RHEL6下NTP服务器的配置.docx

RHEL6下NTP服务器的配置2011-09-06 23:17:50|分类： redhat6初识 |标签： |举报 |字号大中小订阅 RHEL6下NTP服务器的配置实验环境：rootdesktop2 # cat /etc/redhat-releaseRed Hat Enterprise Linux Server release 6.0 (Santiago)rootdesktop2 # uname -r2.6.32-71.el6.x86_64一、NTP服务的原理1、原理NTP（Network Time Protocol，网络时间协议）是用来使计算机时间同步化的一种协议，它可以使计算机对其服务器或时钟源（如石英钟，GPS等等)做同步化，它可以提供高精准度的时间校正（LAN上与标准间差小于1毫秒，WAN上几十毫秒），且可介由加密确认的方式来防止恶毒的协议攻击。2、端口UDP 123二、NTP服务的配置1、安装NTP软件包rootdesktop2 # yum -y install ntp2、NTP服务的配置rootdesktop2 # grep -v # /etc/ntp.confdriftfile /var/lib/ntp/driftrestrict default kod nomodify notrap nopeer noqueryrestrict restrict -6 :1restrict mask nomodify notraprestrict mask nomodify notrapserver 54server # local clockfudge stratum 10includefile /etc/ntp/crypto/pwkeys /etc/ntp/keyslogfile /var/log/ntprootdesktop2 # cat /etc/ntp/step-tickers /当NTP服务启动时，会自动与该文件中的记录的上层NTP服务进行时间校对# List of servers used for initial synchronization.54rootdesktop2 # cat /etc/sysconfig/ntpd /允许BIOS与系统时间同步# Drop root to id ntp:ntp by default.SYNC_HWCLOCK=yesOPTIONS=-u ntp:ntp -p /var/run/ntpd.pid -g3、启动NTP服务rootdesktop2 # service ntpd startrootdesktop2 # chkconfig ntpd on4、NTP的测试rootdesktop2 # ntpstatsynchronised to NTP server (54) at stratum 12 /进行时间校对的NTP服务器 time correct to within 958 ms /本地与上层NTP服务器的时间差 polling server every 64 s /下次同步时间rootdesktop2 # ntpq -p remote refid st t when poll reach delay offset jitter=*instructor.exam LOCAL(0) 11 u 26 64 377 0.807 0.030 0.219LOCAL(0) .LOCL. 10 l 27 64 377 0.000 0.000 0.000三、客户端的访问1、Windows平台双击任务栏右下角的时钟，选择Internet时间2、Linux平台或者ntpdate RHEL 5一、搭建时间同步服务器1、编译安装ntp serverrpm -qa | grep ntp若没有找到，则说明没有安装ntp包，从光盘上找到ntp包，使用rpm -Uvh ntp*.rpm进行安装2、修改ntp.conf配置文件vi /etc/ntp.conf、第一种配置：允许任何IP的客户机都可以进行时间同步将“restrict default nomodify notrap noquery”这行修改成：restrict default nomodify notrap配置文件示例：/etc/ntp.conf、第二种配置：只允许192.168.211.*网段的客户机进行时间同步在restrict default nomodify notrap noquery（表示默认拒绝所有IP的时间同步）之后增加一行：restrict mask nomodify notrap3、启动ntp服务service ntpd start开机启动服务chkconfig ntpd on4、ntpd启动后，客户机要等几分钟再与其进行时间同步，否则会提示“no server suitable for synchronization found”错误。二、配置时间同步客户机手工执行 ntpdate 来同步或者利用crontab来执行crontab -e0 21 * * * ntpdate 2 /root/ntpdate.log 2&1每天晚上9点进行同步附：当用ntpdate -d 来查询时会发现导致 no server suitable for synchronization found 的错误的信息有以下2个：错误1.Server dropped: Strata too high在ntp客户端运行ntpdate serverIP，出现no server suitable for synchronization found的错误。在ntp客户端用ntpdate -d serverIP查看，发现有“Server dropped: strata too high”的错误，并且显示“stratum 16”。而正常情况下stratum这个值得范围是“015”。这是因为NTP server还没有和其自身或者它的server同步上。以下的定义是让NTP Server和其自身保持同步，如果在/ntp.conf中定义的server都不可用时，将使用local时间作为ntp服务提供给ntp客户端。server fudge stratum 8在ntp server上重新启动ntp服务后，ntp server自身或者与其server的同步的需要一个时间段，这个过程可能是5分钟，在这个时间之内在客户端运行ntpdate命令时会产生no server suitable for synchronization found的错误。那么如何知道何时ntp server完成了和自身同步的过程呢？在ntp server上使用命令：# watch ntpq -p出现画面：Every 2.0s: ntpq -p Thu Jul 10 02:28:32 2008 remote refid st t when poll reach delay offset jitter=2 LOCAL(0) 8 u 22 64 1 2.113 179133. 0.001LOCAL(0) LOCAL(0) 10 l 21 64 1 0.000 0.000 0.001注意LOCAL的这个就是与自身同步的ntp server。注意reach这个值，在启动ntp server服务后，这个值就从0开始不断增加，当增加到17的时候，从0到17是5次的变更，每一次是poll的值的秒数，是64秒*5=320秒的时间。如果之后从ntp客户端同步ntp server还失败的话，用ntpdate d来查询详细错误信息，再做判断。错误2.Server dropped: no data从客户端执行netdate d时有错误信息如下：transmit(2)transmit(2)transmit(2)transmit(2)transmit(2)2: Server dropped: no dataserver 2, port 123.28 Jul 17:42:24 ntpdate14148: no server suitable for synchronization found出现这个问题的原因可能有2：1。检查ntp的版本，如果你使用的是ntp4.2（包括4.2）之后的版本，在restrict的定义中使用了notrust的话，会导致以上错误。使用以下命令检查ntp的版本：# ntpq -c version下面是来自ntp官方网站的说明：The behavior of notrust changed between versions 4.1 and 4.2.In 4.1 (and earlier) notrust meant Dont trust this host/subnet for time.In 4.2 (and later) notrust means Ignore all NTP packets that are not cryptographically authenticated. This forces remote time servers to authenticate themselves to your (client) ntpd解决：把notrust去掉。2。检查ntp server的防火墙。可能是server的防火墙屏蔽了upd 123端口。可以用命令#service iptables stop来关掉iptables服务后再尝试从ntp客户端的同步，如果成功，证明是防火墙的问题，需要更改iptables的设置。/WINDOWS 它的WINDOWS版本安装很简单，但是想让它正常运行起来也费了不少劲，不过现在我们有了一些经验，在许多台机器上都配置成功了，归纳起来，做好如下几点就可以了。1) 安装时一切配置都按默认的即可，但是在选择安装程序时，有一个安装第三方软件的那个(即openssl的不必选)，一路点下一步进行即可，当然这样做完以后，十次有九次会提示NTP服务没有启动成功。2) 查看和修改配置文件遇到点挫折没关系，我们再来打开配置文件，即“Edit NTP Configuration”这一项，里面有一点需要记住的地方，即“driftfile C:Program FilesNTP0606etcntp.drift”这一条，也就是说我们要在对应的目录下创建一个名为“ntp.drift”的文件，文件的内容为“0.000”，然后再把server fudge stratum 12这两行配置文件前面的“#”去掉。3) 重新执行一次安装程序过程做完以上两步后，如果直接运行重新启动进程命令(即“Restart NTP Service”)往往也是不行的，我们要做的是重新执行一遍安装过程，经过这么一番折腾后,一般来说，我们的NTP服务器就成功配置完成，并处于启动状态了。我们可以用“Quick NTP Status”来测试一下。1、安装ntp服务 #yum -y install ntp*2、执行同步时间命令 #/usr/sbin/ntpdate 错误当前时间不是08:30:50 22 Jun 08:30:50 ntpdate18496: no server suitable for synchronization found3、解决 安装rdate #yum -y install rdate #rdate -s #/usr/sbin/ntpdate 22 Jun 00:31:52 ntpdate18529: no server suitable for synchronization found当前时间是00:31:52 4、加入crontab中 #crontab -e * */2 * * * /usr/sbin/ntpdate -NTP服务（RHEL6.0x86_64） 一、什么是NTP时间服务器NTP服务器Network Time Protocol（NTP）是用来使计算机时间同步化的一种协议，它可以使计算机对其服务器或时钟源（如石英钟，GPS等等)做同步化，它可以提供高精准度的时间校正（LAN上与标准间差小于1毫秒，WAN上几十毫秒），且可介由加密确认的方式来防止恶毒的协议攻击。二、NTP通信协议Server与Client如何保持时间同步1、首先，主机需要启动NTP2、之后，Client会向NTPServer发送出调校时间的message3、然后NTPServer会送出当前的标准时间给Client4、Client接收了来自Server的时间后，会据此调整自己的时间，这样即可实现网络校时不过在上面的步骤中会发生Client到Server的信息传送时间过长的问题，为了解决这些延迟问题，已经设计了一些可以自动计算传送过程时间的误差的程序，从而更准确的校准自己的时间。三、NTP服务说明软件包1、ntp：是NTP服务器的主要软件，包括配置文件以及执行文件等，都由这个软件提供2、tzdata：软件名称是Time Zone data的缩写，主要提供了各个时区对应的显示格式配置文件及命令1、/etc/ntp.conf：是NTP的主要配置文件，不同Linux版本放置的目录可能会不同，不过文件名都是一样，使用locate ntp.conf搜索一下您的系统有没有这个软件2、/usr/share/zoneinfo：这是个目录，这个目录是Linux本身提供的，而不是NTP提供的。在这个目录下的文件规定了各主要时区的时间配置文件，例如中国上海地区的时区配置文件在/usr/share/zoneinfo/Asia/Shanghai中。3、/etc/sysconfig/clock：这个文件其实不包含在NTP中，因为这个是Linux的主要时区配置文件。每次开机后Linux会自动的读取这个文件来设置系统所默认的时间4、/etc/localtime：这个文件是“本地端的时间配置文件”。上面提到的clock文件里规定了使用的时间设置文件（zone）为/usr/share/zoneinfo/Asia/Shanghai，所以说此文件就是本地端的时间了，此时Linux系统会将Shanghai那个文件另存为/etc/locatime，未来我们的时间显示就会以Shanghai那个时间设置文件为准。如果现在这台主机搬到日本东京去了，那么我们应该如何调整时间呢？其实什么调整都不需要，因为我们的localtime主要是分析与UTC时间的时差来显示格式，所以，只要将/etc/sysconfig/clock里的Zone设置成为Asia/Tokyo，并且将/usr/share/Zoneinfo/Asia/Tokyo另存为/etc/localtime，显示的时间即为日本东京的时间5、/bin/date：这个是Linux系统上面常见的日期与时间输出指令，用途很广。除了输出时间外，也可以修改时间。6、/sbin/hwclock：这是一个root才能执行的指令，因为Linux系统上面BIOS时间与Linux系统时间是分开的，所以使用date这个指令调整了时间之后，还需要使用hwclock才能将修改过的时间写入到BIOS中。7、/usr/sbin/ntpd：这是NTP的主要守护进程文件，需要启动它才能提供NTP服务。需要注意的是，这个指令默认会引用/etc/ntp.conf里的设置。8、/usr/sbin/ntpdate：这是Client端用来链接NTPServer的主要执行文件。如果不想启用NTP，只想使用NTPClient功能的话，可以只应用此指令。四、主配置文件ntp.conf 1、时间服务器的分层概念：当架设一台NTP主机，这台NTP所向上要求同步的那台主机为stratum-1，那么你的NTP就是stratum-2，如果还有其他的NTP主机向我们要求时间同步，那么该台主机则会是stratum-3，最多可达15个阶层。2、架设NTP服务器的需求：上层服务器共有.tw;.tw;.tw三台，其中以.tw最优先使用（prefer）。不对Internet提供服务，仅允许来自内部网段/24的查询。侦测一些BIOS时钟与Linux系统时间的差异并写入/var/lib/ntp/drift文件中。3、利用restrict来管理权限控制：restrict NTP服务器IP mask netmask_IP parameter,其中parameter的参数主要有以下这些：ignore：拒绝所有类型的NTP联机nomodify：客户端不能更改NTP服务器的时间参数，这表示客户端不能使用ntpc与ntpq这两个程序来修改服务器。但客户端仍可通过这台主机来进行网络校时noquery：客户端不能使用ntpq、ntpc等指令来查询时间服务器，等于不提供NTP的网络校时notrap：不提供trap这个远程事件登录（Remote Event Logging）的功能notrust：拒绝没有认证的客户端如果没有在parameter的地方加上任何参数的话，表示该IP或网段不受任何限制。一般来说，可以先关闭NTP的使用权限，然后再一个一个的启用允许登录的网段。4、利用Server设置上层NTP服务器：Server IP or Host Name prefer，在Server后端可以接IP或主机名，prefer表示“优先使用”的主机。5、以driftfile记录BIOS与上层Time Server时间差异，关于文件名必须要知道以下几点：driftfile后面接的文件需要使用完整路径的文件名；该文件不能是链接文件；该文件需要设置成ntpd这个守护进程可以写入的权限；该文件所记录的数值单位为百万分之一秒（ppm）。6、keyskey_file：除了以restrict来限制客户端的联机之外，也可以通过密钥来给客户端认证，如此以来可以让主机端更放心。五、命令rootlinux#vim /etc/ntp.conf#1.先处理权限方面的问题restrict default nomodify notrap noqueryrestrict 1=以下三行是开放主机进入的权限restrict 1restrict 2restrict mask =本机与LAN的使用权限restrict mask nomodify#2.设置主机来源Server 1 prefer=以这台主机为最优先Se