linux下NTP服务的配置

《linux下NTP服务的配置》由会员分享，可在线阅读，更多相关《linux下NTP服务的配置（12页珍藏版）》请在装配图网上搜索。

1、Network Time Protocol(NTP，网络时间协议)用于同步它所有客户端时钟的服务。NTP服务器将本地系统的时钟与一个公共的NTP服务器同步然后作为时间主机提供服务，使本地网络的所有客户端能同步时钟。 同步时钟最大的好处就是相关系统上日志文件中的数据，如果网络中使用中央日志主机集中管理日志，得到的日志结果就更能反映真实情况。在同步了时钟的网络中，集中式的性能监控、服务监控系统能实时的反应系统信息，系统管理员可以快速的检测和解决系统错误。安装配置NTP服务 下面将介绍NTP服务器的简单配置：第一步，安装NTP服务 一般的Linux发行版都会带ntp软件包，如果你的系统中还没有安装，

2、就使用rpm命令安装此包，以下以centos系统为例配置一台时间服务器:查找当前系统是否已安装ntprootlocalhost # rpm -qa | grep ntpchkfontpath-1.1ntp-4.2.2p1-8.el5.centos.1 (这个就是已经安装的RPM包)如果没有安装，可用下例命令安装：第二步，配置NTP服务器NTP服务器配置如下： 编辑配置文件/etc/ntp.confrestrict default kod nomodify notrap nopeer noqueryrestrict -6 default kod nomodify notrap nopeer no

3、queryrestrict 127.0.0.1restrict -6 :1restrict 192.168.1.0 mask 255.255.255.0 nomodify notrapserverserver 127.127.1.0 # local clockfudge 127.127.1.0 stratum 10配置文件说明如下： 第一行restrict、default定义默认访问规则，nomodify禁止远程主机修改本地服务器配置，notrap拒绝特殊的ntpdq捕获消息，noquery拒绝btodq/ntpdc查询（这里的查询是服务器本身状态查询）。 restrict 192.168.1

4、.0 mask 255.255.255.0 nomodify notrap 这句是手动增加的，意思是从192.168.1.1-192.168.1.254的服务器都可以使用我们的NTP服务器来同步时间。 server 192.168.146.225 这句也是手动增加的，指明局域网中作为NTP服务器的IP；配置文件的最后两行作用是当服务器与公用的时间服务器失去联系时以本地时间为客户端提供时间服务。端口ntp使用udp协议，记得开放其123端口。启动NTPD 为了使NTP服务可以在系统引导的时候自动启动，执行： #chkconfig ntpd on 启动ntpd：service ntpd start

5、NTP客户端配置： 在客户端手动执行“ntpdate 服务器IP”来同步时间； 另可以使用crond来定时同步时间： 以root身份运行周期性任务：rootsupersun root# crontab -e添加以下内容，每15分钟更新一下时间：15 * * * * ntpdate 服务器IP 此处的ntpdate命令包含在ntp软件包中，记得确认系统中是否已安装。第三步，检查时间服务器是否正确同步 使用下面的命令检查时间服务器同步的状态： #ntpq -p 一个可以证明同步有问题的证据是：所有远程服务器的jitter值是4000并且delay和reach的值是0。可能的原因有： 有防火墙阻断了

6、与server之间的通讯，即123端口是否正常开放； 此外每次重启NTP服务器之后大约要35分钟客户端才能与server建立正常的通讯连接，否则你在客户端执行“ntpdate 服务器ip”的时候将返回： 27 Jun 10:20:17 ntpdate21920: no server suitable for synchronization foundLinux下NTP服务器的配置 Linux下的ntp软件不但能自动与互联网上的时钟保持同步，同时本身已经是一台SNTP服务器了，可以供局域网内的电脑校对时间。服务配置如下：第一步 安装软件包 我用的是RPM包安装的，或者到http:/www.eec

7、is.udel.edu/ntp/去下载xntp重新编译一个新的。 #rpm -qa | grep ntp ntp-7 chkfontpath-1.10.0-1第二步让LAN的时间服务器(第三级)与互联网上的时间服务器(第一或者第二级)同步 修改/etc/ntp.conf这是NTP的主要配置文件，里面设置了你用来同步时间的时间服务器的域名或者IP地址，下面是到 互联网同步时间的最基本的配置： 首先定义我们喜欢的时间服务器： server ntp.research.gov 接下来，我们设置上面两台服务器的访问权限，在这个例子中我们不允许它们修改或者查询我们配置在Linux上的NTP服务器restr

8、ictmask 255.255.255.255 nomodify notrap noquery restrictmask 255.255.255.255 nomodify notrap noquery 掩码255.255.255.255是用来 限制远程NTP服务器的掩码地址。 接下来设置允许访问我们时间服务器的客户机地址，通常这些服务器都应该位于我们自己局域网内。请注意，配置中noquery已经去掉了： restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap 在上例中，掩码地址扩展为255，因此从192.168.0.1-1

9、92.168.0.254的服 务器都可以使用我们的NTP服务器来同步时间。 最后，也是最重要的是默认的限制配置要从你配置文件中删除，否则它将覆盖你所有的配置选项，你将发现如果不删除该配置，你的时间服务器将只能和自己通讯。 如果ntp.conf中有以下一行，请将它注释：#restrict default ignore 保存你的配置文件，然后对每个你在ntp.conf里配置的时间服务器执行2编查询命令： #ntpdatentp.research.gov 27 Jun 10:12:01 ntpdate25475: adjust time serveroffset -0.127154 sec #ntp

10、datentp.research.gov 27 Jun 10:12:06 ntpdate25478: adjust time serveroffset 0.010008 sec第三步 启动NTP进程 为了使NTP服务可以在系统引导的时候自动启动，执行： #chkconfig ntpd on启动/关闭/重启NTP/查看状态的命令是：#/etc/init.d/ntpd start #/etc/init.d/ntpd stop #/etc/init.d/ntpd restart #/etc/init.d/ntpd status切记每次修改了配置文件后都需要重新启动服务来使配置生效。可以使用下面的命令

11、来检查NTP服务 是否启动，你应该可以得到一个进程ID号：#pgrep ntpd第四步 检查时间服务器是否正确同步 使用下面的命令检查时间服务器同步的状态：#ntpq -p一个可以证明同步问题的证据是所有远程服务器的jitter值是4000并且delay和reach的值是0。可能的原因有： 配置文件中的restrict default ignore没有被注释 有防火墙阻断了与server之间的通讯 此外每次重启NTP服务器之后大约要35分钟客户端才能与server建立正常的通讯连接，否则你执行ntpdate ip的时候将返回： 27 Jun 10:20:17 ntpdate21920: no

12、server suitable for synchronization found第五步 客户端与ntp服务器同步时间在客户端安装NTP，安装过程同NTP在服务器端。 客户端开启ntp服务 #service ntpd start 与ntp服务器同步 #ntpdate (ntp服务器地址)接下来编辑 /etc/ntp.confntp.conf#server 127.127.1.0 # local clockfudge 127.127.1.0 stratum 10server stdtime.gov.hk # A stratum 1 server at server.orgserver 192.1

13、68.x.y #x.y为你前面所装机器在局域网里的IPdriftfile /etc/ntp/driftbroadcastdelay 0.008authenticate nokeys /etc/ntp/keysrestrict 192.168.x.0 mask 255.255.255.0 notrust nomodify notrap/x.0为你所在局域网段restrict 127.0.0.1restrict 192.168.x.y #x.y为你前面所装机器在局域网里的IP#restrict default ignore#同时配置#/sbin/service ntpd start /启动ntpd

14、 参数可为restart start stop#/sbin/chkconfig -add ntpd#/sbin/chkconfig -level 234 ntpd on /配置在开机时运行如何检查？#netstat -unl | grep 123 /查看123端口#ndptrace 192.168.x.y /看校对时间过程，出现offset即为正常 否则为time out# ntpq -p如果出现 jitter的值 为4000则是防火墙或者网络问题正常为remote refid st t when poll reach delay offset jitter=*clock.nc.fukuok

15、.GPS. 1 u 43 64 37 19.067 -6.884 10.339+clock.tl.fukuok .GPS. 1 u 36 64 35 19.670 -3.259 2.341LOCAL(0) LOCAL(0) 5 l 45 64 37 0.000 0.000 0.001几点注意：1.虽然ntp溢出问题较少 ，但建议配置大型网罗的时候，不要装在重要数据库服务器或者Web主机上（Ntp是root权限）2.在遇到问题之前，先看看ntp自带的文档。3.防火墙问题的话，送一句配置$TMP -t filter -A INPUT -p udp -destination-port 123 -j

16、ACCEPT也就是123 udp in 全部接受。如果子网IP仍然提示4000错误，可以把restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap改为restrict 192.168.0.0 mask 255.255.255.0 nomodify对于权限参数的说明可以参考台湾鸟哥的文章的说明：rootroot# vi /etc/ntp.conf# 1. 關於權限設定部分#權限的設定主要以restrict 這個參數來設定，主要的語法為：#restrict IP mask netmask_IP parameter#其中IP可以是

17、軟體位址，也可以是 default ，default 就類似 .0 咯！#至於 paramter則有：#ignore：關閉所有的NTP 連線服務#nomodify：表示Client 端不能更改 Server 端的時間參數，不過，#Client端仍然可以透過 Server 端來進行網路校時。#notrust：該 Client 除非通過認證，否則該 Client 來源將被視為不信任網域#noquery：不提供 Client 端的時間查詢#如果 paramter完全沒有設定，那就表示該 IP (或網域) 沒有任何限制！#在我們這個例子當中，因為拒絕所有，僅開放192.168.0.0/24 ，#並且讓

18、127.0.0.1 以及本機 IP 192.168.0.2 可以不受限制，所以：restrict default ignore# 關閉所有的 NTP 要求封包restrict 127.0.0.1#開啟內部遞迴網路介面 lorestrict 192.168.0.2# 主機本身的 IP 也同時開啟！restrict 192.168.100.20mask 255.255.255.255 nomodify# 針對另一個IP 開放讓他可以更新時間！restrict 192.168.0.0mask 255.255.255.0 nomodify# 在網域裡面的client 可以進行網路校時，但不會影響 Se

19、rver ！# 2. 上層主機的設定#上層主機我們選擇time.stdtime.gov.tw ，要設定上層主機主要以 server#這個參數來設定，語法為：#server IP|FQDN prefer#Server 後面接的就是我們上層 Time Server 囉！而如果 Server 參數#後面加上perfer 的話，那表示我們的 NTP 主機主要以該部主機來作為#時間校正的對應。另外，為了解決更新時間封包的傳送延遲動作，#所以可以使用driftfile 來規定我們的主機#在與 Time Server 溝通時所花費的時間，可以記錄在 driftfile#後面接的檔案內，例如下面的範例中，我們

20、的NTP server 與#time.stdtime.gov.tw連線時所花費的時間會記錄在 /etc/ntp/drift 檔案內# 先輸入第二層主機的IPserver 210.59.157.10 preferserver 210.59.157.30 preferserver 202.39.157.155 prefer# 第一層的主機就列為參考用！# 當然要讓Server 可以進入我們的 NTP 主機啦！權限要開放啊！driftfile /etc/ntp/drift最后附上我的修改过后的/etc/ntp.conf文件。参考了以下几篇文章：在RedHat9下配置时间服务器时间同步NTP服务器的配

21、置原创linux NTP配置簡易 NTP 伺服器設定# Prohibit general access to this service.#restrict default ignorerestrict 66.187.224.4 mask 255.255.255.255 nomodify notrap noqueryrestrict 66.187.224.4 mask 255.255.255.255 nomodify notrap noqueryrestrict 66.187.224.4 mask 255.255.255.255 nomodify notrap noqueryrestrict 6

22、6.187.233.4 mask 255.255.255.255 nomodify notrap noquery# Permit all access over the loopback interface. This could# be tightened as well, but to do so would effect some of# the administrative functions.restrict 127.0.0.1 # - CLIENT NETWORK -# Permit systems on this network to synchronize with this#

23、 time service. Do not permit those systems to modify the# configuration of this service. Also, do not use those# systems as peers for synchronization.restrict 192.168.28.0 mask 255.255.255.0 nomodify# - OUR TIMESERVERS - # or remove the default restrict line # Permit time synchronization with our ti

24、me source, but do not# permit the source to query or modify the service on this system.# restrict mytrustedtimeserverip mask 255.255.255.255 nomodify notrap noquery# server mytrustedtimeserverip# - NTP MULTICASTCLIENT -#multicastclient# listen on default 224.0.1.1# restrict 224.0.1.1 mask 255.255.25

25、5.255 notrust nomodify notrap# restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap# - GENERAL CONFIGURATION -# Undisciplined Local Clock. This is a fake driver intended for backup# and when no outside source of synchronized time is available. The# default stratum is usually 3, but in thi

26、s case we elect to use stratum# 0. Since the server line does not have the prefer keyword, this driver# is never used for synchronization, unless no other other# synchronization source is available. In case the local host is# controlled by some external source, such as an external oscillator or# ano

27、ther protocol, the prefer keyword would cause the local host to# disregard all other synchronization sources, unless the kernel# modifications are in use and declare an unsynchronized condition.#server 66.187.224.4fudge127.127.1.0 stratum 10# Drift file. Put this in a directory which the daemon can

28、write to.# No symbolic links allowed, either, since the daemon updates the file# by creating a temporary in the same directory and then rename()ing# it to the file.#driftfile /var/lib/ntp/driftbroadcastdelay0.008# Authentication delay. If you use, or plan to use someday, the# authentication facility

29、 you should make the programs in the auth_stuff# directory and figure out what this number should be on your machine.#authenticate yes# Keys file. If you want to diddle your server at run time, make a# keys file (mode 600 for sure) and define the key number to be# used for making requests.# PLEASE D

30、O NOT USE THE DEFAULT VALUES HERE. Pick your own, or remote# systems might be able to reset your clock at will. Note also that# ntpd is started with a -A flag, disabling authentication, that# will have to be removed as well.#keys/etc/ntp/keysLinux 配置NTP服务器2012-06-14 11:11:41|分类：Linux|字号订阅1.验证Server上

31、的NTP版本roottestdb # rpm -q ntpntp-4.2.2p1-9.el5_4.1如果没有安装，需要在安装光盘的Server目录下找到ntp-*.rpm并安装2.修改有关权限的设置roottestdb # vim /etc/ntp.conf常用选项：ignore: 禁止所有的NTP请求包进入nomodify: 禁止其他计算机更改本机NTP服务的设置，但可以通过NTP服务器进行网络校时notrust: 禁止所有未通过认证的NTP包进入noquery: 禁止其他计算机查询本机NTP服务的状态我这里的设置：restrict default nomodify notrap noque

32、ryrestrict 127.0.0.1restrict 192.168.1.0 mask 255.255.255.0 nomodify notraprestrict 192.168.0.0 mask 255.255.255.0 nomodify notrapserver 0.asia.pool.ntp.orgserver 1.asia.pool.ntp.orgserver 2.asia.pool.ntp.orgserver 3.asia.pool.ntp.orgserver 127.127.1.0fudge 127.127.1.0 stratum 103.启动NTProottestdb #

33、/etc/init.d/ntpd start4.停止NTProottestdb # /etc/init.d/ntpd stop5.重启NTProottestdb # /etc/init.d/ntpd restart6.设置NTP随系统启动自动加载roottestdb # chkconfig ntpd on7.检查NTP服务同步状态roottestdb # ntpq -p8.客户端时间同步命令ntpdate 192.168.0.18 (此IP地址为配置的本地NTP服务器的IP地址)当用ntpdate -d 来查询时会发现导致 no server suitable for synchronizat

34、ion found 的错误的信息有以下2个：错误1.Server dropped: Strata too high在ntp客户端运行ntpdate serverIP，出现no server suitable for synchronization found的错误。在ntp客户端用ntpdate d serverIP查看，发现有“Server dropped: strata too high”的错误，并且显示“stratum 16”。而正常情况下stratum这个值得范围是“015”。这是因为NTP server还没有和其自身或者它的server同步上。以下的定义是让NTP Server和其自

35、身保持同步，如果在/etc/ntp.conf中定义的server都不可用时，将使用local时间作为ntp服务提供给ntp客户端。fudge 127.127.1.0 stratum 8在ntp server上重新启动ntp服务后，ntp server自身或者与其server的同步的需要一个时间段，这个过程可能是5分钟，在这个时间之内在客户端运行ntpdate命令时会产生no server suitable for synchronization found的错误。那么如何知道何时ntp server完成了和自身同步的过程呢？在ntp server上使用命令：# watch ntpq -p出现画

36、面：rootRHEL5 etc# ntpq -p remote refid st t when poll reach delay offset jitter=*clock1.redhat.c .CDMA. 1 u 45 64 277 375.752 -4.900 3.338注意reach这个值，在启动ntp server服务后，这个值就从0开始不断增加，当增加到17的时候，从0到17是5次的变更，每一次是poll的值的秒数，是64秒*5=320秒的时间。如果之后从ntp客户端同步ntp server还失败的话，用ntpdate d来查询详细错误信息，再做判断。错误2.the NTP socke

37、t is in use, exitingrootRHEL5 etc# ntpdate 192.168.2.22614 Jun 11:08:19 ntpdate3504: the NTP socket is in use, exiting在NTP服务器上不能私用ntpdate命令，可以使用ntpq -p查看同步状态错误3.Server dropped: no data从客户端执行netdate d时有错误信息如下：28 Jul 17:42:24 ntpdate14148: no server suitable for synchronization found出现这个问题的原因可能有2：1.检查ntp的版本，如果你使用的是ntp4.2（包括4.2）之后的版本，在restrict的定义中使用了notrust的话，会导致以上错误。2.检查ntp server的防火墙。可能是server的防火墙屏蔽了upd 123端口。可以用命令#service iptables stop来关掉iptables服务后再尝试从ntp客户端的同步，如果成功，证明是防火墙的问题，需要更改iptables的设置。