Записки старого админа

Как то, работая в организации, где со временем количество ПК превысило за 100 шт.
Решил настроить синхронизацию по времени, так как на одних тачках показывалось одно время, а на других — другое. Тем более что вся сеть под AD и есть некие сервисы, которые требовали точности. Можно было конечно и на windows сервере (DC), это дело включить, но как по мне — это не феншуй, тем более что в мир смотрит машинка с FreeBSD.

Для начала, на всякий случай уточним не крутится ли уже данная служба, мало ли — может кто то опередил 🙂

fin# ps ax | grep ntp
Тишина, значит нам повезло, будем сами настраивать 😉
Создаем файл конфиг:

fin# touch /etc/ntp.conf
И заполняем его следующим содержимым:

fin# cat /etc/ntp.conf

server 0.ua.pool.ntp.org iburst
server 1.ua.pool.ntp.org iburst prefer
server 2.ua.pool.ntp.org iburst
server 3.ua.pool.ntp.org iburst

driftfile /var/db/ntp.drift
logfile /var/log/ntp.log

restrict 0.ua.pool.ntp.org
restrict 1.ua.pool.ntp.org
restrict 2.ua.pool.ntp.org
restrict 3.ua.pool.ntp.org

#restrict default ignore
#restrict 10.0.0.0 mask 255.0.0.0 nomodify notrap
#restrict 192.168.0.0 mask 255.255.0.0 nomodify notrap
#restrict default noquery nomodify notrap nopeer

Создаем, файлы:
fin# touch /var/db/ntp.drift
и
fin# touch /var/log/ntp.log

В /etc/rc.conf добавляем:

fin# echo ‘#NTP’ >> /etc/rc.conf
fin# echo ‘ntpd_enable=»YES»‘ >> /etc/rc.conf
fin# echo ‘ntpd_program=»/usr/sbin/ntpd»‘ >> /etc/rc.conf
fin# echo ‘ntpd_sync_on_start=»YES»‘ >> /etc/rc.conf

Стартуем демон:
fin# sh /etc/rc.d/ntpd start
Starting ntpd.

Спустя несколько секунд, делаем:

fin# ntpq -c peers
И видим, типа такого:

remote refid st t when poll reach delay offset jitter
=============================================================================
+burka.carrier.k 204.123.2.72 2 u 42 64 377 35.927 -3.582 15.734
*shyber.tstu.edu 195.113.144.201 2 u 49 64 377 40.403 3.014 15.536
+infocom.km.ua 193.67.79.202 2 u 66 64 377 40.314 3.034 1.574
-pingvin.vc.ukrt 192.36.133.17 2 u 62 64 277 82.117 -12.032 5.174
+ns.radiocom.net 62.149.2.1 3 u 52 64 377 18.342 0.152 6.112

Расшифровка:
remote — имена удаленных ntp серверов;
refid — сервер, с которым производит синхронизацию удаленный сервер ntp (то есть ntp-сервер для remote);
st — стратум (вес) удаленного сервера. Чем меньше значение — тем точнее время на этом сервере;
t — тип пира (u = unicast, m = multicast);
when — указывает на то, как давно была произведена синхронизация с сервером;
poll — частота в секундах, с которой NTP демон синхронизируется с пиром;
reach — состояние доступности сервера. Это значение стабилизируется на уровне 377 если последних 8 попыток синхронизации с удаленным сервером были успешны;
delay — задержка ответа от сервера;
offset — разница в миллисекундах между системным временем и временем удаленного сервера; значение с минусом — отставание, с плюсом — наши часики спешат;
jitter — смещение времени на удаленном сервере.

Обратите внимание на спецсимволы в поле перед remote:
«*» — указывает на сервер, с которым последний раз была произведена синхронизация;
«+» — сервер возможно использовать в качестве сервера точного времени
«-» — нервер не рекомендуется для использования.

Проверяем стратум у нашего сервера:
# ntpdate -q localhost
11 Nov 14:11:59 ntpdate[82469]: cannot find family compatible socket to send ntp packet

Это плохо, ладно, а так?

fin# ntpdate -q fin.domain.com
11 Nov 14:13:05 ntpdate[82476]: adjust time server fin.domain.com offset -0.000006 sec

Ура, заработало..
Теперь я в GPO AD указываю включение сервиса времени на всех ПК, и указываю с кем синхронизироваться. В данном случае либо с fin.domain.com, либо с локальным IP (Проверенно, работает и так, и так)

PS. Если В ipfw будет закрыт порт 123, то ничего у Вас не заработает и будет примерно как показано выше, когда я исправил в ipfw этот недочет:

# ntpdate -q localhost
11 Nov 14:18:24 ntpdate[82497]: adjust time server 127.0.0.1 offset -0.000007 sec

Синхронизируйтесь, точного вам будильника 😉