Kamis, 17 Maret 2016

Troubleshooting Layanan Ntp Server

Troubleshooting Layanan Ntp Server


 Pengguna NTP sangat disarankan untuk segera mengambil tindakan untuk memastikan

bahwa daemon NTP mereka tidak rentan untuk digunakan dalam tercermin denial - of-

service ( DRDoS ) serangan . Silakan lihat Pemberitahuan NTP Keamanan untuk

kerentanan dan rincian mitigasi , dan Network Time Yayasan Blog untuk informasi lebih

lanjut. ( Januari 2014 ) refactor See TroubleshootingNTPDev untuk diskusi tentang topik

ini .

9 . Troubleshooting NTP

Hal pertama yang pertama .

Pastikan Anda memiliki jaringan NTP Anda dirancang dengan baik .

Juga pastikan Anda memiliki NTP dikonfigurasi dengan benar . Jika file ntp.conf Anda

tidak memiliki pilihan iBurst ditentukan di dalamnya , kemungkinan yang baik

sebenarnya Anda tidak benar dikonfigurasi NTP .

Informasi dari 9,4 . Status Memeriksa ntpd ' s harus menjadi panduan yang sangat baik

tentang bagaimana ntpd baik bekerja untuk Anda dan di mana untuk mencari masalah .

    9 . Troubleshooting NTP

        9.1 . Masalah Hardware Dikenal

        9.2 . Dikenal Sistem Operasi Masalah

        9.3 . Daylight Saving Time

        9.4 . Status Memeriksa ntpd ' s

        9.5 . On-line Troubleshooting Utilities

        9.6 . Periksa output syslog

        9.7 . Masalah dengan MEMBATASI baris

        9.8 . Periksa port NTP

        9.9 . ntp.conf dan dhcp

        9.10 . sinkronisasi ntp dengan server yang menjalankan w32time

9.4 . Status Memeriksa ntpd ' s

Jalankan ntpq - p HOSTNAME , atau salah satu dari utilitas berbasis web sebesar 9,5 .

On-line Troubleshooting Utilities , untuk melihat status ntpd pada HOSTNAME (

HOSTNAME tanpa host lokal dipertanyakan ) . Periksa dokumentasi resmi untuk

penjelasan rinci tentang utilitas ntpq ( http://www.eecis.udel.edu/ ~ mills / ntp / html /

ntpq.html ) . Ini akan melaporkan sesuatu seperti ini :

     terpencil refid st t ketika jajak pendapat mencapai delay jitter mengimbangi

==================================================

============================

 ff05 :: 101 . MCST . 16 u - 64 0 0,000 0,000 4.000,00

* example.site.co . PPS . 1 u 320 1024 377 1,955 -1,234 1,368

Kolom pertama

    berisi " kode tally " karakter . Ikhtisar pendek :

    * Sumber Anda disinkronisasi ke ( syspeer )

    # Sumber yang dipilih , jarak melebihi nilai maksimum

    o PPS ( Pulse Per Second ) sumber jika ntpd Anda ( ppspeer , hanya jika Anda

memiliki sistem yang mampu PPS dan refclock )

    Calon + , yaitu itu dianggap sebagai sumber yang baik

    - Outlyer , yaitu kualitas tidak cukup baik

    x falseticker , yaitu yang satu ini dianggap mendistribusikan waktu yang buruk

    kosong : Sumber dibuang , kewarasan gagal

Lihat Select bidang kata Status rekan atas halaman Pesan NTP acara dan Status Kata

Untuk informasi lebih lanjut tentang kode penghitungan .

terpencil

    nama host atau IP dari mesin remote .

refid

    identifikasi sumber waktu dimana mesin remote disinkronisasikan . Mungkin (

misalnya) jam radio atau server ntp lain )

st

    lapisan dari mesin remote . 16 adalah " tidak sinkron " . 0 adalah nilai terbaik , yang

bisa ( misalnya) jam radio atau server ntp pribadi jam cesium (lihat

http://www.eecis.udel.edu/ ~ mills / ntp / html / index.html # intro untuk informasi lebih

lanjut tentang ntp pada umumnya ) .

t

    jenis yang tersedia :

        l = lokal ( seperti GPS , WWVB )

        u = unicast ( paling umum )

        m = multicast

        b = broadcast

        - = Netaddr

ketika

    berapa detik sejak jajak pendapat terakhir dari mesin remote .

pemilihan

    interval polling dalam hitungan detik .

mencapai

    8- bit kiri -rotating mendaftar. Setiap 1 bit berarti bahwa " paket waktu " telah diterima

. Yang paling sedikit kanan menunjukkan status koneksi terakhir dengan server NTP . Ini

adalah nomor Oktal . Gunakan kalkulator di antarmuka progammer untuk

menerjemahkan dari Oktober ke BIN : Misalnya 377 berarti 11111111 Setiap 1 berarti

sambungan berhasil ke server NTP . . Jika Anda hanya memulai layanan NTP , dan

berhasil terhubung dengan server-nya , angka ini akan berubah sebagai berikut ( dengan

asumsi konektivitas yang baik ) :

    00000001 = 001

    00000011 = 003

    00000111 = 007

    00001111 = 017

    00011111 = 037

    00111111 = 077

    01111111 = 177

    11111111 = 377

penundaan

    waktu tunda ( dalam milidetik ) untuk berkomunikasi dengan remote .

mengimbangi

    offset ( dalam milidetik ) antara waktu kita dan remote .

naik opelet

    jitter diamati ( dalam milidetik ) waktu dengan remote .

9.5 . On-line Troubleshooting Utilities

Berikut on-line troubleshooring utilitas yang tersedia untuk menguji sebuah ntpd dari "

luar " alamat IP :

    Menguji server waktu di alamat IP Anda browsing dari ( waktu , teman sebaya ,

variabel )

9.6 . Periksa output syslog

Lihatlah isi file output syslog Anda . Ada kesempatan baik bahwa ntpd memiliki keluaran

beberapa informasi yang menjelaskan masalah itu telah mengalami . Pengguna Windows

harus melihat-lihat ke dalam log peristiwa aplikasi dan melihat keluar untuk entri dari

ntpd .

9.7 . Masalah dengan MEMBATASI baris

Banyak orang mengalami kesulitan dengan menggunakan MEMBATASI . Mereka ingin

mengatur diri mereka untuk menjadi seaman mungkin , sehingga mereka menciptakan

standar sangat terbatas MEMBATASI baris dalam etc ntp.conf mereka / / , dan kemudian

mereka menemukan bahwa mereka tidak dapat berbicara dengan siapa pun .

Jika Anda mengalami masalah dengan server Anda , untuk melakukan debugging yang

tepat , Anda harus mematikan semua MEMBATASI baris di etc ntp.conf Anda / / , dan

sebaliknya menyederhanakan konfigurasi sebanyak mungkin , sehingga Anda dapat

memastikan bahwa fungsi dasar bekerja dengan benar.

Setelah Anda mendapatkan dasar-dasar bekerja , coba nyalakan kembali berbagai fitur ,

satu - per-satu . Ketika menyalakan MEMBATASI fitur , pastikan bahwa Anda telah

membaca, memahami , dan mengikuti petunjuk yang ditemukan di AccessRestrictions .

9.7.1 . Masalah dengan _RESTRICT NOTRUST_

Perilaku NOTRUST berubah antara versi 4.1 dan 4.2 .

    Dalam 4.1 ( dan sebelumnya ) NOTRUST berarti " Jangan percaya host ini / subnet

untuk waktu " .

    Dalam 4.2 ( dan kemudian) NOTRUST berarti " Abaikan semua paket NTP yang tidak

dikonfirmasi cryptographically . " Hal ini akan memaksa waktu server remote untuk

authenicate diri Anda ( client ) ntpd . Lihat ConfiguringAutokey untuk informasi tentang

konfigurasi NTP Otentikasi .

Harap dicatat bahwa kebanyakan server tidak dibentuk untuk melakukan otentikasi

kriptografi . Oleh karena itu , jika Anda menggunakan MEMBATASI NOTRUST dalam

file konfigurasi, Anda kemungkinan besar akan mengkonfigurasi mesin anda untuk query

satu atau lebih hulu server tapi kemudian membuang setiap jawaban yang mereka dapat

mengirimkan . Hal ini dapat mengakibatkan klien Anda mengirimkan satu atau lebih

paket per detik untuk masing-masing dikonfigurasi server hulu Anda , dan itu akan

dianggap sebagai " serius tidak ramah " .

Banyak server operator akan cenderung untuk firewall diri dari Anda ( dan mungkin

seluruh jaringan Anda ) , mencoba untuk melindungi diri terhadap penyalahgunaan

semacam ini .

Lihat halaman di Terbantah Router Banjir University of Wisconsin Internet Time Server

untuk mendapatkan ide tentang bagaimana buruk ini dapat, ketika vendor mis -

konfigurasi hardware komoditas -grade dan menyebabkan semua perangkat mereka di

lapangan untuk mulai membombardir server waktu dengan paket setiap detik . Lihat

http://people.freebsd.org/ ~ PHK / dlink / untuk contoh yang lebih baru .

JANGAN gunakan MEMBATASI NOTRUST kecuali anda tahu apa artinya dan Anda

tahu bagaimana menggunakannya dengan benar !

9.8 . Periksa port NTP

Hal pertama yang harus dilakukan adalah memastikan bahwa UDP port 123 terbuka pada

semua firewall antara Anda dan server waktu remote yang ingin Anda sinkronkan ke .

Lihat 9.5 . On-line Masalah Utilities untuk tes berbasis browser .

Ketika mencoba untuk masalah debug menggunakan ntpdate dan ntpq , perhatikan bahwa

utilitas ini dapat menggunakan port tinggi bernomor unprivileged , sementara ntpd

membutuhkan akses dua arah penuh ke istimewa UDP port 123 . Jadi , ntpdate - u dapat

bekerja , tetapi ntpd tidak mungkin. Atau ntpq dapat bekerja , tetapi ntpd tidak mungkin.

OpenNTPD juga menggunakan port sumber high- nomor jadi jika ia mampu melakukan

sinkronisasi tetapi ntpd tidak , sangat mungkin bahwa masuk UDP port 123 diblokir .

Jika Anda akan menjalankan ntpd , Anda harus memperbaiki jaringan / firewall / NAT

sehingga ntpd yang dapat memiliki akses tidak terbatas penuh ke UDP port 123 di kedua

arah . Namun, ini mungkin tidak diizinkan oleh administrator firewall Anda .

Jika hal ini tidak mungkin , Anda mungkin perlu untuk menjalankan ntpd pada firewall

itu sendiri , sehingga dapat memiliki akses tidak terbatas penuh ke UDP port 123 di kedua

arah , dan kemudian memilikinya melayani waktu untuk klien internal Anda . Namun, hal

ini juga dapat dianulir .

Jika itu tidak mungkin, satu-satunya pilihan lain mungkin untuk membeli perangkat keras

yang diperlukan untuk menghubungkan ke satu atau lebih komputer Anda sendiri dan

menjalankan Stratum Anda sendiri 1 waktu server ( biasanya $ 200-300 untuk radio atau

GPS receiver hardware , ditambah komputer menghubungkannya ke ) , atau membeli

paket pra Stratum 1 waktu server ( sering $ 1.000-2.000 atau lebih ) . Dengan sendiri

Stratum 1 kali server Anda , Anda dapat sync klien internal untuk itu , itu akan

mendapatkan sinyal yang melalui sinyal radio dari WWV/WWVB/DCF77/CHU/etc ... (

tergantung di mana Anda tinggal ) atau mungkin GPS atau CDMA sinyal radio , dan tidak

ada paket akan diminta untuk menyeberangi firewall Anda pada UDP port 123 .

Hanya manajemen dan administrator firewall Anda akan dapat memberitahu Anda opsi

yang layak .

9.9 . ntp.conf dan dhcp

Jika Anda / etc / ntp.conf sedang ditimpa secara otomatis , hal ini mungkin karena DHCP

. Entah menjalankan dhcpd Anda ( dhcp server ) dengan dhcpd.conf option " option ntp -

server <your ntp server> , " , atau menjalankan dhcpcd Anda ( dhcp client ) dengan N -

arg untuk mencegah ntp.conf dari yang ditulis ulang sama sekali .

9.10 . sinkronisasi ntp dengan server yang menjalankan w32time

Dalam rilis dasar Windows Server 2003 yang berjalan w32time hotfix diperlukan jika ntp

tidak dapat mencapai ( dan karena itu tidak sinkron dengan ) server.

Perbaikan terbaru ini tersedia dari Microsoft atas permintaan saja, lihat

http://support.microsoft.com/?kbid=830092 . Perbaikan terbaru ini termasuk dalam SP1

dan paket layanan nanti.
Diposting oleh di

Tidak ada komentar:

Posting Komentar

TerimakasihTelah berkomenta :) saran dan kesan sangat dibutuhkan di blog ini . kritik akan membangun ide bagi administartor

Langganan: Posting Komentar (Atom)