1、Network Time Protocol(NTP,网络时间协议)用于同步它所有客户端时钟的服务。NTP 服务器将本地系统的时钟与一个公共的 NTP 服务器同步然后作为时间主机提供服务,使本地网络的所有客户端能同步时钟。同步时钟最大的好处就是相关系统上日志文件中的数据,如果网络中使用中央日志主机集中管理日志,得到的日志结果就更能反映真实情况。在同步了时钟的网络中,集中式的性能监控、服务监控系统能实时的反应系统信息,系统管理员可以快速的检测和解决系统错误。安装配置 NTP 服务下面将介绍 NTP 服务器的简单配置:第一步,安装 NTP 服务一般的 Linux 发行版都会带 ntp 软件包,如果你
2、的系统中还没有安装,就使用 rpm命令安装此包,以下以 centos 系统为例配置一台时间服务器 :查找当前系统是否已安装 ntprootlocalhost # rpm -qa | grep ntpchkfontpath-1.10.1-1.1ntp-4.2.2p1-8.el5.centos.1 (这个就是已经安装的 RPM 包)如果没有安装,可用下例命令安装:rootlocalhost # rpm -ivh ntp-4.2.2p1-8.el5.centos.1.rpm第二步,配置 NTP 服务器NTP 服务器配置如下:编辑配置文件/etc/ntp.conf restrict default k
3、od nomodify notrap nopeer noqueryrestrict -6 default kod nomodify notrap nopeer noqueryrestrict 127.0.0.1restrict -6 :1restrict 192.168.1.0 mask 255.255.255.0 nomodify notrapserver 192.168.146.225server 0.centos.pool.ntp.orgserver 1.centos.pool.ntp.orgserver 2.centos.pool.ntp.orgserver 127.127.1.0 #
4、 local clockfudge 127.127.1.0 stratum 10配置文件说明如下:第一行 restrict、default 定义默认访问规则,nomodify 禁止远程主机修改本地服务器配置,notrap 拒绝特殊的 ntpdq 捕获消息,noquery 拒绝 btodq/ntpdc 查询(这里的查询是服务器本身状态查询)。restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap这句是手动增加的,意思是从 192.168.1.1-192.168.1.254 的服务器都可以使用我们的 NTP 服务器来同步时间。server 1
5、92.168.146.225这句也是手动增加的,指明局域网中作为 NTP 服务器的 IP;配置文件的最后两行作用是当服务器与公用的时间服务器失去联系时以本地时间为客户端提供时间服务。端口ntp 使用 udp 协议,记得开放其 123 端口。启动 NTPD为了使 NTP 服务可以在系统引导的时候自动启动,执行:#chkconfig ntpd on启动 ntpd:service ntpd startNTP 客户端配置:在客户端手动执行“ntpdate 服务器 IP”来同步时间;另可以使用 crond 来定时同步时间:以 root 身份运行周期性任务:rootsupersun root# cront
6、ab -e添加以下内容,每 15 分钟更新一下时间:15 * * * * ntpdate 服务器 IP此处的 ntpdate 命令包含在 ntp 软件包中,记得确认系统中是否已安装。第三步,检查时间服务器是否正确同步使用下面的命令检查时间服务器同步的状态:#ntpq -p一个可以证明同步有问题的证据是:所有远程服务器的 jitter 值是 4000 并且 delay和 reach 的值是 0。可能的原因有:有防火墙阻断了与 server 之间的通讯,即 123 端口是否正常开放;此外每次重启 NTP 服务器之后大约要 35 分钟客户端才能与 server 建立正常的通讯连接,否则你在客户端执行
7、“ntpdate 服务器 ip”的时候将返回:27 Jun 10:20:17 ntpdate21920: no server suitable for synchronization foundLinux 下 NTP 服务器的配置Linux 下的 ntp 软件不但能自动与互联网上的时钟保持同步,同时本身已经是一台SNTP 服务器了,可以供局域网内的电脑校对时间。服务配置如下:第一步 安装软件包我用的是 RPM 包安装的,或者到 http:/www.eecis.udel.edu/ntp/去下载 xntp重新编译一个新的。#rpm -qa | grep ntpntp-4.2.0-7chkfontp
8、ath-1.10.0-1第二步 让 LAN 的时间服务器(第三级)与互联网上的时间服务器(第一或者第二级)同步修改/etc/ntp.conf 这是 NTP 的主要配置文件,里面设置了你用来同步时间的时间服务器的域名或者IP 地址,下面是到 互联网同步时间的最基本的配置:首先定义我们喜欢的时间服务器:server ntp.research.govserver otherntp.research.gov接下来,我们设置上面两台服务器的访问权限,在这个例子中我们不允许它们修改或者查询我们配置在 Linux 上的 NTP 服务器restrict ntp.research.gov mask 255.25
9、5.255.255 nomodify notrap noqueryrestrict otherntp.research.gov mask 255.255.255.255 nomodify notrap noquery掩码 255.255.255.255 是用来 限制远程 NTP 服务器的掩码地址。接下来设置允许访问我们时间服务器的客户机地址,通常这些服务器都应该位于我们自己局域网内。请注意,配置中 noquery 已经去掉了:restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap在上例中,掩码地址扩展为 255,因此从 1
10、92.168.0.1-192.168.0.254 的服 务器都可以使用我们的 NTP 服务器来同步时间。最后,也是最重要的是默认的限制配置要从你配置文件中删除,否则它将覆盖你所有的配置选项,你将发现如果不删除该配置,你的时间服务器将只能和自己通讯。 如果 ntp.conf 中有以下一行,请将它注释:#restrict default ignore保存你的配置文件,然后对每个你在 ntp.conf 里配置的时间服务器执行 2 编查询命令: #ntpdate ntp.research.gov27 Jun 10:12:01 ntpdate25475: adjust time server ntp.r
11、esearch.gov offset -0.127154 sec#ntpdate ntp.research.gov27 Jun 10:12:06 ntpdate25478: adjust time server ntp.research.gov offset 0.010008 sec第三步 启动 NTP 进程为了使 NTP 服务可以在系统引导的时候自动启动,执行:#chkconfig ntpd on启动/关闭/重启 NTP/查看状态的命令是:#/etc/init.d/ntpd start#/etc/init.d/ntpd stop#/etc/init.d/ntpd restart#/etc/i
12、nit.d/ntpd status切记每次修改了配置文件后都需要重新启动服务来使配置生效。可以使用下面的命令来检查 NTP 服务 是否启动,你应该可以得到一个进程 ID 号:#pgrep ntpd第四步 检查时间服务器是否正确同步使用下面的命令检查时间服务器同步的状态:#ntpq -p一个可以证明同步问题的证据是所有远程服务器的 jitter 值是 4000 并且 delay和 reach 的值是 0。可能的原因有:配置文件中的 restrict default ignore 没有被注释有防火墙阻断了与 server 之间的通讯此外每次重启 NTP 服务器之后大约要 35 分钟客户端才能与 s
13、erver 建立正常的通讯连接,否则你执行 ntpdate ip 的时候将返回:27 Jun 10:20:17 ntpdate21920: no server suitable for synchronization found第五步 客户端与 ntp 服务器同步时间在客户端安装 NTP,安装过程同 NTP 在服务器端。客户端开启 ntp 服务#service ntpd start与 ntp 服务器同步#ntpdate (ntp 服务器地址)接下来编辑 /etc/ntp.confntp.conf#server 127.127.1.0 # local clockfudge 127.127.1.0
14、 stratum 10server stdtime.gov.hk # A stratum 1 server at server.orgserver 192.168.x.y #x.y 为你前面所装机器在局域网里的 IPdriftfile /etc/ntp/driftbroadcastdelay 0.008authenticate nokeys /etc/ntp/keysrestrict 192.168.x.0 mask 255.255.255.0 notrust nomodify notrap/x.0 为你所在局域网段restrict 127.0.0.1restrict 192.168.x.y
15、#x.y 为你前面所装机器在局域网里的 IP#restrict default ignore#同时配置#/sbin/service ntpd start /启动 ntpd 参数可为 restart start stop#/sbin/chkconfig -add ntpd#/sbin/chkconfig -level 234 ntpd on /配置在开机时运行如何检查?#netstat -unl | grep 123 /查看 123 端口#ndptrace 192.168.x.y /看校对时间过程,出现 offset 即为正常 否则为 time out# ntpq -p如果出现 jitter 的
16、值 为 4000 则是防火墙或者网络问题正常为remote refid st t when poll reach delay offset jitter=*clock.nc.fukuok .GPS. 1 u 43 64 37 19.067 -6.884 10.339+clock.tl.fukuok .GPS. 1 u 36 64 35 19.670 -3.259 2.341LOCAL(0) LOCAL(0) 5 l 45 64 37 0.000 0.000 0.001几点注意:1.虽然 ntp 溢出问题较少 ,但建议配置大型网罗的时候,不要装在重要数据库服务器或者 Web 主机上(Ntp 是
17、root 权限)2.在遇到问题之前,先看看 ntp 自带的文档。3.防火墙问题的话,送一句配置$TMP -t filter -A INPUT -p udp -destination-port 123 -j ACCEPT也就是 123 udp in 全部接受。如果子网 IP 仍然提示 4000 错误,可以把restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap改为restrict 192.168.0.0 mask 255.255.255.0 nomodify对于权限参数的说明可以参考台湾鸟哥的文章的说明:rootroot#
18、vi /etc/ntp.conf# 1. 關於權限設定部分# 權限的設定主要以 restrict 這個參數來設定,主要的語法為:# restrict IP mask netmask_IP parameter# 其中 IP 可以是軟體位址,也可以是 default ,default 就類似 0.0.0.0 咯!# 至於 paramter 則有:# ignore:關閉所有的 NTP 連線服務# nomodify:表示 Client 端不能更改 Server 端的時間參數,不過,# Client 端仍然可以透過 Server 端來進行網路校時。# notrust:該 Client 除非通過認證,否則
19、該 Client 來源將被視為不信任網域# noquery:不提供 Client 端的時間查詢# 如果 paramter 完全沒有設定,那就表示該 IP (或網域) 沒有任何限制!# 在我們這個例子當中,因為拒絕所有,僅開放 192.168.0.0/24 ,# 並且讓 127.0.0.1 以及本機 IP 192.168.0.2 可以不受限制,所以:restrict default ignore # 關閉所有的 NTP 要求封包restrict 127.0.0.1 #開啟內部遞迴網路介面 lorestrict 192.168.0.2 # 主機本身的 IP 也同時開啟!restrict 192.1
20、68.100.20mask 255.255.255.255 nomodify# 針對另一個 IP 開放讓他可以更新時間!restrict 192.168.0.0mask 255.255.255.0 nomodify# 在網域裡面的 client 可以進行網路校時,但不會影響 Server !# 2. 上層主機的設定# 上層主機我們選擇 time.stdtime.gov.tw ,要設定上層主機主要以 server # 這個參數來設定,語法為:# server IP|FQDN prefer# Server 後面接的就是我們上層 Time Server 囉!而如果 Server 參數# 後面加上 p
21、erfer 的話,那表示我們的 NTP 主機主要以該部主機來作為# 時間校正的對應。另外,為了解決更新時間封包的傳送延遲動作,# 所以可以使用 driftfile 來規定我們的主機# 在與 Time Server 溝通時所花費的時間,可以記錄在 driftfile # 後面接的檔案內,例如下面的範例中,我們的 NTP server 與 # time.stdtime.gov.tw 連線時所花費的時間會記錄在 /etc/ntp/drift 檔案內# 先輸入第二層主機的 IPserver 210.59.157.10 preferserver 210.59.157.30 preferserver 20
22、2.39.157.155 prefer# 第一層的主機就列為參考用!server 210.59.157.40server 210.59.157.41server 202.39.157.151# 當然要讓 Server 可以進入我們的 NTP 主機啦!權限要開放啊!restrict 210.59.157.10restrict 210.59.157.30restrict 202.39.157.155restrict 210.59.157.40restrict 210.59.157.41restrict 202.39.157.151driftfile /etc/ntp/drift最后附上我的修改过后
23、的/etc/ntp.conf 文件。参考了以下几篇文章:在 RedHat9 下配置时间服务器时间同步NTP 服务器的配置原创linux NTP 配置簡易 NTP 伺服器設定# Prohibit general access to this service.#restrict default ignorerestrict 66.187.224.4 mask 255.255.255.255 nomodify notrap noqueryrestrict 66.187.224.4 mask 255.255.255.255 nomodify notrap noqueryrestrict 66.187.
24、224.4 mask 255.255.255.255 nomodify notrap noqueryrestrict 66.187.233.4 mask 255.255.255.255 nomodify notrap noquery# Permit all access over the loopback interface. This could# be tightened as well, but to do so would effect some of# the administrative functions.restrict 127.0.0.1 # - CLIENT NETWORK
25、 -# Permit systems on this network to synchronize with this# time service. Do not permit those systems to modify the# configuration of this service. Also, do not use those# systems as peers for synchronization.restrict 192.168.28.0 mask 255.255.255.0 nomodify# - OUR TIMESERVERS - # or remove the def
26、ault restrict line # Permit time synchronization with our time source, but do not# permit the source to query or modify the service on this system.# restrict mytrustedtimeserverip mask 255.255.255.255 nomodify notrap noquery# server mytrustedtimeserverip# - NTP MULTICASTCLIENT -#multicastclient # li
27、sten on default 224.0.1.1# restrict 224.0.1.1 mask 255.255.255.255 notrust nomodify notrap# restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap# - GENERAL CONFIGURATION -# Undisciplined Local Clock. This is a fake driver intended for backup# and when no outside source of synchronized tim
28、e is available. The# default stratum is usually 3, but in this case we elect to use stratum# 0. Since the server line does not have the prefer keyword, this driver# is never used for synchronization, unless no other other# synchronization source is available. In case the local host is# controlled by
29、 some external source, such as an external oscillator or# another protocol, the prefer keyword would cause the local host to# disregard all other synchronization sources, unless the kernel# modifications are in use and declare an unsynchronized condition.#server 66.187.224.4fudge 127.127.1.0 stratum
30、 10# Drift file. Put this in a directory which the daemon can write to.# No symbolic links allowed, either, since the daemon updates the file# by creating a temporary in the same directory and then rename()ing# it to the file.#driftfile /var/lib/ntp/driftbroadcastdelay 0.008# Authentication delay. I
31、f you use, or plan to use someday, the# authentication facility you should make the programs in the auth_stuff# directory and figure out what this number should be on your machine.#authenticate yes# Keys file. If you want to diddle your server at run time, make a# keys file (mode 600 for sure) and d
32、efine the key number to be# used for making requests.# PLEASE DO NOT USE THE DEFAULT VALUES HERE. Pick your own, or remote# systems might be able to reset your clock at will. Note also that# ntpd is started with a -A flag, disabling authentication, that# will have to be removed as well.#keys /etc/nt
33、p/keysLinux 配置 NTP 服务器 2012-06-14 11:11:41| 分类: Linux|字号 订阅http:/ Server 上的 NTP 版本roottestdb # rpm -q ntpntp-4.2.2p1-9.el5_4.1如果没有安装,需要在安装光盘的 Server 目录下找到 ntp-*.rpm 并安装2.修改有关权限的设置roottestdb # vim /etc/ntp.conf常用选项:ignore: 禁止所有的 NTP 请求包进入nomodify: 禁止其他计算机更改本机 NTP 服务的设置,但可以通过 NTP 服务器进行网络校时notrust: 禁止所有未通过认证的 NTP 包进入noquery: 禁止其他计算机查询本机 NTP 服务的状态我这里的设置:restrict default nomodify notrap noqueryrestrict 127.0.0.1restrict 192.168.1.0 mask 255.255.255.0 nomodify notraprestrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
