NTP时间服务器配置

1.服务器端配置：

#允许这些IP向自己同步时间

restrict x.x.x.x mask x.x.x.x nomodiy notrap

　　#当和定义的所有server服务器无法同步后，和自身同步

server 127.127.1.0
fudge 127.127.1.0 stratum 10

　　#局域网内的上层时间服务器

server 192.168.1.117

　　2.客户端配置：

#创建自动任务计划
crontab -e
* 2 * * * /usr/sbin/ntpdate 192.168.x.x
#分 时 日 月 星期 命令位置

　　3.故障解决

#[root@localhost ~]# ntpdate 192.168.70.52
#27 Sep 05:22:11 ntpdate[2392]: no server suitable for synchronization found

　　3.1防火墙问题

未关闭防火墙或者防火墙开启为放通UDP123端口，使用下列命令可以检测

#如果看到123端口，说明ntp服务成功启动
netstat -tlunp | grep ntp
#例：
udp 0 0 192.168.70.52:123 0.0.0.0:* 2841/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 2841/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 2841/ntpd
udp 0 0 fe80::20c:29ff:fe88:22ad:123 :::* 2841/ntpd
udp 0 0 ::1:123 :::* 2841/ntpd
udp 0 0 :::123 :::* 2841/ntpd
#启动防火墙配置放通123端口：/etc/sysconfig/iptables ---添加配置
-A INPUT -m state --state NEW -m tcp -p tcp --dport 123 -j ACCEPT

　　

3.2NTP服务器和/etc/ntp.conf中的server时间同步不成功，和自己同步时间未到

#在ntp server上从头启动ntp服务后，ntp server自身或者与其server的同步的须要一个时候段，这个过程可能是5分钟，在这个时候之内涵客户端运行ntpdate号令时会产生no server suitable for synchronization found的错误
#查看和自身同步是否完成：
[root@localhost /]# watch ntpq -p
#例：
Every 2.0s: ntpq -p Wed Sep 27 05:42:18 2017
remote refid st t when poll reach delay offset jitter
==============================================================================
*LOCAL(0) .LOCL. 8 l 7 64 1 0.000 0.000 0.000
#重视LOCAL的这个就是与自身同步的ntp server，重视reach这个值，在启动ntp server办过后，这个值就从0开端络续增长，当增长到17的时辰，从0到17是5次的变革，每一次是poll的值的秒数，是64秒*5=320秒的时候。 若是之后从ntp客户端同步ntp server还失败的话，用ntpdate –d来查询具体错误信息，再做断定

　　

​3.3版本BUG

#查看ntp的版本，ntp4.2（包含4.2）之后的版本，在restrict的定义中应用了notrust的话，会导致以上错误。
rpm -qa | grep ntp

4.配置说明：

4.1Linux默认的/etc/ntp.conf

# For more information about this file, see the man pages
# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).

driftfile /var/lib/ntp/drift #系统时间与BlOS时间的偏差记录

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery

# Permit all access over the loopback interface. This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1 #服务器本身拥有任意权限，不受限制
restrict -6 ::1

# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.rhel.pool.ntp.org iburst #互联网时间服务器地址
server 1.rhel.pool.ntp.org iburst
server 2.rhel.pool.ntp.org iburst
server 3.rhel.pool.ntp.org iburst

​

#broadcast 192.168.1.255 autokey # broadcast server
#broadcastclient # broadcast client
#broadcast 224.0.1.1 autokey # multicast server
#multicastclient 224.0.1.1 # multicast client
#manycastserver 239.255.254.254 # manycast server
#manycastclient 239.255.254.254 autokey # manycast client

# Enable public key cryptography.
#crypto

includefile /etc/ntp/crypto/pw

# Key file containing the keys and key identifiers used when operating
# with symmetric key cryptography.
keys /etc/ntp/keys

​# Specify the key identifiers which are trusted.
#trustedkey 4 8 42
​
# Specify the key identifier to use with the ntpdc utility.
#requestkey 8

# Specify the key identifier to use with the ntpq utility.
#controlkey 8

# Enable writing of statistics records.
#statistics clockstats cryptostats loopstats peerstats

　　

4.2restrict 命令说明

#restrict 控制相关权限---语法为： restrict IP地址 mask 子网掩码 参数

其中IP地址也可以是default ，default 就是指所有的IP

参数有以下几个：

ignore ：关闭所有的 NTP 联机服务

nomodify：客户端不能更改服务端的时间参数，但是客户端可以通过服务端进行网络校时。

notrust ：客户端除非通过认证，否则该客户端来源将被视为不信任子网

noquery ：不提供客户端的时间查询：用户端不能使用ntpq，ntpc等命令来查询ntp服务器

notrap ：不提供trap远端登陆：拒绝为匹配的主机提供模式 6 控制消息陷阱服务。陷阱服务是 ntpdq 控制消息协议的子系统，用于远程事件日志记录程序。

nopeer ：用于阻止主机尝试与服务器对等，并允许欺诈性服务器控制时钟

kod ： 访问违规时发送 KoD 包。

restrict -6 表示IPV6地址的权限设置。