Настройка клиента для синхронизации времени

Настройка клиента для синхронизации времени

Согласно протоколу NTP, синхронизация времени возможна следующими способами:

Для разового получения точного времени от NTP-сервера достаточно послать на него SNTP-запрос текущего времени.

Периодическое получение точного времени по запросу обеспечивается регулярным опросом NTP-сервера постоянно запущенной программой (демоном). В UNIX системах существует специальная программа ntpd или xntpd. Windows системы, в зависимости от версии, могут иметь (или не иметь) встроенные средства синхронизации (см. ниже).

Синхронизация по регулярным сигналам точного времени обеспечивается регулярной отправкой NTP-сервером так называемых широковещательных сигналов точного времени — NTP Broadcast. Однако данный метод применим лишь в локальных сетях, поскольку любые широковещательные пакеты не выйдут за пределы раутера сети.

Настройки программ синхронизации времени

Xntpd и ntpd (Berkeley-версия xntpd)

Для настройки демона xntpd (ntpd) достаточно прописать в его конфигурационном файле /etc/ntpd.conf следующие параметры:

server ntp.time.in.ua
server ntp2.time.in.ua

и разумеется не забыть разрешение запуска этого демона. Для FreeBSD это обеспечивается добавлением следующей сроки в файл /etc/rc.conf:

Дополнительные параметры запуска могут быть указаны в переменной ntpd_flags. Дополнительную информацию вы можете получить документацию к xntpd (ntpd) в Вашей системе (man ntpd).

Ntpdate

В UNIX-системах ntpdate используется для единоразовой коррекции системного времени. Обычно эта процедура выполняется при загрузке операционной системы и команда синхронизации может быть следующего вида:

ntpdate -bs ntp.time.in.ua ntp2.time.in.ua

Rdate

В UNIX-системах rdate является простой и легкой командой, которая разово устанавливает время по часам другой машины. В некоторых случаях она вполне может заменить ранее упомянутую ntpdate. Использование и понимание команды не требует больших усилий, строка запуска:

rdate -s ntp.time.in.ua

Timed

timed можно назвать предшественником xntpd, но во многих случаях его оказывается вполне достаточно. Рекомендуемая строка запуска выглядит так:

timed -F ntp.time.in.ua

Встроенные средства Windows 2000

Для запуска синхронизации ОС Windows 2000 необходимо выполнить следующие команды (из командной строки — cmd):

net time /SETSNTP:ntp.time.in.ua net start w32time

После успешного выполнения данных команд необходимо открыть список служб (Администрирование/Службы) и в свойствах Служба времени Windows установить (или убедиться, что параметр имеет верное значение) параметру Тип запуска значение Авто.

Windows 2003, Windows XP и Windows Vista

Для данных версий ОС Windows Вам достаточно открыть окно настройки времени (через Панель управления или часы в системном трее) и на вкладке "Время Интернета" выбрать опцию "Выполнять синхронизацию с сервером времени в Интернете" и в поле "Сервер" указать адрес

Для ОС Windows Vista на вкладке "Время Интернета" необходимо дополнительно нажать кнопку Изменить параметры для открытия окна изменения параметров NTP-сервера.

Тонкая настройка Windows 2003, Windows XP и Windows Vista

Стандартно, интервал обновления времени в Windows достаточно большой — 1 неделя. При достаточно низкой точности системных часов компьютера это слишком большой интервал. При такой настройке за 1 неделю часы Вашего компьютера могут получить погрешность величиной порядка минуты или даже десяка минут. Мы рекомендуем Вам уменьшить данный интервал обновления — до нескольких часов. Это изменение не увеличит ни Вашего трафика, ни нагрузки на NTP-сервер, однако позволит поддерживать точность хода часов Вашего компьютера.

Для этого Вам необходимо внести изменения в системном реестре Windows. Откройте редактор реестра (Пуск -> Выполнить -> "regedit") и найдите раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient. В этом разделе есть параметр — SpecialPollInterval, который как раз и отвечает за период обновления времени в секундах. Поменяйте значение этого параметра, например, на 3600, что будет соответствовать синхронизации времени каждый час. Для того, чтобы эти изменения вступили всилу, выполните команду (из командной строки — cmd)

w32tm /config /update

или перезагрузите компьютер.

Остальные версии Windows (95/98/ME)

Для остальных версий ОС Windows, а также для описанных, можем посоветовать достаточно интересную утилиту синхронизации времени Tardis2000. Скачать данную програму Вы можете и с нашего сайта.

Данная программа позволяет указывать несколько NTP-серверов, изменять параметры синхронизации (периодичность синхронизации, точность установки времени, запуск в системном трее) и т.п. Программа имеет достаточно понятный интерфейс и полноценную справку. Единственный совет — программа имеет возможность единоразовой синхронизации с сервером при запуске, завершая свое выполнение. Для отмены данного поведения программы (для возможности изменений настройки) достаточно при запуске исполняемого файла программы удерживать нажатой клавишу Shift клавиатуры.

Общие советы и рекомендации

• при запуске NTP-демонов нет смысла запрещать обращения к вашему серверу за временем. Большой трафик такие обращения создать не могут, в то же время возможность удаленно контролировать время сервера не помешает Вам же самим;
• не нужно стремиться за высоким номером стратума (stratum). Стратум имеет весьма отдаленное отношение к надежности или точности часов, изначально стратум вообще задумывался как средство подавления циклов в ntptrace, средство простое и надежное. Приведенные в настоящем тексте рекомендации при использовании нашего NTP-сервера обеспечивают stratum 2. Особое значение имеет стабильность времени, а не его точность с отдаленными NTP-серверами;
• не ставьте большое количество NTP-серверов, особенно со схожими характеристиками. Переключение программ синхронизации с одного сервера на другой практически всегда означает коррекцию времени, порой достаточно существенную (на несколько десятков или сотен миллисекунд). Переключение на другой NTP-сервер должно происходить только в случае серьезных аварий сети. Даже из предоставляемых нами двух NTP-серверов мы рекомендуем использовать только один (основной, ntp.time.in.ua), а в случае возможности указывать в настройках программ синхронизации времени приоритетного сервера — обязательно выбрать один из серверов как приоритетный.

Надеемся, изложенные тут рекомендации и советы позволят Вам всегда иметь точное время на своём сервере или домашнем компьютере.

Как настроить синхронизацию времени компонентов ПТК «НЕВА»?

Для настройки синхронизации времени компонентов комплекса нужно, чтобы в его сети существовал источник точного времени. Им может быть сервер ПТК «НЕВА», БРКУ, компьютер, либо другое устройство, способное выполнять функции NTP-сервера. Настройку синхронизации нужно выполнить для всех устройств комплекса.

Настройка сервера точного времени

БРКУ и серверы точного времени, выпускаемые НПФ «ЭНЕРГОСОЮЗ», имеют встроенный NTP-сервер. Если сервером точного времени служит БРКУ, в его конфигурации нужно задать параметры «PORT_zNTP» и «PORT_oNTP» так, как описано далее в разделе «Последовательность действий по настройке синхронизации времени на БРКУ».

Если в качестве источника точного времени используется сервер ПТК «Нева« или другой компьютер с установленной ОС Семейства Windows ХР/2003 Server/Vista/2008 Server/7, на этом компьютере необходимо запустить редактор реестра (Regedit.exe), открыть раздел
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer
и для параметра «Enabled» установить значение «1». После этого перезагрузить компьютер.

Последовательность действий по настройке синхронизации времени на БРКУ

1. Запустить программу «QweRus» и задать IP-адрес того БРКУ, к которому будем подключаться (например, 192.168.0.124). Вместо этого можно подключить монитор и клавиатуру (PS/2) к разъемам на плате процессора в корзине БРКУ.

2. В открывшемся окне надо ввести:

Password: 631 (пароль при вводе не отображается)

В дальнейшем ввод каждой команды сопровождается нажатием клавиши Enter.

Обратите внимание, что операционная система QNX, используемая в БРКУ, чувствительна к регистру букв. Следует набирать команды в том регистре, в каком они указаны здесь.

3. Ввести команду:

После нажатия enter откроется текстовый файл настроек БРКУ.

Если настраиваемый БРКУ версии выше 1.25а, то необходимо ввести другую команду:

4. Для файла «Brku.cfg» найти строку, начинающуюся с «NTP_CLI_EN . » (ориентировочно 147-я строка) и убедиться, что установлено значение «TRUE», как ниже в примере:

Если установлено значение «FALSE», необходимо его исправить.

5. Найти строки, начинающиеся с «dTtxrxLim 5« и «TsyUTC 60000« (эти параметры находятся примерно в 173-й строке файла). Для БРКУ версии выше 1.25а эти строки находятся соответственно в файле «Ntp.cfg» в начале.
a) Если синхронизация времени осуществляется от компьютера на базе операционной системы Windows, нужно раскомментировать эти строки (удалить символ # перед ними) и обязательно закомментировать строки «dTtxrxLim 2.0» и «TsyUTC 3000» (находятся чуть выше);
b) Если синхронизация времени осуществляется от БРКУ или другого источника времени с малым временем ответа, нужно проверить, чтобы были закомментированы строки «dTtxrxLim 5.0« и «TsyUTC 60000» и раскомментированы «dTtxrxLim 2.0» и «TsyUTC 3000». Для параметра «TsyUTC» можно установить значение 6000 вместо 60000 (в этом случае синхронизация будет выполнять чаще и встроенные в БРКУ часы будут идти точнее).

6. Добавить еще две строки:
PORT_zNTP 123
PORT_oNTP 6000
Пример части файла конфигурации будет выглядеть так:
# dTtxrxLim 2.0

dTtxrxLim 5.0
TsyUTC 6000
PORT_zNTP 123
PORT_oNTP 6000

7. Для БРКУ версии выше 1.25а необходимо выполнить команду:

В файле «sysinit.2» найти строку, начинающуюся с «export UTC_TYPE . » и установить значение «NTP». Значение должно быть заключено в кавычки. Пример строки:

export UTC_TYPE=»NTP»
8. После изменений в каждом файле нужно нажимать клавишу F2 для их сохранения, затем F10.
9. Выполнить команду med /etc/hosts
После нажатия Enter откроется редактор. В нем нужно найти строку, в которой в конце написано «. ntp_server», и вместо указанного там IP-адреса установить IP-адрес источника точного времени.

192.168.0.204 ntp_server
10. После изменений нужно нажать клавишу F2, затем F10.
11. Выполнить команды sync

затем: shutdown -f

БРКУ при этом будет перезагружен.
12. Качество синхронизации после перезагрузки можно оценить с помощью специальной диагностической утилиты.
Для этого через 10-15 минут после перезагрузки нужно зайти с помощью «QweRus» на БРКУ (либо использовать клавиатуру и монитор), выполнить команду:
cd /home/work, затем команду: Rntp_stat

Убедиться в правильной синхронизации (должны прорисовываться вертикальные зеленые полоски вероятности рассогласования с сервером точного времени и гореть зеленым флажок «Синхронизация». Кратковременное переключение этого флажка на красный не является признаком отсутствия синхронизации времени).

Последовательность действий по настройке синхронизации времени на компьютерах

1. Установить программу NetTime или любой другой NTP-клиент.
2. Задать в настройках программы IP-адрес источника точного времени. Подробно процесс настройки NTP-клиента и оценка качества синхронизации описаны в руководстве по настройке соответствующего NTP-клиента.

wiki.skylark.ru

Нашли ошибку в тексте?
Выделите и нажмите
Ctrl + Enter !

Содержание

Синхронизация времени

Так как эфирное воспроизведение работает с точностью до кадра, а внутренние часы серверов и клиентов имеют значительную погрешность хода, то им требуется регулярная синхронизация с единым внешним источником точного времени. Таким источником может являться локальный NTP (англ. Network Time Protocol — протокол сетевого времени) сервер, получающий штамп точного времени из сигнала GPS.

Схема синхронизации по NTP

Настройка NTP в Windows

Операционные системы семейства Windows содержат службу времени W32Time. Эта служба предназначена для синхронизации времени в пределах организации. W32Time отвечает за работу как клиентской, так и серверной части службы времени, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP.

По умолчанию служба времени в Windows сконфигурирована следующим образом:

Такая схема работает в большинстве случаев и не требует вмешательства. Однако структура сервиса времени в Windows может и не следовать доменной иерархии и надежным источником времени можно назначить любой компьютер.

В качестве примера приведем настройку NTP-сервера в Windows Server 2008 R2, по аналогии можно настроить NTP сервер и в Windows 7.

Запуск NTP сервера

Служба времени в Windows Server не имеет графического интерфейса и настраивается либо из командной строки, либо путем прямой правки системного реестра. Рассмотрим второй способ:

В редакторе «regedit» открываем ветку реестра: HKLMSystem CurrentControlSetservices W32TimeTimeProviders NtpServer .
Для включения NTP сервера параметру Enabled надо задать значение 1. Для применения изменений перезапустите службу времени командой net stop w32time && net start w32time .

После перезапуска службы NTP, сервер уже активен и может обслуживать клиентов. Убедиться в этом можно с помощью команды w32tm /query /configuration . Эта команда выводит полный список параметров службы. Если раздел NtpServer содержит строку Enabled:1, то все в порядке, сервер времени работает.

Для того, чтобы NTP-сервер мог обслуживать клиентов, в брандмауэре необходимо открыть UDP порт 123 для входящего и исходящего трафика.

Основные настройки NTP сервера и клиента

Значение по умолчанию для компьютера, входящего в домен — NT5DS, для отдельно стоящего компьютера — NTP.

Чтобы заявить рядовой сервер (не домен-контроллер) как надежный источник времени, нужен флаг 5 (1+4).

После изменения настроек необходимо обновить конфигурацию сервиса. Сделать это можно командой w32tm /config /update .

Список команд службы времени

Список команд для настройки, мониторинга и диагностики службы времени:

Устранение неполадок

В Windows 7 — служба времени не запускается автоматически при старте Windows. Исправлено в SP1 для Windows 7.

Настройка клиента для синхронизации времени

В этой статье я расскажу о:

синхронизации времени среди участников Active Directory
• оптимальной с моей точки зрения конфигурации сервера времени корневого PDC
• полезных командах для настройки и диагностики синхронизации времени , которые нужно учитывать для виртуализированных контроллеров домена

Топология синхронизации времени среди участников Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

• Контроллер корневого домена в лесу AD, которому принадлежит роль PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
• Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
• Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Конфигурация NTP-сервера на корневом PDC

Конфигурирование сервера времени (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта.

Включение синхронизации внутренних часов с внешним источником

• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
  «Type»=»NTP»
• w32tm /config /syncfromflags:manual

Подробности — в библиотеке TechNet.

Объявление NTP-сервера в качестве надежного

• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
  «AnnounceFlags»=dword:0000000a
• w32tm /config /reliable:yes

Подробности — в библиотеке TechNet.

Включение NTP-сервера

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer]
  «Enabled»=dword:00000001

Задание списка внешних источников для синхронизации

• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
  «NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8»
• w32tm /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1. Все остальные флаги описаны в библиотеке TechNet.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

• [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient]
  «SpecialPollInterval»=dword:00000384

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
«MaxPosPhaseCorrection»=dword:FFFFFFFF
«MaxNegPhaseCorrection»=dword:FFFFFFFF

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update

Полезные команды

• Применение внесенных в конфигурацию службы времени изменений
  w32tm /config /update
• Принудительная синхронизация от источника
  w32tm /resync /rediscover
• Отображение состояния синхронизации контроллеров домена в домене
  w32tm /monitor
• Отображение текущих источников синхронизации и их статуса
  w32tm /query /peers

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

Синхронизация времени по протоколу NTP на устройствах Cisco

Сегодня вкратце пробежимся по вопросу синхронизации времени, по протоколу NTP (Network Time Protocol)

Сначала определимся, для чего нам синхронизировать время на оборудовании, таком как: коммутаторы, маршрутизаторы, файрволлы, и так далее.

Делается это в первую очередь для того, чтоб отследить по логам когда произошло то или иное событие. И вы можете себе представить, какая польза будет от логов, если время не синхронизированное.. правильно — никакой.

Протокол NTP работает на основе протокола UDP, через 123 порт.

У данного протокола есть некоторая иерархия для синхронизирующих систем, иными словами уровни.

Уровень 1 присваивается системе, которая синхронизируется с высокоточными часами, например через GPS.

Система, которая будет синхронизировать с Уровня 1, будет иметь Уровень 2, и так далее.

Тем самым мы можем определить насколько точным временем обладает станция, с которой мы синхронизируемся.

В нашей ситуации у нас в сети есть машина с точным временем, у меня она настроена на основе FreeBSD, с этой машины, главное сетевое устройство будет брать время (синхронизировать), и тем самым будет становиться главным для других сетевых устройств (в идеологии cisco будет ntp мастером).

Хочу отметить тот факт, что по NTP передается время только в формате UTC (Гринвич), каждая тайм зона настраивается не посредственно на железке.

Давайте рассмотрим пример простой настройки NTP.

Для начала синхронизируем время на нашем главном роутере (который будет раздавать другим сетевым устройствам ).

Для этого заходим в режиме глобальной конфигурации:

где, 10.0.100.254 в нашем случае это машина с FreeBSD, имеющая точное время.

Этого достаточно для минимальной настройки.

Теперь проверим, смогли ли мы подключиться к серверу времени и получить с него время, для этого используем команду:

show ntp associations

должны увидеть нечто подобное:

Звездочка напротив ip нашего ntp сервера, говорит нам, что все хорошо, связь по крайней мере установлена.

Теперь посмотрим, синхронизировалось ли время?

Если все синхронизировалось, то мы должны увидеть следующее:

Время получено, теперь необходимо установить нужную там тайм зону.

Так же в режиме глобальной конфигурации делаем:

clock timezone MSK/MSD 3

Теперь давайте проверим время:

Перейдем к настройке нашего роутера в режим мастера.

Для этой настройки, нам необходимо что данный роутер мастер и указать уровень (в cisco он зовется как stratum number), тот самый, о котором я говорил в начале, я укажу уровень пятый.

Теперь попробуем настроить на другом сеттером устройстве ntp, чтоб оно синхронизировалось с нашего основного роутера, делается это так же как и здесь выше настраивали синхронизацию с FreeBSD сервера.

ntp server 10.0.100.1 prefer

где, 10.0.100.1 это наш головной роутер.

prefer это ключевое слово, которое указывает что данный ntp сервер является приоритетным (тоесть можно прописать, что синхронизировать можно не с одного сервера, а с нескольких, делается это для того, что если один недоступен, или время слишком отличается от других, что говорит о каких-то проблемах, устройство может переключиться на другой сервер времени, а prefer делает этот сервер более предпочтительным, нежели другие.)

так же мы указываем нужную нам таймзону.

clock timezone MSK/MSD 3

Все замечательно, все работает.

Теперь рассмотрим вопрос безопасности.

Для начала, разберем вопрос по ограничению с помощью ACL, кто может синхронизировать, а кто нет.

Все достаточно стандартно и прозрачно.

На сервере времени создаем соответствующий ACL:

access-list 20 remark ACCESS to NTP Sync

access-list 20 permit 10.0.100.3

теперь привяжем этот список доступа к ntp.

ntp access-group serve-only 20

Если все настроено верно, то связь с ntp севером установится и синхронизация пройдет успешно.

Так же дополнительно можно прописать на клиентах список доступа. К каким серверам времени можно обращаться. Делается это похожим способом:

access-list 20 remark ACCESS SYNC to NTP Serv

access-list 20 permit 10.0.100.1

Привяжем список доступа к NTP

ntp access-group peer 20

Теперь рассмотрим безопасность на основе аутентификации.

Все также достаточно прозрачно.

В конфигурацию ntp достаточно добавить следующее:

ntp authentication-key 1 md5 15060E1F10243F34 7

ntp authenticate

ntp trusted-key 1

первой командой мы задаем ключ аутентификации, второй включаем аутентификацию, а третей указываем что аутентификацию проводить по первому ключу.

Настраиваем это на каждой из сторон (сервер — клиент).

Вот собственно и все. Получилась небольшой вводный курс по настройке NTP на Cisco устройствах.

Для отладки используем :

ASW-M#debug ntp ?

adjust NTP clock adjustments

authentication NTP authentication

events NTP events

loopfilter NTP loop filter

packets NTP packets

params NTP clock parameters

refclock NTP reference clocks

select NTP clock selection

sync NTP clock synchronization

validity NTP peer clock validity

ASW-M#debug ntp

Включаем все что нам интересно, например events, sync, auth и смотрим что происходит.