1.服务器端配置:
#允许这些IP向自己同步时间
restrict x.x.x.x mask x.x.x.x nomodiy notrap
#当和定义的所有server服务器无法同步后,和自身同步
server 127.127.1.0
fudge 127.127.1.0 stratum 10
#局域网内的上层时间服务器
server 192.168.1.117
2.客户端配置:
#创建自动任务计划
crontab -e
* 2 * * * /usr/sbin/ntpdate 192.168.x.x
#分 时 日 月 星期 命令位置
3.故障解决
#[root@localhost ~]# ntpdate 192.168.70.52
#27 Sep 05:22:11 ntpdate[2392]: no server suitable for synchronization found
3.1防火墙问题
未关闭防火墙或者防火墙开启为放通UDP123端口,使用下列命令可以检测
#如果看到123端口,说明ntp服务成功启动
netstat -tlunp | grep ntp
#例:
udp 0 0 192.168.70.52:123 0.0.0.0:* 2841/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 2841/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 2841/ntpd
udp 0 0 fe80::20c:29ff:fe88:22ad:123 :::* 2841/ntpd
udp 0 0 ::1:123 :::* 2841/ntpd
udp 0 0 :::123 :::* 2841/ntpd
#启动防火墙配置放通123端口:/etc/sysconfig/iptables ---添加配置
-A INPUT -m state --state NEW -m tcp -p tcp --dport 123 -j ACCEPT
3.2NTP服务器和/etc/ntp.conf中的server时间同步不成功,和自己同步时间未到
#在ntp server上从头启动ntp服务后,ntp server自身或者与其server的同步的须要一个时候段,这个过程可能是5分钟,在这个时候之内涵客户端运行ntpdate号令时会产生no server suitable for synchronization found的错误
#查看和自身同步是否完成:
[root@localhost /]# watch ntpq -p
#例:
Every 2.0s: ntpq -p Wed Sep 27 05:42:18 2017
remote refid st t when poll reach delay offset jitter
==============================================================================
*LOCAL(0) .LOCL. 8 l 7 64 1 0.000 0.000 0.000
#重视LOCAL的这个就是与自身同步的ntp server,重视reach这个值,在启动ntp server办过后,这个值就从0开端络续增长,当增长到17的时辰,从0到17是5次的变革,每一次是poll的值的秒数,是64秒*5=320秒的时候。 若是之后从ntp客户端同步ntp server还失败的话,用ntpdate –d来查询具体错误信息,再做断定
3.3版本BUG
#查看ntp的版本,ntp4.2(包含4.2)之后的版本,在restrict的定义中应用了notrust的话,会导致以上错误。
rpm -qa | grep ntp
4.配置说明:
4.1Linux默认的/etc/ntp.conf
# For more information about this file, see the man pages
# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5). driftfile /var/lib/ntp/drift #系统时间与BlOS时间的偏差记录 # Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery # Permit all access over the loopback interface. This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1 #服务器本身拥有任意权限,不受限制
restrict -6 ::1 # Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap # Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.rhel.pool.ntp.org iburst #互联网时间服务器地址
server 1.rhel.pool.ntp.org iburst
server 2.rhel.pool.ntp.org iburst
server 3.rhel.pool.ntp.org iburst #broadcast 192.168.1.255 autokey # broadcast server
#broadcastclient # broadcast client
#broadcast 224.0.1.1 autokey # multicast server
#multicastclient 224.0.1.1 # multicast client
#manycastserver 239.255.254.254 # manycast server
#manycastclient 239.255.254.254 autokey # manycast client # Enable public key cryptography.
#crypto includefile /etc/ntp/crypto/pw # Key file containing the keys and key identifiers used when operating
# with symmetric key cryptography.
keys /etc/ntp/keys # Specify the key identifiers which are trusted.
#trustedkey 4 8 42
# Specify the key identifier to use with the ntpdc utility.
#requestkey 8 # Specify the key identifier to use with the ntpq utility.
#controlkey 8 # Enable writing of statistics records.
#statistics clockstats cryptostats loopstats peerstats
4.2restrict 命令说明
#restrict 控制相关权限---语法为: restrict IP地址 mask 子网掩码 参数
其中IP地址也可以是default ,default 就是指所有的IP
参数有以下几个:
ignore :关闭所有的 NTP 联机服务
nomodify:客户端不能更改服务端的时间参数,但是客户端可以通过服务端进行网络校时。
notrust :客户端除非通过认证,否则该客户端来源将被视为不信任子网
noquery :不提供客户端的时间查询:用户端不能使用ntpq,ntpc等命令来查询ntp服务器
notrap :不提供trap远端登陆:拒绝为匹配的主机提供模式 6 控制消息陷阱服务。陷阱服务是 ntpdq 控制消息协议的子系统,用于远程事件日志记录程序。
nopeer :用于阻止主机尝试与服务器对等,并允许欺诈性服务器控制时钟
kod : 访问违规时发送 KoD 包。
restrict -6 表示IPV6地址的权限设置。