Troubleshooting Layanan Ntp Server
Pengguna NTP sangat disarankan untuk segera mengambil tindakan untuk memastikan
bahwa daemon NTP mereka tidak rentan untuk digunakan dalam tercermin denial - of-
service ( DRDoS ) serangan . Silakan lihat Pemberitahuan NTP Keamanan untuk
kerentanan dan rincian mitigasi , dan Network Time Yayasan Blog untuk informasi lebih
lanjut. ( Januari 2014 ) refactor See TroubleshootingNTPDev untuk diskusi tentang topik
ini .
9 . Troubleshooting NTP
Hal pertama yang pertama .
Pastikan Anda memiliki jaringan NTP Anda dirancang dengan baik .
Juga pastikan Anda memiliki NTP dikonfigurasi dengan benar . Jika file ntp.conf Anda
tidak memiliki pilihan iBurst ditentukan di dalamnya , kemungkinan yang baik
sebenarnya Anda tidak benar dikonfigurasi NTP .
Informasi dari 9,4 . Status Memeriksa ntpd ' s harus menjadi panduan yang sangat baik
tentang bagaimana ntpd baik bekerja untuk Anda dan di mana untuk mencari masalah .
9 . Troubleshooting NTP
9.1 . Masalah Hardware Dikenal
9.2 . Dikenal Sistem Operasi Masalah
9.3 . Daylight Saving Time
9.4 . Status Memeriksa ntpd ' s
9.5 . On-line Troubleshooting Utilities
9.6 . Periksa output syslog
9.7 . Masalah dengan MEMBATASI baris
9.8 . Periksa port NTP
9.9 . ntp.conf dan dhcp
9.10 . sinkronisasi ntp dengan server yang menjalankan w32time
9.4 . Status Memeriksa ntpd ' s
Jalankan ntpq - p HOSTNAME , atau salah satu dari utilitas berbasis web sebesar 9,5 .
On-line Troubleshooting Utilities , untuk melihat status ntpd pada HOSTNAME (
HOSTNAME tanpa host lokal dipertanyakan ) . Periksa dokumentasi resmi untuk
penjelasan rinci tentang utilitas ntpq ( http://www.eecis.udel.edu/ ~ mills / ntp / html /
ntpq.html ) . Ini akan melaporkan sesuatu seperti ini :
terpencil refid st t ketika jajak pendapat mencapai delay jitter mengimbangi
==================================================
============================
ff05 :: 101 . MCST . 16 u - 64 0 0,000 0,000 4.000,00
* example.site.co . PPS . 1 u 320 1024 377 1,955 -1,234 1,368
Kolom pertama
berisi " kode tally " karakter . Ikhtisar pendek :
* Sumber Anda disinkronisasi ke ( syspeer )
# Sumber yang dipilih , jarak melebihi nilai maksimum
o PPS ( Pulse Per Second ) sumber jika ntpd Anda ( ppspeer , hanya jika Anda
memiliki sistem yang mampu PPS dan refclock )
Calon + , yaitu itu dianggap sebagai sumber yang baik
- Outlyer , yaitu kualitas tidak cukup baik
x falseticker , yaitu yang satu ini dianggap mendistribusikan waktu yang buruk
kosong : Sumber dibuang , kewarasan gagal
Lihat Select bidang kata Status rekan atas halaman Pesan NTP acara dan Status Kata
Untuk informasi lebih lanjut tentang kode penghitungan .
terpencil
nama host atau IP dari mesin remote .
refid
identifikasi sumber waktu dimana mesin remote disinkronisasikan . Mungkin (
misalnya) jam radio atau server ntp lain )
st
lapisan dari mesin remote . 16 adalah " tidak sinkron " . 0 adalah nilai terbaik , yang
bisa ( misalnya) jam radio atau server ntp pribadi jam cesium (lihat
http://www.eecis.udel.edu/ ~ mills / ntp / html / index.html # intro untuk informasi lebih
lanjut tentang ntp pada umumnya ) .
t
jenis yang tersedia :
l = lokal ( seperti GPS , WWVB )
u = unicast ( paling umum )
m = multicast
b = broadcast
- = Netaddr
ketika
berapa detik sejak jajak pendapat terakhir dari mesin remote .
pemilihan
interval polling dalam hitungan detik .
mencapai
8- bit kiri -rotating mendaftar. Setiap 1 bit berarti bahwa " paket waktu " telah diterima
. Yang paling sedikit kanan menunjukkan status koneksi terakhir dengan server NTP . Ini
adalah nomor Oktal . Gunakan kalkulator di antarmuka progammer untuk
menerjemahkan dari Oktober ke BIN : Misalnya 377 berarti 11111111 Setiap 1 berarti
sambungan berhasil ke server NTP . . Jika Anda hanya memulai layanan NTP , dan
berhasil terhubung dengan server-nya , angka ini akan berubah sebagai berikut ( dengan
asumsi konektivitas yang baik ) :
00000001 = 001
00000011 = 003
00000111 = 007
00001111 = 017
00011111 = 037
00111111 = 077
01111111 = 177
11111111 = 377
penundaan
waktu tunda ( dalam milidetik ) untuk berkomunikasi dengan remote .
mengimbangi
offset ( dalam milidetik ) antara waktu kita dan remote .
naik opelet
jitter diamati ( dalam milidetik ) waktu dengan remote .
9.5 . On-line Troubleshooting Utilities
Berikut on-line troubleshooring utilitas yang tersedia untuk menguji sebuah ntpd dari "
luar " alamat IP :
Menguji server waktu di alamat IP Anda browsing dari ( waktu , teman sebaya ,
variabel )
9.6 . Periksa output syslog
Lihatlah isi file output syslog Anda . Ada kesempatan baik bahwa ntpd memiliki keluaran
beberapa informasi yang menjelaskan masalah itu telah mengalami . Pengguna Windows
harus melihat-lihat ke dalam log peristiwa aplikasi dan melihat keluar untuk entri dari
ntpd .
9.7 . Masalah dengan MEMBATASI baris
Banyak orang mengalami kesulitan dengan menggunakan MEMBATASI . Mereka ingin
mengatur diri mereka untuk menjadi seaman mungkin , sehingga mereka menciptakan
standar sangat terbatas MEMBATASI baris dalam etc ntp.conf mereka / / , dan kemudian
mereka menemukan bahwa mereka tidak dapat berbicara dengan siapa pun .
Jika Anda mengalami masalah dengan server Anda , untuk melakukan debugging yang
tepat , Anda harus mematikan semua MEMBATASI baris di etc ntp.conf Anda / / , dan
sebaliknya menyederhanakan konfigurasi sebanyak mungkin , sehingga Anda dapat
memastikan bahwa fungsi dasar bekerja dengan benar.
Setelah Anda mendapatkan dasar-dasar bekerja , coba nyalakan kembali berbagai fitur ,
satu - per-satu . Ketika menyalakan MEMBATASI fitur , pastikan bahwa Anda telah
membaca, memahami , dan mengikuti petunjuk yang ditemukan di AccessRestrictions .
9.7.1 . Masalah dengan _RESTRICT NOTRUST_
Perilaku NOTRUST berubah antara versi 4.1 dan 4.2 .
Dalam 4.1 ( dan sebelumnya ) NOTRUST berarti " Jangan percaya host ini / subnet
untuk waktu " .
Dalam 4.2 ( dan kemudian) NOTRUST berarti " Abaikan semua paket NTP yang tidak
dikonfirmasi cryptographically . " Hal ini akan memaksa waktu server remote untuk
authenicate diri Anda ( client ) ntpd . Lihat ConfiguringAutokey untuk informasi tentang
konfigurasi NTP Otentikasi .
Harap dicatat bahwa kebanyakan server tidak dibentuk untuk melakukan otentikasi
kriptografi . Oleh karena itu , jika Anda menggunakan MEMBATASI NOTRUST dalam
file konfigurasi, Anda kemungkinan besar akan mengkonfigurasi mesin anda untuk query
satu atau lebih hulu server tapi kemudian membuang setiap jawaban yang mereka dapat
mengirimkan . Hal ini dapat mengakibatkan klien Anda mengirimkan satu atau lebih
paket per detik untuk masing-masing dikonfigurasi server hulu Anda , dan itu akan
dianggap sebagai " serius tidak ramah " .
Banyak server operator akan cenderung untuk firewall diri dari Anda ( dan mungkin
seluruh jaringan Anda ) , mencoba untuk melindungi diri terhadap penyalahgunaan
semacam ini .
Lihat halaman di Terbantah Router Banjir University of Wisconsin Internet Time Server
untuk mendapatkan ide tentang bagaimana buruk ini dapat, ketika vendor mis -
konfigurasi hardware komoditas -grade dan menyebabkan semua perangkat mereka di
lapangan untuk mulai membombardir server waktu dengan paket setiap detik . Lihat
http://people.freebsd.org/ ~ PHK / dlink / untuk contoh yang lebih baru .
JANGAN gunakan MEMBATASI NOTRUST kecuali anda tahu apa artinya dan Anda
tahu bagaimana menggunakannya dengan benar !
9.8 . Periksa port NTP
Hal pertama yang harus dilakukan adalah memastikan bahwa UDP port 123 terbuka pada
semua firewall antara Anda dan server waktu remote yang ingin Anda sinkronkan ke .
Lihat 9.5 . On-line Masalah Utilities untuk tes berbasis browser .
Ketika mencoba untuk masalah debug menggunakan ntpdate dan ntpq , perhatikan bahwa
utilitas ini dapat menggunakan port tinggi bernomor unprivileged , sementara ntpd
membutuhkan akses dua arah penuh ke istimewa UDP port 123 . Jadi , ntpdate - u dapat
bekerja , tetapi ntpd tidak mungkin. Atau ntpq dapat bekerja , tetapi ntpd tidak mungkin.
OpenNTPD juga menggunakan port sumber high- nomor jadi jika ia mampu melakukan
sinkronisasi tetapi ntpd tidak , sangat mungkin bahwa masuk UDP port 123 diblokir .
Jika Anda akan menjalankan ntpd , Anda harus memperbaiki jaringan / firewall / NAT
sehingga ntpd yang dapat memiliki akses tidak terbatas penuh ke UDP port 123 di kedua
arah . Namun, ini mungkin tidak diizinkan oleh administrator firewall Anda .
Jika hal ini tidak mungkin , Anda mungkin perlu untuk menjalankan ntpd pada firewall
itu sendiri , sehingga dapat memiliki akses tidak terbatas penuh ke UDP port 123 di kedua
arah , dan kemudian memilikinya melayani waktu untuk klien internal Anda . Namun, hal
ini juga dapat dianulir .
Jika itu tidak mungkin, satu-satunya pilihan lain mungkin untuk membeli perangkat keras
yang diperlukan untuk menghubungkan ke satu atau lebih komputer Anda sendiri dan
menjalankan Stratum Anda sendiri 1 waktu server ( biasanya $ 200-300 untuk radio atau
GPS receiver hardware , ditambah komputer menghubungkannya ke ) , atau membeli
paket pra Stratum 1 waktu server ( sering $ 1.000-2.000 atau lebih ) . Dengan sendiri
Stratum 1 kali server Anda , Anda dapat sync klien internal untuk itu , itu akan
mendapatkan sinyal yang melalui sinyal radio dari WWV/WWVB/DCF77/CHU/etc ... (
tergantung di mana Anda tinggal ) atau mungkin GPS atau CDMA sinyal radio , dan tidak
ada paket akan diminta untuk menyeberangi firewall Anda pada UDP port 123 .
Hanya manajemen dan administrator firewall Anda akan dapat memberitahu Anda opsi
yang layak .
9.9 . ntp.conf dan dhcp
Jika Anda / etc / ntp.conf sedang ditimpa secara otomatis , hal ini mungkin karena DHCP
. Entah menjalankan dhcpd Anda ( dhcp server ) dengan dhcpd.conf option " option ntp -
server <your ntp server> , " , atau menjalankan dhcpcd Anda ( dhcp client ) dengan N -
arg untuk mencegah ntp.conf dari yang ditulis ulang sama sekali .
9.10 . sinkronisasi ntp dengan server yang menjalankan w32time
Dalam rilis dasar Windows Server 2003 yang berjalan w32time hotfix diperlukan jika ntp
tidak dapat mencapai ( dan karena itu tidak sinkron dengan ) server.
Perbaikan terbaru ini tersedia dari Microsoft atas permintaan saja, lihat
http://support.microsoft.com/?kbid=830092 . Perbaikan terbaru ini termasuk dalam SP1
dan paket layanan nanti.
Tidak ada komentar:
Posting Komentar
TerimakasihTelah berkomenta :) saran dan kesan sangat dibutuhkan di blog ini . kritik akan membangun ide bagi administartor