IDC--------NTP时间服务器实施文档

1、idc数据中心ntp时间服务器实施文档第一章ntp server 配置：31.1查看安装包31.2配置服务器31.3关闭防火墙，清除默认策略41.4关闭 selinux41.5设置服务开机启动41.6查看同步情况41.7查看服务器进程和监听端口 5第二章ntp redhat client 测试： 62.1查看ntp server是否可用62.2进行时间同步72.3编写脚本使客户端自动同步72.4编写客户端自动化部署脚木7第三章ntp windows client 测试： 8第四章排错84.1错误 1.server dropped: strata too high84.1错误 2.server

2、dropped: no data94.1服务端ntpq -p命令详细参数介绍10第一章ntp服务器需求1.1内网服务器时间问题idc数据中心内网服务器由于bios时间和时区跟internet时间存在很大差距，造 成内网的服务器时间各不相同，为了时间内网时间统一同时也为了方便后期日志 排错特搭建ntpi3寸间服务器。1.2 ntp时间同步实现方式ntp时间服务器连接公网internet时间服务器进行时间同步，端口 udp 123,同 步完成后时间写入本地bios,每间隔一段时间就会跟公网时间服务器进行同步， 保证时间的最精确性。ntp吋间服务器连接内网，跟内网所有网段可达，同吋只允许客户端访问本

3、地 ntp的123端口，其他全部拒绝。充分服务器安全，客户端同步采用计划任务进 行同步，每隔一小时进行同步一次。第二章ntp sewer配置2.1查看安装包redhat5.5默认系统安装时已经安装ntp包，不用重新安装，如果发现系统没有 安装可以到光盘下sewer目录进行安装：rootntp-server01 # rpm -qa |grep ntpntp-4.2.2pl-9.el5_4.1chkfontpath-1.10.1-1.1rootntp-server01 #2.2配置服务器rootntp-serverol # vim /etc/ntp.confrestrict default no

4、mod ify no traprestrict #由于内网很多网段所以修改为允许所有同步 #下面每条server都需要配置restrict这里表示允 许127回环地址可以同步时间server server tw.pool. server server 4 server #指定上级同步的时间服务器#此处可以指定多个#同时可以加参数prefer,优先级最高#国家授吋中心ip#以本地回环地址作为ntp server,以防时间服 务器对外同步时间发生错误仍然可以给内网服 务器进行时间同步，只

5、是以服务器本地时间作为 同步标准fudge stratum 10restrict none mask 55 no modify no trap#此处的none代表着上而的server后面指定的公网时间服务器，此处我们写在 另外的一个配置文件中/etc/ntp/step-tickers中，这样毎次重启服务器时都会按照 此文件中缩写的上级时间服务器进行一次时间同步rootntp-serverol # cd /etc/ntp rootntp-server01 ntp# pwd /etc/ntprootntp-server01 ntp# iskeys

6、n tpserve rs ste p-tickersrootntp-server01 ntp# more step-tickers 42.3关闭防火墙，清除默认策略iptables -fiptables-xservice iptables saveservice iptables stopchkconfig iptables off2.4 关闭 selinuxrootntp-server01 ntp# more /etc/sysconfig/seiinux# this file controls the st

7、ate of selinux on the system.# selinux= can take one of these three values:# enforcing - selinux security policy is enforced# permissive seli nux prints war nings in stead of en forcing.# disabled - selinux is fully disabled.selinux=disabled# selinuxtype= type of policy in use. possible values are:#

8、 targeted - only targeted network daemons are protected.# strict - full selinux protection.selinuxtype=targeted确定已经关闭：rootntp-serverol ntp# getenforcedisabled2.5设置服务开机启动chkconfig ntpd onservice ntpd restartrootntp-server01 ntp# service ntpd restartshutting down ntpd: ok ntpd: synchronizing with time

9、 server: ok syncing hardware clock to system time ok starting ntpd: ok 2.6查看同步情况st t when poll reach delay offsetrootntp-serverol # ntpq -p . 222.4642 u56641791.9409.1760303 u57641781.742-0.1504.386w w wco 1 test 15. m i 92

10、u576417222.28941.2514.1204.acts 1 u55161546.2594.83311.529*local(0)locl10 15764170.0000.0000.001注意：服务端刚同步完成后客户端是无法同步时间的需要大概3-5分钟即可重新同步。 此时同步会报如下错误：rootclient-04 cron.hourly# ntpdate 25 nov 10:39:45 ntpdate4192: no server suitable for synchronization found2.7查看服务器进程和监听端口ntp 是 ud

11、p 123 端口：rootntp-server01 # netstat -ntulp|grep 123udp00:123o.o.o.o:*31292/ntpdudp00:123o.o.o.o:*31292/ntpdudp0020:123o.o.o.o:*31292/ntpdudp00:123o.o.o.o:*31292/ntpdudp00 :123o.o.o.o:*31292/ntpd udp 31292/ntpd00fe80:e61f:13ff:feb:123 * udp31292/ntpd

12、00fe80:e41f:13ff:fea:123* udp31292/ntpd00fe80:200:ff:fe00:0:123 * udp31292/ntpd00:1:123 * udp00:123* 31292/ntpdrootntp-server01 #第三章 ntp redhat client 测试:3.1查看ntp server是否可用rootntp-server01 # ntpstatsynchronised to ntp server (4) at stratum 11time correct to within 954 mspolling server e

13、very 64 srootclient-04 # ntpdate -d 25 nov 10:11:13 ntpdate3941: ntpdate 4.2.2pl1.1570-o thu nov 26 11:34:35 utc 2009 (1)looking for host and service ntphost found : transmit()receive() transmit()receive() transmit()rec

14、eive() transmit()receive()transmit()server , port 123stratum 2, precision -20, leap 00, trust 000refid , delay 0.02570, dispersion 0.00000transmitted 4, in filter 4reference time:d45bf608.1933bf74 sun, nov 25 20129:42:32.098originate timest

15、amp: d45bfccl.lcl5aceb sun, nov 25 2012 10:11:13.109 transmit timestamp: d45bfccl.lc3e963d sun, nov 25 2012 10:11:13.110 filter delay: 0.025740.025700.025700.025700.00000 0.00000 0.00000 0.00000filter offset: 0.00067 -0.00067 -0.00067 -0.000670.000000 0.000000 0.000000 0.000000delay 0.02570, dispers

16、ion 0.00000offset -0.00067625 nov 10:11:13 ntpdate3941: adjust time server offset -0.000676 sec rootclient-04 #3.2进行时间同步client端不用开启时间服务rootclient04 # chkconfig ntpd off;service ntpd stop rootclient-04 # ntpdate 25 nov 10:10:57 ntpdate3940: adjust time server offset 0.

17、001457 sec 建议第一次时间差很大的情况下多运行儿次命令以确保同步的时间差到达最小3.3编写脚本使客户端自动同步rootclie nt04 cron .hourly# pwd /etc/cr on .hourlyrootclient-04 cron .hourly# ismcelog.cr on n tp.cr onrootclient-04 cron .hourly# more n tp.cr on#!/bin/bash/usr/sbin/ntpdate ;/sbi n/hwclock -w rootclient-04 cron .hourly#3.4编写客户端自

18、动化部署脚本#!/bin/bashchkconfig ntpd onservice ntpd stopntpdate 172. 31.4.2echo "/usr/sbin/ntpdate 172.314.2> /etc/cron< hourly/ntp> cron echo /sbin/hwclock -w> /etc/cron. hourly/ntp. cronchmod u+x /otc/cron. hourly/ntp. cron/sbin/hwclock -w第四章 ntp windows client 测试:时间和日期|时区 inmrn.t时间|&a

19、mp;自动与internet时间服务器同步(£)服务器：|17231.4.2i 15100与同步时间成功，在2012-11-25在10:45.下次同步：2012-12-2在10:41貯镰缺鶴沁严吨有关更多信第五章排错5.1 错误 l.server dropped: strata too high在 ntp 客户玄揣运彳亍 ntpdate serverip, 出现 no server suitable for synchronization found的错误。在 ntp 客户端用 ntpdate - d serverip 查看，发现有"server dro

20、pped: strata too high” 的错误，并口显示"stratum 16”。而正常情况下stratum这个值得范围是这是因为ntp server还没有和其白身或者它的server同步上。以下的定义是让ntp server和其自身保持同步，如果在/ntp.conf中定义的server 都不可用时，将使用local时间作为ntp服务提供给ntp客户端。server fudge stratum 8在ntp server ±重新启动ntp服务后，ntp server白身或者与其server的同步的需 要一个时色段，这个过程可

21、能是5分钟，在这个时间之内在客户端运行ntpdate 命令日寸会产生 no server suitable for synchronization found 的错误。那么如何知道何时ntp server完成了和自身同步的过程呢？在ntp server上使用命令:# watch ntpq -p出现画面：every2.0s:thu jul 10 02:28:32 2008ntpq-premoterefidst t when poll reach delay offset jitter2 local(o)0.001226412.113 179133.local(o)loca

22、l(o)10 1216410.000 0.0000.001注意local的这个就是与自身同步的ntp servero注意reach这个值，在启动ntp server服务后，这个值就从0开始不断增加，当 增加到17的时候，从0到17是5次的变更，每一次是poll的值的秒数，是64 秒*5=320秒的时间。如果z后从ntp客户端同步ntp server还失败的话，用ntpdate - d来查询详细 错误信息，再做判断。5.2 错误 2.server dropped: no data从客户端执行netdate - d时有错误信息如下:transmit(2)transmit(1

23、2)transmit(2)transmit(2)transmit(2)2: server dropped: no dataserver 2, port 12328 jul 17:42:24 ntpdate14148: no server suitable for synchronization found 岀现这个问题的原因可能有2：lo检查ntp的版本，如果你使用的是ntp4.2 (包括4.2)之后的版本，在restrict 的定义中使用了 notru

24、st的话，会导致以上错误。使用以下命令检查ntp的版木：# ntpq c version下面是來自ntp官方网站的说明：the behavior of no trust cha nged betwee n versi ons 4.1 and 4.2.in 4.1 (and earlier) no trust mean t "d on*t trust this host/sub net for time".in 4.2 (and later) no trust means "ig nore all ntp packets that are not cryptographically authenticated." this forces remote time servers to authenticate themselves to your (dient)ntpd解决：把notrust去掉。2o检查ntp server的防火墙。可能是server的防火墙屏蔽了 upd