Меню

Pool ntp org не работает

NTP сервер на Linux Ubuntu

Следить за актуальностью времени на всех узлах локальной сети удобнее с помощью сервера синхронизации времени NTP. В инструкции рассказано об установке и настройке такого сервера на Linux Ubuntu Server 16.04. Данное руководство можно использовать для настройки ntpd на любом другом Linux (например, Debian или CentOS).

Установка сервера

Устанавливаем ntp сервер следующей командой:

apt-get install ntp

Разрешаем автозапуск и стартуем сервис:

systemctl enable ntp || update-rc.d ntp defaults

systemctl start ntp || service ntp start

Настройка NTP

Открываем файл с настройками:

Настраиваем серверы, с которых наш NTP будет брать эталонное время. Например:

pool ru.pool.ntp.org iburst
server ntp2.vniiftri.ru iburst prefer
pool 0.ubuntu.pool.ntp.org iburst
pool 1.ubuntu.pool.ntp.org iburst
server 127.127.1.0

* iburst — отправлять несколько пакетов (повышает точность); ru.pool.ntp.org / 0.ubuntu.pool.ntp.org / 1.ubuntu.pool.ntp.org — адреса серверов, с которыми наш сервер будет сверять время; server — указывает на выполнение синхронизации с сервером, а не пулом серверов; prefer — указывает на предпочитаемый сервер. server 127.127.1.0 — позволит в случае отказа сети Интернет брать время из своих системных часов.

restrict default kod notrap nomodify nopeer noquery
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict 127.0.0.1
restrict ::1

  • restrict default — задает значение по умолчанию для всех рестриктов.
  • kod — узлам, которые часто отправляют запросы сначала отправить поцелуй смерти (kiss of death), затем отключить от сервера.
  • notrap — не принимать управляющие команды.
  • nomodify — запрещает команды, которые могут вносить изменения состояния.
  • nopeer — не синхронизироваться с хостом.
  • noquery — не принимать запросы.
  • restrict 192.168.0.0 mask 255.255.255.0 — разрешить синхронизацию для узлов в сети 192.168.0.0/24.
  • IP адреса127.0.0.1 и ::1 позволяют обмен данные серверу с самим собой.

Настройки по умолчанию могут быть разные для IPv4 и IPv6:

restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

systemctl restart ntp || service restart ntp

Если используется брандмауэр, добавляем правило:

iptables -I INPUT 1 -p udp —dport 123 -j ACCEPT

или с помощью ufw:

ufw allow in on enp2s0 to any port 123 proto udp

* где enp2s0 — сетевой интерфейс, на котором слушает наш сервер.

Дополнительные настройки

Настройка файла хранения логов:

Тестирование

Проверить состояние получения эталонного времени можно командой:

Мы должны увидеть, примерно, следующее:

remote refid st t when poll reach delay offset jitter
==============================================================================
ru.pool.ntp.org .POOL. 16 p — 64 0 0.000 0.000 0.000
ntp.ubuntu.com .POOL. 16 p — 64 0 0.000 0.000 0.000
*91.189.94.4 17.253.34.253 2 u 58 64 377 55.802 3.790 0.412
-91.189.91.157 132.246.11.231 2 u 56 64 377 113.456 -1.746 0.334
+91.189.89.198 192.53.103.108 2 u 1 64 377 54.595 4.229 0.608
+91.189.89.199 17.253.34.253 2 u 61 64 377 54.061 2.637 0.557

  • remote — адрес сервера времени, с которым синхронизируется наш сервер;
  • refid — вышестоящий сервер (с которым сервер из графы выше получает время);
  • st — уровень сервера (stratum);
  • t — пир (unicast или multicast);
  • when — когда последний раз сверялось время;
  • poll — периодичность синхронизации с этим сервером;
  • reach — состояние работоспособности. Если удалось произвести синхронизации восемь раз в подряд становится равным 377;
  • delay — время задержки;
  • offset — разница между нашим временем и временем на сервере; положительное — наши часы спешат, отрицательное — отстают;
  • jitter — смещение времени на удаленном сервере;
  • * — с этим сервером синхронизирует время наш ntpd;
  • + — сервер можно использовать для сверки часов;
  • — — не рекомендован для синхронизации;
  • x — не доступен.

Проверить отдачу времени сервером можно введя команду на другом Linux:

Читайте также:  Не работает эгур мазда

Правильный ответ имеет следующий вид:

ntpdate[3576]: adjust time server 192.168.0.15 offset 0.017657 sec

* время было рассинхронизировано на 0.017657 секунд.

Отобразить текущее время можно командой:

Если после синхронизации время некорректно, настраиваем правильный часовой пояс:

cp /usr/share/zoneinfo/Europe/Moscow /etc/localtime

* московское время (GMT+3).

Настройка клиента Linux

Для клиентов можно выбрать 2 стратегии настройки — с помощью ntp или утилиты ntpdate.

apt-get install ntp

CentOS / Red Hat:

yum install ntp

В настройка /etc/ntp.conf в качестве сервера оставляем только наш локальный сервер, например:

Остальные pool и server удаляем или комментируем.

systemctl restart ntp || service restart ntp

ntpdate

Утилита командной строки выполняет разовую синхронизацию. Чтобы автоматизировать процесс, добавляем задание в cron:

0 0 * * * /usr/sbin/ntpdate 192.168.0.15

* в данном примере задание будет выполняться раз в день в 00:00. /usr/sbin/ntpdate — полный путь расположения утилиты, в разных системах может быть разным — проверить стоит командой which ntpdate.

Настройка клиента Windows

В командной строке выполняем:

w32tm /config /manualpeerlist:»192.168.0.15,0×8″ /syncfromflags:manual /update

Некоторые ошибки

1. the NTP socket is in use, exiting

Как правило, данная ошибка возникает при попытке синхронизировать время с помощью ntpdate, когда в системе работает демон ntp.

Причина: NTP сокет в системе уже занят, как правило, ntpd.

Решение: либо не использовать ntpdate, так как ntp умеет сверять время, либо отключить сервис ntpd командой service ntp stop.

2. Connection refused

Возникает при попытке выполнить команду ntpq -p.

Причина: нет разрешения на обращение к серверу.

Решение: проверьте, удастся ли выполнить запрос командой ntpq -pn 127.0.0.1 или ntpq -pn ::1. Также убедитесь, что настройка restrict позволяет серверу подключаться к самому себе по нужному протоколу.

3. no server suitable for synchronization found

Ошибка появляется при попытке синхронизировать время с другим сервером синхронизации.

Причина: сервер синхронизации не доступен по одной из причин: 1) не работает или выключен, 2) установлен restrict, 3) на сервере не запущен ntpd, 4) нет сетевой доступности из-за проблем на сети или брандмауэра.

Источник

NTP pool

Помогите разобраться в чем проблема. Гуглил, находил, но так и не понял. Разбираюсь с NTP. Имеется Linux машина с IPv6-адресом — 2a00:a960:1002::27/128. Адрес доступен из сети интернет. Хочу добавить машину в NTP пул. Ввожу сюда https://manage.ntppool.org/manage/servers этот адрес. Пишет

Invalid stratum response from 2a00:a960:1002::27 (Your server is in stratum ). Is your server configured properly? Is public access allowed? If you just restarted your ntpd, then it might still be stabilizing the timesources — try again in 10-20 minutes.

Это из-за типа адреса или из за чего? Машина же доступна из сети интернет.

Вы понимаете, что именно хотите сделать? Туда добавляют правильно сконфигурированные сервера с образцовым источником времени, допустим GPS-приёмником.

Вы понимаете, что именно хотите сделать? Туда добавляют правильно сконфигурированные сервера с образцовым источником времени, допустим GPS-приёмником.

Не обязательно, пулу нужны не только stratum 1 серверы. Судя по списку рассылки даннная проблема есть и у других, переписка: http://lists.ntp.org/pipermail/pool/2016-May/007835.html

у меня появились сомнения, что ТС понимает что делает, может он просто пытается настроить ntp-клиента по ipv6.

Ну мне не настолько плохо, чтобы я не понимал разницы между клиентами, которые получают время от серверов (прописываются в конфиг, это я тоже понимаю представьте себе) и серверов, которые это время раздают тем самым клиентам. anonymous правильно написал, что им нужны не только stratum1 сервера. Что вы имеете ввиду под правильно сконфигурированными серверами? Если есть источник где это прописано, поделитесь, буду благодарен. Все что было прописано на сайте я выполнил.

Читайте также:  Жены у начальников не работают

Да, находил несколько аналогичных вопросов.. Но так и не понял с чем это связано.

Конкретно в переписке в списке рассылки ntp-pool это связали с недоступностью сервера из некоторых подсетей, там для проверки использовали atlas.ripe.net: http://lists.ntp.org/pipermail/pool/2016-May/007846.html

Покажите вывод ″ntpq -p″ для вашего сервера.

Если у вас дествительно адрес 2a00:a960:1002::27, то на мои пинги он отвечает, а на ntpdate нет. Может вы перекрыли (забыли открыть) 123 порт в iptables6?

Чтобы открыть 123 порт: ip6tables -A INPUT -m state —state NEW -m tcp -p tcp —dport 123 -j ACCEPT

ntpq -p ntpq: read: Connection refused

ntp работает по udp. Пакеты ″—state ESTABLISHED″ разрешены?

Да, простите, что-то забыл про UDP. Ввел команды ip6tables -A OUTPUT -p udp —dport 123 -m conntrack —ctstate NEW,ESTABLISHED,RELATED -j ACCEPT ip6tables -A INPUT -p udp —sport 123 -m conntrack —ctstate ESTABLISHED,RELATED -j ACCEPT

Не помогло.. Как Вы проверили, что ntp пакеты не принимает?

Я пытался получить время от вашего сервера с помощью ntpdate. Ответных пакетов не наблюдалось. ping6 работал.

По хорошему вам нужно в INPUT разрешить всё на udp dport 123, чтобы сервер отвечал не только на запросы со 123 порта, но на запросы с других портов (debug mode). Лучше покажите весь INPUT в ip6tables.

По поводу ntpq, вы это читали http://www.pool.ntp.org/join/configuration.html , нужный restrict для localhost прописывали?

Вроде с iptables впорядке все. Ввел такое

ip6tables -P INPUT ACCEPT

ip6tables -P OUTPUT ACCEPT

Не помогло. При этом, я запустил wireshark на сервере и с сайта https://manage.ntppool.org/manage/server/add#add попробовал сделать запрос на включение в пул.В итоге ваершарк вывел 2 ntp пакета. Первый от сайта к серверу моему, второй от сервера к сайту. То есть пакеты доходит?

Это http://www.pool.ntp.org/join/configuration.html читал и сделал как было написано. Вот что написано там:

server kangaroo.lan.forstwoof.ru burst iburst

(еще 2 сервера аналогичным образом)

restrict -6 default kod nomodify notrap nopeer noquery

Даже не знаю почему так пишет.

ntpdate -6 -b 2a00:a960:1002::27
11 Jun 04:55:21 ntpdate[24024]: no server suitable for synchronization found
ntpq -p 2a00:a960:1002::27
2a00:a960:1002::27: timed out, nothing received ***Request timed out

Не попробовать ли вам сначала локально разобраться с проблемой? Т.е. все тоже самое но из локалки для начала тестировать ?

Сейчас ваш сервер отвечает, но он не синхронизирован:

Если процесс ntpd работает давно (больше часа), значит он не может синхронизироватся с другими серверами. Смотрите что он пишет в логи, дампите пакеты udp 123, если они есть. Может ваш ntpd пытается синхронизироватся по ipv4, а он у вас ограничен.

Источник

pool.ntp.org

Translations

Как пользоваться пулом NTP?

Если вы используете программу ntpd из комплекта, рапространяемого ntp.org (работает на большинстве современных операционных систем, включая Linux, *BSD, Windows и некоторые другие), для обычной синхронизации ваших часов по Интернету будет достаточно такой конфигурации:

Имена 0, 1, 2 и 3.pool.ntp.org указывают на случайно выбранные из пула сервера (выбираются заново каждый час). Перед запуском ntpd убедитесь, что погрешность ваших часов находится в разумных пределах (не превышает нескольких минут). Для этого можно провести моментальную синхронизацию с пулом при помощи команды ntpdate pool.ntp.org, или просто установить время вручную при помощи команды date. После этого вы можете запустить ntpd. Через некоторое время (до получаса) команда ntpq -pn должна выдать нечто похоже на следующее:

В вашем случае IP-адреса могут отличаться (как уже говорилось выше, сервера каждый раз выбираются случайно). Самым главным здесь является символ звездочки (*), показывающий, что часы вашего компьютера теперь автоматически синхронизируются с Интернетом. Отныне вы можете не беспокоиться об этом!

Читайте также:  Как настроить брелок аллигатора

Из-за того, что имя pool.ntp.org будет выдавать вам сервера со всего мира, качество синхронизации может быть не очень высоким. Рекомендуем использовать для синхронизации континентальные зоны (например, europe, north-america, oceania or asia.pool.ntp.org). Еще более оптимальным решением будет использование зоны, соответствующей вашей стране (например, ru.pool.ntp.org для России, ua.pool.ntp.org для Украины и т.д.). Также вы можете использовать цифровой префикс (0, 1 или 2) перед именем зоны. Однако, может так случиться, что зона для вашей страны пока не существует, или содержит всего один-два сервера. Если вы знаете NTP-сервера, близкие к вам по сетевой дистанции (она определяется про помощи программ traceroute и ping), возможно, будет лучше использовать именно их.

Если вы используете последние версии Windows, вы также можете использовать встроенный в систему NTP-клиент. Это делается командой

В некоторых версиях Windows можно указывать более одного сервера:

Это должно работать на Windows 2000/XP/2003. Также вы можете, войдя в систему с правами администратора, щелкнуть правой кнопкой мыши по часам на панели задач, выбрать «Настройка даты/времени», перейти на закладку «Время Интернета» и ввести в предложенное тесктовое поле имя сервера для синхронизации.

Немецкая фирма Meinberg портировала ntpd под Windows.

Обратите внимание, что если ваша система Windows входит в домен, возможно, у вас не получится синхронизировать время независимо от других участников домена. Рекомендуем ознакомиться с официальной документацией.

Additional Notes

Дополнительные замечания

Если у вас есть внешний статический IP-адрес и неплохое интернет-соединение (пропускная полоса не критична, главное, чтобы соединение было стабильным и не сильно загруженным), пожалуйста, подумайте о том, чтобы войти в пул. Для вас это обернется лишь небольшим дополнительным трафиком (несколько сотен байт в секунду), но вы тем самым поможете нашему проекту выжить и развиваться. Подробную информацию вы можете найти на этой странице.

Если ваш интернет-провайдер имеет собственные NTP-сервера , или вы знаете хорошие NTP-сервера недалеко от вас, используете именно их, а не нас — вы получите более высокое качество синхронизации при меньшей нагрузке на сеть. Если вы знаете только один сервер поблизости от вас, вы можете использовать его, например, с двумя серверами из pool.ntp.org.

Изредка случается так, что вам дважды выдается один и тот же сервер — эту проблему можно решить простым перезапуском ntpd. Если вы используете зону своей страны, учтите, что в ней может оказаться всего один-два сервера. В этом случае рекомендуем использовать континентальную зону. Посмотреть, сколько серверов работает в каждой зоне, вы можете здесь.

Будьте дружелюбны . Многие сервера предоставляются добровольцами, и почти все NTP-сервера на самом деле являются файловыми, почтовыми или web-серверами, на которых просто запущен ntpd. Поэтому не используйте более трех серверов в своей конфигурации, и не выкидывайте грязных трюков с параметрами burst и minpoll — все, чего вы добьетесь, это гибель нашего проекта, раньше или позже.

Убедитесь, что на вашем компьютере корректно настроен часовой пояс . ntpd ничего не знает о часовых поясах. Он работает только со временем Гринвича (UTC).

Если вам нужно синхронизировать целую сеть , пожалуйста, настройте один из компьютеров как NTP-сервер и синхронизируйте сеть по нему (вам придется немного почитать документацию, но ничего особенно трудного в этом нет. В случае затруднений обращайтесь в Usenet-конференцию comp.protocols.time.ntp.)

Ну и наконец, я хотел бы поблагодарить всех, кто пожертвовал свое время и свои сервера этому проекту.

Источник

Adblock
detector