841/ntpd udp 0 0 :::123 :::* 2841/ntpd #启动防火墙配置放通123端口:/etc/sysconfig/iptables ---添加配置 -A INPUT -m state --state NEW -m tcp -p tcp --dport 123 -j ACCEPT
3.2NTP服务器和/etc/ntp.conf中的server时间同步不成功,和自己同步时间未到
#在ntp server上从头启动ntp服务后,ntp server自身或者与其server的同步的须要一个时候段,这个过程可能是5分钟,在这个时候之内涵客户端运行ntpdate号令时会产生no server suitable for synchronization found的错误 #查看和自身同步是否完成: [root@localhost /]# watch ntpq -p #例: Every 2.0s: ntpq -p Wed Sep 27 05:42:18 2017 remote refid st t when poll reach delay offset jitter ============================================================================== *LOCAL(0) .LOCL. 8 l 7 64 1 0.000 0.000 0.000 #重视LOCAL的这个就是与自身同步的ntp server,重视reach这个值,在启动ntp server办过后,这个值就从0开端络续增长,当增长到17的时辰,从0到17是5次的变革,每一次是poll的值的秒数,是64秒*5=320秒的时候。 若是之后从ntp客户端同步ntp server还失败的话,用ntpdate –d来查询具体错误信息,再做断定
3.3版本BUG
#查看ntp的版本,ntp4.2(包含4.2)之后的版本,在restrict的定义中应用了notrust的话,会导致以上错误。 rpm -qa | grep ntp
4.配置说明:
4.1Linux默认的/etc/ntp.conf
# For more information about this file, see the man pages # ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5). driftfile /var/lib/ntp/drift #系统时间与BlOS时间的偏差记录 # Permit time synchronization with our time source, but do not # permit the source to query or modify the service on this system. restrict default kod nomodify notrap nopeer noquery restrict -6 default kod nomodify notrap nopeer noquery # Permit all access over the loopback interface. This could # be tightened as well, but to do so would effect some of # the administrative functions. restrict 127.0.0.1 #服务器本身拥有任意权限,不受限制 restrict -6 ::1 # Hosts on local network are less restricted. #restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap # Use public servers from the pool.ntp.org project. # Please consider joining the pool (http://www.pool.ntp.org/join.html). server 0.rhel.pool.ntp.org iburst #互联网时间服务器地址 server 1.rhel.pool.ntp.org iburst server 2.rhel.pool.ntp.org iburst server 3.rhel.pool.ntp.org iburst #broadcast 192.168.1.255 autokey # broadcast server #broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autokey # manycast client # Enable public key cryptography. #crypto includefile /etc/ntp/crypto/pw # Key file containing the keys and key identifiers used when operating # with symmetric key cryptography. keys /etc/ntp/keys # Specify the key identifiers which are trusted. #trustedkey 4 8 42 # Specify the key identifier to use with the ntpdc utility. #requestkey 8 # Specify the key identifier to use with the ntpq utility. #controlkey 8 # Enable writing of statistics records. #statistics clockstats cryptostats loopstats peerstats
4.2restrict 命令说明
#restrict 控制相关权限---语法为: restrict IP地址 mask 子网掩码 参数
其中IP地址也可以是default ,default 就是指所有的IP
参数有以下几个:
ignore :关闭所有的 NTP 联机服务
nomodify:客户端不能更改服务端的时间参数,但是客户端可以通过服务端进行网络校时。
notrust :客户端除非通过认证,否则该客户端来源将被视为不信任子网
noquery :不提供客户端的时间查询:用户端不能使用ntpq,ntpc等命令来查询ntp服务器
notrap :不提供trap远端登陆:拒绝为匹配的主机提供模式 6 控制消息陷阱服务。陷阱服务是 ntpdq 控制消息协议的子系统,用于远程事件日志记录程序。
nopeer :用于阻止主机尝试与服务器对等,并允许欺诈性服务器控制时钟
kod : 访问违规时发送 KoD 包。
restrict -6 表示IPV6地址的权限设置。
