Nara-auto.ru

Автосервис NARA
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка времени на виртуализированных контроллерах домена AD

Настройка времени на виртуализированных контроллерах домена AD

Сегодня мы поговорим о некоторых особенностях настройки службы времени на виртуализированных контроллерах домена. Как правило, схема синхронизации времени в домене Active Directory выглядит следующим образом:

  • Контроллер домена с FSMO ролью эмулятора PDC является основным источником времени в домене AD и синхронизируется с внешним поставщиком точного времени.
  • Все остальные контроллеры домена синхронизированы с контроллером, содержащим роль эмулятора PDC
  • Все рядовые сервера домена и рабочие станции синхронизируют время с ближайшим контроллером домена.

ntp-settings

Например, так выглядят настройки времени на моем виртуализированном DC с ролью PDC. Как вы видите, он синхронизирует время с pool.ntp.org.

Однако, если попытаться вывести текущего поставщика времени , неожиданно можно увидеть странный источник времени с именем VM IC Time Synchronization Provider.

w32tm / query / source

VM IC Time Synchronization Provider

Дело в том, что по умолчанию виртуальные машины Hyper-V / VMWare синхронизируют свое время с хостовым гипервизором, в не зависимости от настроек службы времени внутри ВМ. В результате этого может оказаться довольно странная ситуация, когда хост Hyper-V является членом домена AD и синхронизирует время с контроллером домена, который, в свою очередь, является виртуальной машиной и синхронизирован с хостом (рекурсия?!).
Чтобы этого избежать, для контроллеров виртуальных доменов вы должны отключить синхронизацию времени с хостом. Есть два способа сделать это.

Первый способ — отключить синхронизацию времени в свойствах ВМ. Для этого откройте свойства виртуальной машины в оснастке Hyper-V Manager, перейдите в раздел Integration Services и снимите флажок Time synchronization.

hyper-v Time synchronization

То же самое на сервере Hyper-V можно сделать с помощью консоли PowerShell. Например, с помощью этой команды можно получить статус службы синхронизации времени для виртуальной машины:

Get-VMIntegrationService -VMName dc1 -Name ‘Time synchronization’

А следующей командой можно отключить синхронизацию:

Get-VMIntegrationService -VMName dc1 -Name ‘Time synchronization’ | Disable-VMIntegrationService

Disable-VMIntegrationService

Если в качестве хоста виртуализации вы используете VMWare ESXi, вы можете отключить синхронизацию времени с хостом в настройках виртуальной машины.

ВМ->Edit Settings -> вкладка VM Options -> Снимите галку “Synchronize guest time with host

Synchronize guest time with host

Второй способ отключения синхронизации времени — редактирование реестра внутри гостевой виртуальной машины с ролью контроллера домена (ADDS). Чтобы отключить синхронизацию, запустите Regedit.exe, перейдите в раздел HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider и измените значение параметра Enabled на 0.

VMICTimeProvider enabled

Либо то же самое действие, но из командной строки:

reg add HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider /v Enabled /t reg_dword /d 0

VMICTimeProvider

Кроме того, рекомендуется выполнить следующие настройки

  1. Изменить период опроса сервера NTP reg add HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient /v SpecialPollInterval /t reg_dword /d 900
  2. Настроить правильный ответ службы времени на нестандартное изменение времени более чем на 52 часа reg add HKLMSYSTEMCurrentControlSetServicesW32TimeConfig /v MaxNegPhaseCorrection /t reg_dword 0xFFFFFFFF

После отключения синхронизации с помощью любого из описанных выше методов необходимо перезапустить службу времени w32time, чтобы она перенастроилась на новый источник времени и запустить синхронизацию:

net stop w32time
net start w32time
w32tm /resync /force

w32tm /resync /force

На всех остальных DC в AD вы должны дополнительно выполнить команду:

w32tm/config /syncfromflags:DOMHIER /update

Это заставит службу времени выбрать PDC-эмулятор в качестве источника в соответствии с иерархией домена. Таким образом, мы настроим правильную схему синхронизации времени в домене при использовании виртуальных DC.

Как добавить или изменить Time Server в Windows 10 2021

Время интернет-сервера используется для обеспечения точности ваших системных часов, и поэтому очень важно поддерживать время в Интернете обновлено. Ваш ПК для Windows использует часы для обновления и изменения ваших файлов. Хотя настройки даты и времени для Windows 10i довольно просты в доступе, для доступа к настройкам сервера таймера необходимо пройти через панель управления. В этом сообщении мы видим, как изменить Time Server в Windows 10 . Мы также увидим, как добавить новые серверы времени по вашему выбору в вашу систему Windows 10.

Изменить сервер времени в Windows 10

Введите «Панель управления» в «Начать поиск» и нажмите «Ввод», чтобы открыть Панель управления вашего ПК с Windows 10.

Введите «Дата и время» в поле поиска и нажмите на результат.

Нажмите вкладку « Время в Интернете» и нажмите на кнопку ` Изменить настройки .

В раскрывающемся меню выберите, скажем, time.nist.gov , как сервер, и нажмите « Обновить сейчас» .

Если вы получили какую-либо ошибку, попробуйте использовать pool.ntp.org как ваш сервер времени, а затем нажмите кнопку «Обновить сейчас».

Убедитесь, что вы выбрали флажок « Синхронизировать с сервером интернет-времени .

Добавить новые серверы времени на Windows 10

Если вы хотите добавить больше серверов времени в раскрывающийся список, откройте редактор реестра и перейдите к приведенному ниже пути —

Это покажет вам список текущих серверов available-time.windows.com

  • time-nist.gov
  • time-nw.nist.gov
  • time-a.nist.gov
  • time-b.nist.gov

Если вы хотите добавить Time Servers, вы можете использовать следующие экземпляры или любой другой по вашему выбору:

  • pool.ntp.org
  • isc.org

Просто выберите сервер, который вы хотите добавьте, щелкните правой кнопкой мыши в любом месте справа и выберите «Создать»> «Значение строки». Введите следующий номер и укажите адрес сервера времени в поле «Значение».

По завершении вернитесь к параметрам Дата и время , выберите свой сервер и нажмите Обновить сейчас

Принудительно синхронизировать синхронизацию времени с помощью CMD

Вы также можете заставить Windows синхронизировать время с помощью W32tm.exe. W32tm.exe — это строка командной строки, используемая для настройки, мониторинга или устранения неполадок службы времени Windows на ПК под управлением Windows 10.

Для этого откройте приведенную выше командную строку и введите следующие команды один за другим:

Перезагрузите компьютер и посмотрите, помогло ли оно.

Добавить или изменить OEM-информацию в Windows 10/8/7

Добавить или изменить OEM-информацию в Windows 10/8/7

Узнайте, как добавлять или изменять OEM-информацию в Windows 10/8 / 7. Вы можете отредактировать информацию о поддержке производителя, изменив некоторые параметры реестра.

Изменить или изменить начальный текст экрана запуска Windows 8

Изменить или изменить начальный текст экрана запуска Windows 8

В этой статье будет показано, как стирать, настраивать, изменять или редактировать «Начать» название экрана запуска Windows 8 с помощью Resource Hacker.

Изменить размер или изменить изменения Панель задач Размер эскизов в Windows

Изменить размер или изменить изменения Панель задач Размер эскизов в Windows

Узнайте, как изменить размер или изменить размер миниатюр панели задач в Windows Vista / 7/8 через взлом реестра. Если вы обнаружите, что размер миниатюр слишком мал, легко увеличивайте его размер.

Windows server 2008 синхронизация времени с интернетом

Что делать, если на компьютере не устанавливается точное время (автоматически или вообще)? И о чем вообще речь?

Щелкните правой клавишей мыши по часам в панели задач и выберите в меню пункт Настройка даты-времени (пользователь компьютера должен иметь права Администратора). Откроется окно настройки на закладке Дата и время. Тут дату время можно настроить вручную; если отклонение от реальности велико (более нескольких минут), лучше это сделать, даже если вы предполагаете делать автоматическую настройку, т.к. при большом начальном отклонении автоматическая процедура не будет работать (не забудьте проверить и установить также дату!)

Перейдите на закладку Часовой пояс и проверьте, правильно ли выбран ваш пояс.

Перейдите на закладку Время интернета. Установите, если он отсутствует, флажок Выполнять синхронизацию времени в интернете, после чего нажмите на кнопку Обновить сейчас. Через несколько секунд или пару минут в окне появится сообщение об успехе или неудаче синхронизации.

Если синхронизация прошла удачно, это означает, что и далее ваш компьютер, теперь уже автоматически, будет выставлять точное время — один раз в неделю. Если вас это устраивает, дальше можно не читать; если синхронизация не работает или вас не устраивает недельный интервал — читайте дальше.

Каковы могут быть причины отсутствия синхронизации и что с этим делать?

1. В поле (раскрывающемся списке) Сервер слева от кнопки Обновить сейчас указан неработоспособный/недействительный сервер точного времени. Чаще всего в таком качестве оказывается сервер time.windows.com. Раскройте список и выберите другой сервер (обычно список состоит из двух пунктов и вторым идет time.nist.gov). Снова нажмите на кнопку.

2. Проверьте, подключены ли вы к интернету. Необходимо, чтобы брандмауэр и роутер пропускали пакеты UPP на порт 123 (т.е. протокол NTP). Обычные настройки брандмауэра Windows и «бытовых» роутеров именно таковы; если провайдер интернета или сисадмин организации, в которой стоит компьютер, осуществляют фильтрацию трафика — попросите «открыть 123 порт UDP».

3. Может оказаться, что все серверы из списка неработоспособны. К сожалению, список серверов нельзя отредактировать простыми средствами, а о том, как это сделать — читайте ниже.

Как отредактировать список серверов, порядок подключения и интервал проверки?

Внимание — ниже описывается процедура редактирования реестра Windows. Не меняйте других параметров реестра,кроме описанных, порча реестра может привести к неработоспособности Windows!

1. Откройте редактор реестра: кнопка Пуск, далее Выполнить, наберите regedit и нажмите клавишу Ввод.

2. В левой части окна в дереве параметров реестра выберите
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers]

3. В правой части окна щелкните по имени параметра (цифре 1 или 2 в левой колонке) и отредактируйте адрес сервера точного времени — задайте действительный адрес вместо неработающего (адреса легко узнать через Гугль — запрос «сервер точного времени» или «сервер ntp»).

3. При необходимости отредактируйте также параметр (по умолчанию), который задает номер сервера (1 или 2), используемого по умолчанию (этот параметр можно также изменить без редактора реестра, как описано выше).

4. Теперь зайдите в раздел
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]

5. Тут нас может заинтересовать параметр SpecialPollInterval. Он содержит интервал между попытками проверить точное время, в секундах. По умолчанию это неделя (сами считайте — прорва секунд). Если этот интервал вас не устраивает (например, часы идут не слишком точно и за неделю убегают, или компьютер часто бывает отключен от интернета, и неделя может растянутся на много недель), параметр можно отредактировать. Щелкните по его названию в левой колонке.

Переставьте переключатель Система исчисления в положение Десятичная (если, конечно, это вам нужно) и введите нужное число в поле Значение, нажмите ОК. Не стоит ставить значения меньше получаса (1800).

Blog of Khlebalin Dmitriy

Настройка синхронизации времени в домене Active Directory.

Вообще служба времени является достаточно важной службой в работе всех систем в целом. Порой многие админы откладывают ее настройку на потом или вообще никак не настраивают ее в дальнейшем. И все бы ничего, но порой это начинает приводить к проблемам (например отказе некоторых сервисов, аутентификации по Kerberos в домене и прочим багам). В данном посте, я приведу некоторые настройки собственные и наших коллег по цеху и в двух словах расскажу о нюансах с которыми я столкнулся в жизни. Итак приступим:

  • топологии синхронизации времени среди участников Active Directory
  • оптимальной с моей точки зрения конфигурации сервера времени корневого эмулятора PDC
  • полезных командах для настройки и диагностики синхронизации времени
  • особенностях , которые нужно учитывать для виртуализированных контроллеров домена

Топология синхронизации времени среди участников Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

  • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее будет приведена оптимальная конфигурация сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Конфигурация NTP-сервера на корневом PDC

Конфигурирование сервера времени (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, будут показаны оба варианта.

Включение синхронизации внутренних часов с внешним источником

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
    «Type»=»NTP»
  • w32tm /config /syncfromflags:manual

Подробности — в библиотеке TechNet.

Объявление NTP-сервера в качестве надежного

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
    «AnnounceFlags»=dword:0000000a
  • w32tm /config /reliable:yes

Подробности — в библиотеке TechNet.

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer]
    «Enabled»=dword:00000001

Задание списка внешних источников для синхронизации

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
    «NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8»
  • w32tm /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1. Все остальные флаги описаны в библиотеке TechNet.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient]
    «SpecialPollInterval»=dword:00000384

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
«MaxPosPhaseCorrection»=dword:FFFFFFFF
«MaxNegPhaseCorrection»=dword:FFFFFFFF

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8» /syncfromflags:manual /reliable:yes /update

  • Применение внесенных в конфигурацию службы времени изменений
    w32tm /config /update
  • Принудительная синхронизация от источника
    w32tm /resync /rediscover
  • Отображение состояния синхронизации контроллеров домена в домене
    w32tm /monitor
  • Отображение текущих источников синхронизации и их статуса
    w32tm /query /peers

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

  • Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
  • Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.

В данном посте Максим Ефремов рассказал о настройке NTP в Win2008, Vista в семерке это делается аналогично.

Если у Вас домен, то он сам синхронизирует время на рабочих станциях. Только, для того чтоб он сам не искал с кем-бы ему синхронизироваться, надо в реестре:
«HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters»
Установить значение параметра LocalNTP равным 1.
На рабочих станциях (на всех) один раз прописать «net time \имя_сервера /set»
Ах да, после изменений в реестре еще надо перезапустить службу: «net w32time stop» и «net w32time start» поочереди.

Если скажем, вы хотите чтоб время синхронизировалось каждый час, то сделайте следуеще:
1. В реестре, по тому же адресу, удалить параметр «Period».
2. Вместо него создать параметр с тем же именем, только типа REG_DWORD.
3. Для нового параметра задать значение 24

На компах с 2000 и выше «левые» программы не нужны, все решается стандартными средствами.

Например, на компе подключенном к Инету:
1. net time /setsntp:»192.5.41.209 192.5.41.41″
2. Рестарт time service

На контроллере домена:
1. net time /setsntp:»АйПи_компа_подключенного_к_инету»
2. Рестарт time service

Да, но все вышенаписанное, при правильной настройке, нормально работает в виндовых платформах. Но в определенный момент, я столкнулся с тем, что сервак телефонии Авая, так и не смог синхронизироваться с виндовым сервером времени, как я ни старался. Зато с сервером времени развернутым на линухе (или на юнихе, я уже не вспомню точно) синхронихировался за 2 секунды и без проблем.

По сему для себя мы сделали вывод, что при наличии в компании смешанной инфраструктуры (windows+nix) актуальней будет использовать NTP сервер на nix платформе (в моем случае это будет freebsd), а далее соответственно как сами настроите. О настройке NTP сервака на freebsd в моих будущих постах.

Всем удачи в работе .

P.S. Здесь же будут полезны вот эти сайты:

за что ее автору большое спасибо.

P.S. Здесь еще будет полезна краткая сводка команд:

w32tm /config /update /manualpeerlist:»ntp.mobatime.ru» /syncfromflags:MANUAL /reliable:YES

Конфигурация NTP-сервера на корневом PDC

Конфигурирование сервера времени (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта.

Включение синхронизации внутренних часов с внешним источником

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] «Type»=»NTP»
  • w32tm /config /syncfromflags:manual

Подробности — в библиотеке TechNet.

Объявление NTP-сервера в качестве надежного

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig] «AnnounceFlags»=dword:0000000a
  • w32tm /config /reliable:yes

Подробности — в библиотеке TechNet.

Включение NTP-сервера

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer] «Enabled»=dword:00000001

Задание списка внешних источников для синхронизации

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] «NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8»
  • w32tm /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1. Все остальные флаги описаны в библиотеке TechNet.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient] «SpecialPollInterval»=dword:00000384

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig] «MaxPosPhaseCorrection»=dword:FFFFFFFF «MaxNegPhaseCorrection»=dword:FFFFFFFF

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update

Полезные команды

  • Применение внесенных в конфигурацию службы времени изменений w32tm /config /update
  • Принудительная синхронизация от источника w32tm /resync /rediscover
  • Отображение состояния синхронизации контроллеров домена в домене w32tm /monitor
  • Отображение текущих источников синхронизации и их статуса w32tm /query /peers

Проверяем что не включена Локальная политика контроллера домена

1) Отключаем здесь настройки NTP клиента и сервера
2) Проверяем команда gpresult.

Для настройки вашего доменного контроллера с ролью “Эмулятора PDC” на синхронизацию с внешним источником, необходимо сначала выполнить команду

w32tm /stripchart /computer: 3.pool.ntp.org /samples:5 /dataonly

которая произведет 5 сравнений с источником, а затем:

w32tm /config /manualpeerlist: 3.pool.ntp.org / syncfromflags:manual /reliable

команду выполнять с повышенными правами

Проверяем внешний источник контроллера: W32TM /Query /Source

Как установить и настроить NTP на сервере

Как установить и настроить NTP на сервере

Работа многих служб ОС зависит от того, насколько точны системные часы. Для чего нужна эта точность? Затем, что неточное время на сервере повлечет за собой много неприятностей.

В качестве примера приведем следующий: если в локальной сети часы машин, которые совместно используют файлы, не будут синхронизированы, то нельзя будет установить время изменения файлов. Из-за этого возникнет конфликт версий или перезаписи данных. Без установки точного времени на сервере появятся и сложности с задачами Cron – непонятно, когда они запустятся. Невозможно будет проанализировать журналы системных событий, чтобы понять причины неисправностей и сбоев.

Для того чтобы эти неприятности не возникли, нужно наладить синхронизацию системных часов. Для этого используется протокол NTP (Network Time Protocol).

Как устроен протокол NTP

Протокол NTP основан на иерархической структуре сервера точного времени, где выделены разные уровни. К нулевому уровню, на котором NTP-серверы не работают, относятся так называемые эталонные часы.

С ними синхронизируются NTP серверы уровня 1, являющиеся источниками для серверов уровня 2. Серверы второго уровня синхронизируются с серверами первого уровня, но еще могут синхронизироваться между собой. Точно так же функционируют серверы третьего уровня и ниже. В целом, поддерживается порядка 256 уровней.

Иерархическая структура NTP является отказоустойчивой и избыточной. Так, резервные серверы берут синхронизацию на себя, когда речь идет об отказах соединения с вышестоящими серверами. Для расчета точного времени NTP берет данные ото всех источников, синхронизируясь с несколькими серверами.

Как установить и настроить NTP-сервер

Чтобы синхронизировать время, используют демон ntpd, который может быть как сервером, принимающим время из удаленных хостов, так и клиентом, раздающим время сторонним хостам. Демон ntpd зависит от указанных в файле конфигурации настроек.

Для установки сервера NTP используется стандартный менеджер пакетов $ sudo apt-get install ntp.

После установки все необходимые настройки NTP будут находиться в файле /etc/ntp.conf.

Первая строчка файла конфигурации – driftfile /var/lib/ntp/ntp.drift. В ней указан файл, в котором хранится информация о том, как часто смещается время. В этом же файле содержится и значение, которое было получено из предыдущих изменений времени. Если по каким-то причинам внешние NTP-серверы недоступны, знание берут из этого файла.

После этого нужно указать файл, сохраняющий логи синхронизации – logfile /var/log/ntp.log.

В файле конфигурации нужно указать перечень серверов NTP, с которыми нужно синхронизироваться. По умолчанию этот перечень выглядит вот так:

  • server 0.ubuntu.pool.ntp.org
  • server 1.ubuntu.pool.ntp.org
  • server 2.ubuntu.pool.ntp.org
  • server 3.ubuntu.pool.ntp.org

Эти строки означают группу серверов, которые сообщают серверу верное время. Через опцию iburst можно увеличить точность синхронизации, то есть указать то, что на сервер необходимо отправлять несколько пакетов вместо одного:

  • server 0.ubuntu.pool.ntp.org iburst
  • server 1.ubuntu.pool.ntp.org iburst
  • server 2.ubuntu.pool.ntp.org iburst
  • server 3.ubuntu.pool.ntp.org iburst

Еще можно донести информацию о нужном сервере через опцию prefer:

VDS Timeweb арендовать

Ареал использования серверов NTP

Такие серверы есть во всем мире, но обычно синхронизация происходит с NTP-серверами именно того ареала, где физически находится ваш сервер. Таким образом, в файле конфигурации /etc/ntp.conf указывается поддомен ареала (региона) для pool.ntp.org:

  • Азия – asia.pool.ntp.org
  • Европа – europe.pool.ntp org
  • Африка – africa.pool.ntp.org
  • Северная Америка – north-america.pool.ntp.org
  • Южная Америка – south-america.pool.ntp.org
  • Океания – oceania.pool.ntp.org
  • Россия – ru.pool.ntp.org

Резервный сервер точного времени

NTP-сервер, по какой-либо причине отключенный от интернета, может передавать для синхронизации данные своих системных часов. Для этого в конфигурационный файл нужно добавить следующую строку:

Особые случаи использования NTP

Например, NTP могут использовать, чтобы усилить трафик в DDoS-атаках. А чтобы избежать столкновения с различными злоупотреблениями, следует ограничить доступ для внешних клиентов. Говоря об ограничениях, то по умолчанию в /etc/ntp.conf файле выставлены такие:

  • restrict − 4 default kod notrap nomodify nopeer noquery
  • restrict − 6 default kod notrap nomodify nopeer noquery

Такие опции, как nomodify, notrap, nopeer и noquery, не позволяют внешним клиентам менять конфигурации на сервере. Параметр kod (расшифровывается как kiss of death, «смертельный поцелуй») дает дополнительный уровень защиты: клиент, который часто отправляет запросы, получает сперва kod-пакет, являющийся предупреждением о том, что в обслуживании отказано, а потом отключается от сервера.

Для синхронизации машин из локальной сети с сервером NTP в файл конфигурации добавляется такая строчка:

А для локального хоста устанавливается неограниченный доступ к серверу NTP:

Как проверить синхронизацию

После сохранения всех изменений в файле конфигурации NTP-сервер нужно перезагрузить:

А затем выполнить команду:

NTP INFO

На выходе получится таблица, в которой указаны следующие параметры:

  • remote – адрес сервера точного времени;
  • refid – вышестоящий сервер;
  • st – уровень (stratum) сервера;
  • t – тип пира (u- unicast, m- multicast);
  • when – время последней синхронизации;
  • poll – время в секундах, за которое демон NTP синхронизируется с пиром;
  • reach – состояние доступности сервера;
  • delay – время задержки ответа от сервера;
  • offset – временная разница между сервером и сервером синхронизации;
  • jitter – смещение времени на удаленном сервере.

Слева от адреса сервера могут быть указаны еще и такие символы:

  • * – сервер выбран для синхронизации;
  • + – сервер, пригодный для синхронизации;
  • – – с сервером синхронизироваться не стоит;
  • х – сервер недоступен.

Чтобы проверить, насколько сервер подходит для синхронизации, нужно использовать команду ntpdate -q.

Как установить локальные дату и время

Чтобы установить локальные дату и время на сервере, нужно использовать команду ntpdate, при этом отправив необходимый запрос к серверу NTP:

голоса
Рейтинг статьи
Читайте так же:
Регулировка дроссельной заслонки кларус
Ссылка на основную публикацию
Adblock
detector