Co to jest serwer NTP. Zobacz, co oznacza „NTP” w innych słownikach

Dlaczego potrzebujesz dokładnego czasu?

Komu w ogóle potrzebny jest ten dokładny czas? Oczywiście my, użytkownicy, potrzebujemy tego, abyśmy się mniej spóźniali. Wyobraźmy sobie nowoczesne lotnisko – do jego obsługi setki pilotów i dyspozytorów muszą używać niezawodnie działającego zegara. System rejestracji towarów w magazynach, szpitalach, kasach kolejowych i wielu innych instytucjach wymaga, aby czas we wszystkich obiektach systemu był w takim czy innym stopniu jednakowy. Szczególnie komputery. Obsługują wiele usług i programów, których normalne działanie wymaga precyzyjnego czasu i z reguły dokładniejszego niż to, czego zwykle potrzebujemy my, ludzie. Usługi systemowe, komponenty systemu bezpieczeństwa i po prostu programy użytkowe mogą mieć kluczowe znaczenie dla dokładności zegara. Najbardziej znanym przykładem takich usług jest protokół uwierzytelniania Kerberos. Aby więc to zadziałało, konieczne jest, aby na komputerach uzyskiwanych za pomocą tego protokołu czas systemowy różnił się o nie więcej niż 5 minut. Ponadto dokładny czas na wszystkich komputerach znacznie ułatwia analizę dzienników zabezpieczeń podczas badania incydentów bezpieczeństwa. lokalna sieć.

Protokół NTP

NTP (Network Time Protocol) to protokół przeznaczony do synchronizacji czasu w sieci. Jest to zestaw dość skomplikowanych algorytmów, których zadaniem jest zapewnienie dużej dokładności (do kilku mikrosekund) i odporności na uszkodzenia układu synchronizacji czasu. Zatem protokół zakłada jednoczesną synchronizację z kilkoma serwerami.

Istnieje kilka wersji tego protokołu, z pewnymi różnicami. Trzecia wersja tego protokołu została ustandaryzowana jako RFC 1305 w 1992 r. Czwarta (ostatnia ten moment) wersja przynosi pewne ulepszenia (automatyczna konfiguracja i uwierzytelnianie, ulepszone algorytmy synchronizacji) w porównaniu do trzeciej, ale nie jest jeszcze ujednolicona w RFC.

Ponadto oprócz protokołu NTP istnieje protokół SNTP (Simple Network Time Protocol). Na poziomie pakietu oba protokoły są w pełni kompatybilne. Główna różnica między nimi polega na tym, że SNTP nie posiada skomplikowanych systemów filtrowania i wielostopniowej korekcji błędów, jakie można znaleźć w NTP. Zatem SNTP jest uproszczoną i łatwiejszą do wdrożenia wersją NTP. Przeznaczony jest do stosowania w sieciach, w których nie jest wymagana bardzo duża dokładność czasu, a we wdrożeniu Microsoftu zapewnia dokładność w granicach 20 sekund w obrębie przedsiębiorstwa i nie więcej niż 2 sekundy w obrębie pojedynczego obiektu. Protokół SNTP jest ustandaryzowany jako RFC 1769 (wersja 3) i RFC 2030 (wersja 4).

Model Synchronizacja NTP przyjmuje strukturę hierarchiczną. Na pierwszym poziomie hierarchii znajdują się tzw. „podstawowe” serwery czasu (pierwsza warstwa). Znajdują się one w różnych miejscach na świecie i mają najdokładniejszy czas. Takich serwerów jest stosunkowo niewiele, ponieważ dokładny czas na nich utrzymywany jest przy użyciu drogiego specjalistycznego sprzętu (kanał radiowy, kanał satelitarny). Serwery drugiego poziomu (druga warstwa) są synchronizowane z serwerami pierwszego poziomu przy użyciu protokołu NTP. Jest ich już znacznie więcej, ale są już nieco niezsynchronizowane (od 1 do 20 milisekund) w stosunku do serwerów „podstawowych”. Następne mogą być serwery trzeciego, czwartego i kolejnych poziomów:

Wraz z przejściem na każdy poziom błąd w stosunku do serwera głównego nieznacznie wzrasta, ale również wzrasta Łączna serwerów, a co za tym idzie, zmniejsza się ich obciążenie. Dlatego też, jako zewnętrzne źródło synchronizacji, zamiast korzystać z serwerów głównych, które mają najdokładniejszy czas, zaleca się wykorzystanie serwerów pomocniczych, ponieważ są one mniej obciążone.

Do synchronizacji czasu w Windows 2000/XP/2003 używany jest protokół SNTP. Obsługa tego protokołu jest zaimplementowana systemowo Usługi Windowsa Time, będący częścią systemu operacyjnego MS Windows 2000/XP/2003. Charakterystyczną cechą tej implementacji jest to, że usługa Windows Time obsługuje uwierzytelnianie domeny podczas uzyskiwania dostępu do referencyjnego serwera czasu, co jest ważne z punktu widzenia bezpieczeństwa.

Istnieje kilka opcji obsługi usługi SNTP zawartej w systemie Windows:

• Hierarchiczny (NT5DS). Używane domyślnie dla wszystkich komputerów przyłączonych do domeny. Synchronizacja czasu na stacjach roboczych i serwerach domenowych odbywa się hierarchicznie. W ten sposób stacje robocze i serwery członkowskie są synchronizowane z kontrolerem domeny, który uwierzytelnił logowanie, kontrolery domeny są synchronizowane z masterem operacji „emulatora PDC”, który z kolei jest synchronizowany z kontrolerem domeny znajdującym się na wyższym poziomie hierarchii. Należy zauważyć, że ta kolejność synchronizacji jest używana „domyślnie” i można ją zmienić ręcznie lub za pomocą zasad grupy. Jak to zrobić, zostanie omówione poniżej.
• Wymuś synchronizację z wybranym serwerem NTP (NTP). W takim przypadku referencyjne źródło czasu dla usługi Czas systemu Windows jest ustawiane ręcznie lub przy użyciu zasad grupy.
• Wyłącz synchronizację (NoSync). Ten tryb jest wymagany w przypadku mieszanego schematu zarządzania czasem, w którym do synchronizacji ze źródłem zewnętrznym używany jest produkt innej firmy, a do utrzymywania czasu w domenie używany jest czas systemu Windows.

Zatem na wszelki wypadek Grupa robocza Synchronizację czasu nadal trzeba będzie skonfigurować ręcznie. Na przykład jeden z komputerów można skonfigurować do synchronizacji z serwerem zewnętrznym przy użyciu protokołu SNTP, a pozostałe można skonfigurować do synchronizacji z nim. Wymagane w tym celu kroki zostaną opisane poniżej.

W przypadku domeny zaleca się stosowanie synchronizacji hierarchicznej przy użyciu protokołu SNTP. W większości przypadków zapewnia akceptowalną dokładność czasu systemowego w lesie domeny. Ponadto automatycznie zapewnia bezpieczeństwo aktualizacji czasu, wspierając uwierzytelnianie Active Directory. Aby zachować „poprawny” czas w domenie, konieczna jest synchronizacja kontrolera domeny najwyższego poziomu, który posiada rolę „emulatora PDC”, z zewnętrznym serwerem NTP. W naszym przykładzie rolą takiego serwera będzie maszyna Linux z uruchomionym demonem ntpd.

Konfigurowanie protokołu SNTP w systemie Windows

Aby skonfigurować usługę Czas systemu Windows, używane są dwa narzędzia:

• Czas netto
• W32tm

Net time służy przede wszystkim do konfiguracji usługi czasu, natomiast w32tm służy do monitorowania i diagnozowania działania. Jednakże w systemie Windows XP/2003 narzędzie w32tm przeszło istotne zmiany i można go używać do konfigurowania usługi czasu. Konfiguracja NTP zostanie przeprowadzona dalej na przykładzie systemu Windows XP/2003.

Aby zatem „ręcznie” określić źródło synchronizacji przy użyciu czasu sieciowego, wystarczy wpisać w wierszu poleceń:

et time /setsntp:lista_serwerów_czasu_oddzielonych przestrzenią

Aby uzyskać informacje o bieżącym serwerze czasu:

czas sieciowy /querysntp

Możesz sprawdzić godzinę na kontrolerze domeny w następujący sposób:

czas sieciowy /domena:nazwa_domeny

I zsynchronizuj czas z kontrolerem domeny w następujący sposób:

Czas netto /domena:nazwa_domeny /set

Narzędzie systemowe w32tm może zrobić to samo, a nawet więcej:

• w32tm /resync – za pomocą tego polecenia możesz wymusić lokalne lub komputer zdalny zsynchronizować zegar systemowy z używanym przez niego serwerem czasu.
• w32tm /config – To polecenie służy do konfiguracji usługi Czas systemu Windows. Za jego pomocą możesz określić listę wykorzystywanych serwerów czasu oraz rodzaj synchronizacji (hierarchiczna lub wybrana przez serwery).

Przykładowo, aby nadpisać wartości domyślne i skonfigurować synchronizację czasu ze źródłem zewnętrznym, można skorzystać z polecenia:

w32tm /config /syncfromflags:manual /manualpeerlist:PeerList

Aby czas systemu Windows zastosował nowe ustawienia, zamiast ponownie uruchamiać usługę, możesz użyć polecenia:

w32tm /config /update

Dodatkowo w32tm udostępnia następujące opcje związane z monitorowaniem czasu na komputerach:

• w32tm /monitor – za pomocą tej opcji możesz dowiedzieć się, jak czas systemowy tego komputera różni się od czasu na kontrolerze domeny lub innych komputerach.
• w32tm /stripchart – graficznie pokazuje różnicę czasu pomiędzy komputerem bieżącym i zdalnym.
• w32tm /register – Rejestruje usługę Czas systemu Windows jako usługę włączoną ten komputer. Ta opcja może być przydatna na komputerach, które nie są częścią domeny, ponieważ domyślnie usługa czasu jest na nich zatrzymana.

Bardziej szczegółowe informacje o parametrach czasu sieciowego i narzędziach w32tm można uzyskać za pomocą klawisza /?. lub otwierając odpowiednią sekcję systemu pomocy Centrum pomocy i obsługi technicznej MS Windows XP/2003.

Łatwo zgadnąć, że ustawienia usługi Czas systemu Windows przechowywane są w Rejestr systemu Windows w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\.

W katalogu głównym sekcji zdefiniowane są parametry pracy samej usługi, w podkluczu Config – ustawienia związane z działaniem samego protokołu SNTP, w podkluczu Parametry definiuje się tryb synchronizacji. Ustawienia klienta i serwera SNTP znajdują się odpowiednio w połączeniach TimeProviders\NtpClient i TimeProviders\NtpServer. Przyjrzyjmy się głównym wartościom określającym ustawienia klienta i serwera NTP:

• Typ – określa tryb pracy klienta NTP (NTDS5 – hierarchiczny, NTP – „ręczny”, NoSync – nie synchronizuj, AllSync – dostępne są wszystkie typy synchronizacji);
• Włączone – określa, czy ten komponent (klient lub serwer) jest włączony;
• CrossSiteSyncFlags – określa, czy możliwa jest synchronizacja czasu ze źródłem znajdującym się poza domeną w przypadku zastosowania synchronizacji hierarchicznej (0 – niemożliwe, 1 – tylko z emulatorem PDC, 2 – ze wszystkimi);
• EventLogFlags - określa, czy wiadomości z Windows Time będą rejestrowane, czy nie (bardzo przydatna funkcja podczas debugowania).

Inną opcją konfiguracji usługi Czas systemu Windows jest użycie zasad grupy. Ustawienia zdefiniowane są w Obiektie Zasad Grupy pod adresem: „Konfiguracja komputera –> Szablony administracyjne –> System –> Usługa Czasu Windows”.

Jeśli masz zainstalowany system Windows 2000 Server i nie znalazłeś takiego ustawienia, nie rozpaczaj, wystarczy zaktualizować „Szablony administracyjne”. Aby to zrobić, skopiuj z folder systemowy system32\GroupPolicy\Adm dowolnego komputera z zainstalowany Windows XP wszystkie pliki .adm na serwer będący kontrolerem domeny. Następnie podczas definiowania obiektu GPO kliknij kliknij prawym przyciskiem myszy do „Szablony administracyjne” i wybierz „Dodaj/Usuń szablony...” Usuń szablony tam wymienione i dodaj skopiowane. Po kliknięciu przycisku „OK” szablony zostaną zaktualizowane i będziesz mógł skonfigurować usługę czasu za pomocą profili grupowych:

Łatwo zauważyć, że zawiera głównie listę wszystkich ustawień, które można zmienić w rejestrze. Nie ma w tym nic dziwnego, ponieważ dokładnie tak działa większość polityk grupowych.

W systemie Windows XP pojawił się inny sposób ustawienia serwera czasu, który może być bardzo wygodny przy konfigurowaniu synchronizacji na komputerze domowym lub komputerze należącym do grupy roboczej:

Serwer NTP dla systemu Linux – synchronizacja zewnętrzna dla domeny Windows

Jak wspomniano powyżej, protokół NTP jest bardziej odporny na błędy, dlatego lepiej jest używać serwera NTP jako źródła czasu odniesienia dla synchronizacji zewnętrznej. Ponadto kontroler domeny najwyższego poziomu nie zawsze ma dostęp do Internetu poprzez port UDP 123, który jest używany do operacji NTP. Dostęp może zostać odmówiony ze względów bezpieczeństwa, co jest powszechną praktyką w dużych organizacjach. W takich przypadkach, aby rozwiązać ten problem, można zainstalować własny serwer czasu w strefie DMZ, skonfigurowany do synchronizacji z zewnętrznym źródłem i używać go jako referencyjnego źródła czasu do synchronizacji kontrolera domeny najwyższego poziomu. Każdy komputer, niekoniecznie nowoczesny, z systemem operacyjnym podobnym do *nix, na przykład Linux, zainstalowany w minimalnej konfiguracji, bez serwera X i innych potencjalnie podatnych na ataki elementów, jest całkiem odpowiedni jako taki komputer.

Istnieje wiele programów do synchronizacji czasu dla systemu operacyjnego Linux. Najbardziej znane to Xntpd (NTP wersja 3), ntpd (NTP wersja 4), Crony i ClockSpeed. W naszym przykładzie użyjemy serwera ntpd ntp zawartego w Redhat 9, dostarczonego w pakiecie ntp-4.1.2-0.rc1.2.i386.rpm.

Pakiet zawiera kilka programów przeznaczonych do współpracy z NTP.

Oto główne:

• Ntpd – demon ntp utrzymujący w tle dokładny czas;
• Ntpq to narzędzie przeznaczone do odpytywania serwerów NTP obsługujących standardowy protokół odpytywania NTP tryb 6. Za jego pomocą możesz sprawdzić i zmienić bieżący stan serwera, jeśli pozwalają na to jego ustawienia;
• Ntptdc – narzędzie, za pomocą którego można przesłuchać demona ntpd i uzyskać statystyki dotyczące jego działania;
• Ntpdate to program do ustawiania aktualnego czasu systemowego za pomocą protokołu NTP.

Standardową cechą protokołu NTP jest możliwość przeprowadzania uwierzytelniania. W tym przypadku można zastosować zarówno algorytmy symetryczne (DES), które pojawiły się w drugiej wersji protokołu, jak i algorytmy asymetryczne z kluczem publicznym, które stanowią innowację w czwartej wersji.

W przypadku stosowania symetrycznego schematu uwierzytelniania klient i serwer wybierają dowolny identyfikator oraz jeden z 65534 kluczy zdefiniowanych przez standard. Przy stosowaniu algorytmów asymetrycznych stosuje się tzw. schemat Autokey, którego charakterystyczną cechą jest brak konieczności wstępnej dystrybucji kluczy publicznych serwera.

Aby skonfigurować uwierzytelnianie w ntpd, dostępne są narzędzia ntp-genkeys, ntpq i ntpdc.

Cała funkcjonalność NTP związana z obsługą dokładnego czasu jest zaimplementowana w demonie ntpd. Konfiguruje się go w typowy dla UNIX-a sposób - edytując plik konfiguracyjny ntp.conf znajdujący się w folderze /etc.

Ustawmy następujące opcje dla serwera NTP.

Na początek wskażmy serwery, z którymi będzie wykonywana synchronizacja czasu:

serwer ntp.nasa.gov # Serwer warstwy 1 pod adresem nasa.org
serwer ntp1.demos.net # Serwer warstwy 2 w demos.net

ogranicz ntp.research.gov maskę 255.255.255.255 nomodyfikuj notrap noquery

Tutaj maska ​​255.255.255.255 służy do ograniczenia dostępu do naszego serwera z serwera ntp.nasa.gov. Teraz zdefiniujmy listę hostów w naszej sieci lokalnej, którym chcemy umożliwić dostęp do naszego serwera NTP, aby uzyskać czas:

ogranicz 192.168.1.0 maska ​​255.255.255.0 nottrust nomodyfikuj notrap

Wymagamy również, aby komputer z systemem Linux miał pełny dostęp do zasobów swojego serwera:

ogranicz 127.0.0.1

A teraz najważniejsza rzecz: musimy się upewnić, że domyślny ban, którego jest więcej wysoki priorytet, skomentował:

#ogranicz domyślne ignorowanie

Po zapisaniu pliku ntp.conf konfigurację można uznać za zakończoną, jednak może się zdarzyć, że po uruchomieniu demona czas w dalszym ciągu nie będzie synchronizowany. Faktem jest, że protokół NTP został pierwotnie opracowany jako protokół do utrzymywania czasu, a nie jego ustawiania. Dlatego jeśli różnica między wskazaniami zegara jest wystarczająco duża (więcej niż kilka minut), synchronizacja nie nastąpi. W takim przypadku sensowne jest wstępne ustawienie czasu ręcznie za pomocą polecenia ntpdate (możesz także dodać polecenie ntpdate do skryptów startowych komputera):

# ntpdate clock.vsu.ru
17 lutego 23:44:54 ntpdate: serwer czasu kroku 198.123.30.132 przesunięcie 25.307598 s

17 lutego 23:45:05 ntpdate: dostosuj serwer czasu 198.123.30.132 przesunięcie 0,002181 s
# ntpdate clock.vsu.ru

Demon ntp jest uruchamiany poprzez skrypty inicjujące. Jeśli program został zainstalowany z pakietu RPM, najprawdopodobniej wszystkie problemy związane z jego automatycznym uruchomieniem zostały już rozwiązane. Aby to sprawdzić, możesz użyć polecenia:

# chkconfig -list ntpd
ntpd 0:wł. 1:wył. 2:wył. 3:wł. 4:wył. 5:wł. 6:wył.

Jeśli nie widzisz tej linii, oznacza to, że ntpd nie jest skonfigurowany do automatycznego uruchamiania. Aby to naprawić, wpisz:

# chkconfig –poziom 035 ntpd włączony

Do zarządzania NTP (start, uruchomienie, restart, status) używany jest standardowy skrypt inicjujący:

# Uruchomienie pliku /etc/init.d/ntpd

Aby wyświetlić statystyki synchronizacji serwera, możesz użyć następującego polecenia:

# ntpq -p
zdalne refid st t, gdy odpytywanie osiągnie przesunięcie opóźnienia jitter
==============================================================================
*tick.usnogps.na .USNO. 1 u 38 64 377 220,00 0,149 7,08
-navobs1.wustl.e.PSC. 1 u 55 64 377 193,47 6,857 4,81
-ntp-nasa.arc.na .GPS. 1 u 43 64 377 254,88 7,471 9,58
-ntp0.NL.net.GPS. 1 u 144 512 377 122,54 12,515 13,75
-ntp2.ien.it .IEN. 1 u 558 1024 377 133,94 14,594 41,99
+chronometrażysta.isi. .GPS. 1 u 13 64 377 245,30 3,454 15,08
+news-zero.demos ntp0.usno.navy. 2 u 16 64 377 37,51 -3,239 11,14
LOKALNY(0) LOKALNY(0) 10 l - 64 377 0,00 0,000 10,01

Tryby pracy serwera/klienta NTP

Klient/serwer

Ten tryb jest zdecydowanie najczęściej używany w Internecie. Schemat pracy jest klasyczny. Klient wysyła żądanie, na które serwer w ciągu pewnego czasu wysyła odpowiedź. Klient jest konfigurowany przy użyciu dyrektywy serwera w pliku konfiguracyjnym, w którym podana jest nazwa DNS serwera czasu.

Symetryczny tryb aktywny/pasywny

Ten tryb jest używany, jeśli synchronizacja czasu jest wykonywana pomiędzy dużą liczbą komputerów równorzędnych. Oprócz tego, że każda maszyna synchronizuje się ze źródłem zewnętrznym, synchronizuje się także ze swoimi sąsiadami (peerami), pełniąc dla nich rolę klienta i serwera czasu. Zatem nawet jeśli maszyna „straci” zewnętrzne źródło, nadal będzie w stanie uzyskać dokładny czas od swoich sąsiadów. Sąsiedzi mogą pracować w dwóch trybach – aktywnym i pasywnym. Pracując w trybie aktywnym, maszyna sama przesyła swój czas do wszystkich sąsiadujących maszyn wymienionych w sekcji peers pliku konfiguracyjnego ntp.conf. Jeśli w tej sekcji nie wskazano sąsiadów, uważa się, że urządzenie działa w trybie pasywnym. Aby uniemożliwić atakującemu złamanie zabezpieczeń innych maszyn poprzez podszywanie się pod aktywne źródło, należy zastosować uwierzytelnianie.

Tryb nadawania

Ten tryb jest zalecany do stosowania w przypadkach, gdy obsługuje się niewielką liczbę serwerów duża liczba klienci. Pracując w tym trybie, serwer okresowo wysyła pakiety, korzystając z adresu rozgłoszeniowego podsieci. Klient skonfigurowany do synchronizacji w ten sposób odbiera pakiet rozgłoszeniowy serwera i synchronizuje się z serwerem. Cechą tego trybu jest dostarczanie czasu w ramach jednej podsieci (ograniczenie pakietów rozgłoszeniowych). Ponadto należy zastosować uwierzytelnianie w celu ochrony przed atakującymi.

Tryb multiemisji

Ten tryb jest pod wieloma względami podobny do transmisji. Różnica polega na tym, że do dostarczania pakietów wykorzystywane są adresy multiemisji sieci klasy D przestrzeni adresowej IP. W przypadku klientów i serwerów określany jest adres grupy multiemisji, której używają do synchronizacji czasu. Umożliwia to synchronizację grup komputerów znajdujących się w różnych podsieciach, pod warunkiem, że łączące je routery obsługują protokół IGMP i są skonfigurowane do przesyłania ruchu multiemisji.

Tryb wielu emisji

Tryb ten stanowi innowację w czwartej wersji protokołu NTP. Polega ona na wyszukiwaniu przez klienta serwerów Manycast wśród sąsiadów sieci, odbieraniu od każdego z nich próbek czasu (za pomocą kryptografii) i na podstawie tych danych wybieraniu trzech „najlepszych” serwerów Manycast, z którymi klient będzie się synchronizował. Jeśli jeden z serwerów ulegnie awarii, klient automatycznie aktualizuje swoją listę.

Do przesyłania próbek czasu klienci i serwery działające w trybie multiemisji korzystają z adresów grupowych multiemisji (sieci klasy D). Klienci i serwery korzystające z tego samego adresu tworzą to samo powiązanie. Liczba powiązań jest określana na podstawie liczby używanych adresów multiemisji.

Często Zadawane Pytania

Dlaczego czas nie jest synchronizowany po poleceniu net time /setsntp:server?

Upewnij się, że typ uruchamiania usługi w32time jest ustawiony na Automatyczny.
Upewnij się, że port UDP 123 używanego serwera NTP jest dostępny.
Upewnij się, że czas między klientem a serwerem nie różni się zbytnio.

Czy klient SNTP może synchronizować się z serwerem NTP?

Tak, może, ponieważ protokół SNTP jest podzbiorem NTP i jest z nim w pełni kompatybilny.

Czy mogę używać serwera NTP innej firmy w systemie Windows 2000/XP/2003?

Tak, możesz korzystać z dowolnego serwera, płatnego lub darmowego. Najpierw należy wyłączyć odpowiednie komponenty (klienta lub serwer) usług Windows Time.

Dlaczego klient NTP nie działa na komputerze z zainstalowanym MS SQL Server?

Najprawdopodobniej problem polega na tym, że SQL Server w jakiś sposób zajmuje port UDP 123. Rozwiązaniem może być uruchomienie klienta NTP przed MS SQL Server.

Demon ntpd po uruchomieniu działa przez 10-20 minut, po czym przestaje działać. Jaki może być problem?

Upewnij się, że czasy klienta i serwera nie różnią się zbytnio (nie więcej niż 5 minut). W przeciwnym razie wymuś synchronizację za pomocą ntpdate.

Czy możliwa jest synchronizacja czasu w systemach operacyjnych Windows NT4, 95, 98, Me?

Jest to możliwe przy użyciu programów innych firm, na przykład NetTime, Automacahron, World Time5, ntpd port Windows NT.

Przy próbie zalogowania się do domeny Windows pojawia się komunikat, że czas pomiędzy kontrolerem domeny a stacją roboczą za bardzo się różni, mimo że synchronizacja jest precyzyjnie skonfigurowana.

Najprawdopodobniej problem polega na tym, że czas minął bardzo źle (reset CMOS, sabotaż hakerów) i usługa nie jest w stanie uwierzytelnić się przy użyciu protokołu Kerberos. Aby rozwiązać ten problem, musisz albo ręcznie ustawić godzinę, albo nie używać tego typu uwierzytelniania podczas aktualizacji godziny.

Najpierw zdecydujmy, dlaczego musimy synchronizować czas na sprzęcie takim jak przełączniki, routery, zapory ogniowe i tak dalej.

Odbywa się to przede wszystkim w celu śledzenia za pomocą dzienników momentu wystąpienia tego lub innego zdarzenia. I możesz sobie wyobrazić, jaki użytek będą miały logi, jeśli czas nie zostanie zsynchronizowany... Zgadza się - żaden.

Protokół NTP działa w oparciu o protokół UDP, Poprzez 123 porty.

Protokół ten ma pewną hierarchię synchronizacji systemów, innymi słowy poziomy.

Poziom 1 jest przypisany do systemu zsynchronizowanego z zegarem o wysokiej precyzji, takim jak GPS.

System, który będzie synchronizował się z poziomu 1, będzie miał poziom 2 i tak dalej.

Dzięki temu możemy określić, jak dokładny jest czas stacji, z którą jesteśmy zsynchronizowani.

W naszej sytuacji mamy w sieci maszynę z określonym czasem, mam ją skonfigurowaną w oparciu o FreeBSD, z tej maszyny główne urządzenie sieciowe zajmie czas (zsynchronizuje się) i tym samym stanie się głównym dla innych urządzenia sieciowe(w ideologii mistrzem ntp będzie Cisco).

Chciałbym zauważyć, że czas jest przesyłany przez NTP tylko w formacie UTC (Greenwich), każda strefa czasowa jest konfigurowana bezpośrednio na sprzęcie.

Spójrzmy na przykład prostej konfiguracji NTP.

Najpierw zsynchronizujmy czas na naszym głównym routerze (który będzie dystrybuowany do innych urządzeń sieciowych. W tym celu przejdź do trybu konfiguracji globalnej):

serwer NTP 10.0.100.254

gdzie 10.0.100.254 w naszym przypadku jest maszyną FreeBSD, która ma dokładny czas.

To wystarczy do minimalnej konfiguracji.

Sprawdźmy teraz czy udało nam się połączyć z serwerem czasu i pobrać z niego czas, w tym celu używamy polecenia:

powinieneś zobaczyć coś takiego:

Gwiazdka obok adresu IP naszego serwera ntp informuje nas, że wszystko jest w porządku, połączenie jest przynajmniej nawiązane.

Zobaczmy teraz, czy czas jest zsynchronizowany?

Czas został odebrany, teraz musisz ustawić tam potrzebną strefę czasową. W trybie konfiguracji globalnej wykonujemy również następujące czynności:

zegar strefy czasowej MSK/MSD 3

Wszystko w porządku.

Przejdźmy do ustawienia naszego routera w trybie master.

Do tej konfiguracji musimy uczynić ten router masterem i wskazać poziom (w Cisco nazywa się to numerem warstwy), ten sam, o którym mówiłem na początku, wskażę poziom piąty.

Teraz spróbujmy skonfigurować ntp na innym urządzeniu ustawiającym, aby synchronizowało się z naszym głównym routerem; robimy to w taki sam sposób, jak konfigurowaliśmy synchronizację z serwerem FreeBSD powyżej.

Preferowany serwer ntp 10.0.100.1

gdzie 10.0.100.1 to nasz główny router.

woleć Ten słowo kluczowe, co oznacza, że ​​ten serwer ntp jest priorytetem (tzn. możesz określić, że możesz synchronizować nie z jednego serwera, ale z kilku, dzieje się tak, aby w przypadku, gdy jeden będzie niedostępny lub czas będzie zbyt różny od pozostałych, co wskazuje na pewne problemy, urządzenie może przełączyć się na inny serwer czasu i preferuje ten serwer niż inne.)

Wskazujemy również potrzebną nam strefę czasową.

zegar strefy czasowej MSK/MSD 3

Sprawdzamy:

Wszystko jest super, wszystko działa.

Spójrzmy teraz na kwestię bezpieczeństwa.

Na początek przyjrzyjmy się kwestii ograniczania korzystania z list ACL, kto może synchronizować, a kto nie.

Wszystko jest dość standardowe i przejrzyste.

Na serwerze czasu tworzymy odpowiednią listę ACL:

lista dostępu 20 uwaga DOSTĘP do synchronizacji NTPlista dostępu 20 zezwoleń 10.0.100.3

Teraz powiążmy tę listę dostępu z ntp.

ntp grupa dostępu tylko do obsługi 20

Jeśli wszystko jest poprawnie skonfigurowane, zostanie nawiązana komunikacja z serwerem NTP i synchronizacja przebiegnie pomyślnie.

Możesz także dodatkowo zarejestrować listę dostępową na klientach. Do jakich serwerów czasu można uzyskać dostęp. Odbywa się to w podobny sposób:

lista dostępu 20 uwaga ACCESS SYNC do NTP Servlista dostępu 20 zezwoleń 10.0.100.1

Połącz listę dostępu z NTP

ntp grupa dostępu peer 20

Przyjrzyjmy się teraz zabezpieczeniom opartym na uwierzytelnianiu.

Wszystko jest również dość przejrzyste.

Wystarczy dodać do konfiguracji ntp:

klucz uwierzytelniający NTP 1 md5 15060E1F10243F34 7uwierzytelnienie ntpntp zaufany klucz 1

ASW-M#debug ntp?dostosuj ustawienia zegara NTPuwierzytelnianie uwierzytelnianie NTPwydarzenia Wydarzenia NTPfiltr pętli Filtr pętli NTPpakiety Pakiety NTPparams Parametry zegara NTPrefclock Zegar referencyjny NTPwybierz wybór zegara NTPsynchronizacja synchronizacji zegara NTPważność Ważność zegara równorzędnego NTPASW-M#debug ntp

Odpowiedzi na pytania

Trudno wyobrazić sobie współczesny świat bez precyzyjnego czasu. W wielu dziedzinach życia konieczne jest posiadanie bardzo dokładnych zegarów, a ich dokładność musi często być znacznie wyższa od dokładności zegarów, których ludzie używają na co dzień. Na przykład wymagania dotyczące dokładności zegarów w wieżach kontroli ruchu lotniczego, systemach kontroli statków kosmicznych czy systemach wojskowych są na najwyższym poziomie. Zegary o wysokiej precyzji są również potrzebne w systemach o prostszych funkcjach - w systemach rozliczeniowych i taryfowych operatorzy komórkowi i dostawców Internetu, w bankowych systemach transakcyjnych, w systemach wymiany, w kompleksach przemysłowych i naukowych. W sieciach lokalnych protokół uwierzytelniania użytkowników Kerberos wykorzystuje również porównanie czasu kontrolera domeny z zegarem stacji roboczych użytkowników. W sieciach komputerowych synchronizacja odbywa się zwykle z serwerami dokładnego czasu przy użyciu protokołu NTP lub jego „lekka” wersja - SNTP. W tym artykule przyjrzymy się funkcjom, różnicom i przykładom zastosowania tych protokołów.

NTP(Język angielski) Sieć Czas Protokół– sieciowy protokół czasu) – protokół sieciowy służący do synchronizacji wewnętrznego zegara komputera za pomocą sieci zmiennych wydajność. Zapewnia wysoką dokładność synchronizacji czasu dzięki specjalnemu algorytmowi, który pozwala wybrać najdokładniejsze źródła w celu oszacowania dokładnego czasu. Algorytm ten pozwala zminimalizować wpływ danych z oczywiście błędnie skonfigurowanych serwerów NTP na cały system. Protokół NTP zapewnia mechanizmy synchronizacji z precyzją nanosekundową oraz zawiera możliwości charakteryzowania i szacowania błędów lokalnego zegara i serwera czasu wykonującego synchronizację. Protokół NTP wykorzystuje hierarchiczny system poziomów lub warstw. Serwer NTP znajduje się na najwyższym poziomie (warstwa 1), jeśli otrzymuje dane bezpośrednio z dokładnego źródła czasu. Serwery synchronizujące swoje zegary z serwerem warstwy 1 znajdują się na poziomie niższym (warstwa 2) itd.

SNTP(Język angielski) Prosty Sieć Czas Protokół– prosty sieciowy protokół czasu) – protokół synchronizacji czasu w sieci komputerowej. Jest to uproszczona implementacja protokołu NTP; brakuje jej złożoności algorytmu NTP. Protokół SNTP jest używany w przypadku hostów sieciowych, które nie wymagają pełnej funkcjonalności protokołu NTP. Powszechną praktyką jest synchronizowanie zegarów kilku węzłów w sieci lokalnej z innymi węzłami NTP za pośrednictwem Internetu i wykorzystywanie tych węzłów do synchronizacji czasu usług świadczonych innym klientom w sieci lokalnej. Ten przypadek użycia nie wymaga bardzo precyzyjnej synchronizacji czasu. Protokół SNTP zapewnia mechanizmy synchronizacji z dokładnością od 1 do 50 ms

Przykład wykorzystania protokołu NTP: Bank N udostępnia swoim klientom aplikację klient-serwer do handlu giełdowego. Serwery przetwarzające informacje o notowaniach giełdowych muszą posiadać zegar o dużej precyzji synchronizacji z uniwersalną skalą czasu. W tym przypadku każdy serwer handlu giełdowego banku N jest zsynchronizowany z najdokładniejszym z serwerów dokładnego czasu („warstwa 1”), który otrzymuje dane bezpośrednio ze źródła dokładnego czasu. Najdokładniejszy serwer wybierany jest za pomocą algorytmu wbudowanego w protokół NTP. Przybliżoną architekturę takiego rozwiązania przedstawia poniższy schemat:

Klasycznym przykładem wykorzystania SNTP jest synchronizacja czasu w domenie. Kontroler domeny otrzymuje czas z globalnego Internetu z publicznych serwerów Stratum 1 lub Stratum 2. Pozostali klienci domeny synchronizują swoje zegary z czasem na kontrolerze domeny. Przybliżoną architekturę pokazano na schemacie.

NTP(Network Time Protocol) to protokół sieciowy służący do synchronizacji wewnętrznego zegara komputera przy użyciu sieci o zmiennym opóźnieniu. Protokół został opracowany przez Davida L. Millsa, profesora na Uniwersytecie Delaware, w 1985 roku. Wersja na rok 2015 to NTPv4.

NTP, oparty na algorytmie Marzullo, do działania wykorzystuje protokół UDP i uwzględnia czas transmisji. System NTP jest wyjątkowo odporny na zmiany opóźnień mediów transmisyjnych. W wersji 4 jest w stanie osiągnąć dokładność 10 ms (1/100 s) podczas pracy w Internecie oraz do 0,2 ms (1/5000 s) i lepszą w sieciach lokalnych.

Protokół NTP jest najczęściej używany do synchronizacji serwerów czasu. Aby osiągnąć maksymalną dokładność, zaleca się Praca na pełen etat oprogramowanie NTP w trybie usługi systemowej. W rodzinie system operacyjny Microsoft Windows to usługa W32Time, Linux to usługa Ntpd.

Prostsza implementacja tego algorytmu znana jest jako SNTP – Simple Network Time Protocol. Stosowany w systemach i urządzeniach wbudowanych, które nie wymagają dużej precyzji, a także w niestandardowych programach czasowych.

Struktura pakietu

Struktura pakietu jest opisana w dokumencie RFC 5905. Pakiet składa się z całkowitej liczby 32-bitowych słów.

Informacje w nagłówku będą się różnić dla różnych trybów pracy. Na przykład klient w polach warstwa godzinowa, identyfikator źródła, czas rozpoczęcia I czas otrzymania należy wpisać zera.

Nagłówek

Wskaźnik korekty

Przykład synchronizacji czasu przy użyciu protokołu NTP

Długość - 2 bity, od wskaźnika skoku. Liczba całkowita wskazująca ostrzeżenie dotyczące sekundy przestępnej.

Numer wersji

Tryb

Warstwa godzinowa

Interwał odpytywania

Dokładność

Opóźnienie

Dyspersja

Identyfikator źródła

Czas aktualizacji

Czas rozpoczęcia

Czas otrzymania

Czas wysyłki

Wiadomość NTP „Pocałunek-o”-Śmierć”

Dla warstwa 0, które jest uważane za niezdefiniowane lub nieprawidłowe Identyfikator źródła może być używany do dostarczania komunikatów, które służą jako informacje o stanie systemu i kontroli dostępu. Takie wiadomości nazywane są „Kiss-o”-Death” (KoD), a dostarczane przez nie dane ASCII nazywane są „kodami pocałunku”. Listę aktualnie akceptowanych kodów „pomocy” przedstawia poniższa tabela.

Odbiorcy wiadomości KoD mają obowiązek je sprawdzić i wykonać następujące czynności:

• Podczas odbierania kombinacji kodów ZAPRZECZYĆ I RSTR klient ma obowiązek zerwać połączenia wirtualne z tym serwerem czasu i zaprzestać wysyłania wiadomości do tego serwera.
• Po otrzymaniu kombinacji kodu WSKAŹNIK klient musi natychmiast zmniejszyć interwał odpytywania dla tego serwera i nadal go zmniejszać za każdym razem, gdy otrzyma tę kombinację kodu.
• Podczas odbierania kombinacji kodów zaczynającej się od znaku ASCII X, przeznaczony do badań eksperymentalnych i późniejszych ulepszeń, należy go zignorować, jeśli nie zostanie rozpoznany.
• Wszystkie inne kombinacje kodów i komunikaty KoD nie zdefiniowane w tym protokole są niszczone po ich weryfikacji.

Warstwy godzinne

Żółte strzałki wskazują połączenie sprzętowe; czerwone strzałki wskazują połączenie sieciowe.

NTP wykorzystuje sieć hierarchiczną, w której każdy poziom ma swój własny numer, zwany warstwą. Warstwa 1- serwery główne, które bezpośrednio synchronizują się z krajowymi służbami czasu za pośrednictwem modemu satelitarnego, radiowego lub telefonicznego. Warstwa 2- serwery dodatkowe, zsynchronizowane z serwerami głównymi itp. Zazwyczaj klienci NTP i serwery ze stosunkowo małą liczbą klientów nie są synchronizowane z serwerami głównymi. Istnieje kilkaset publicznych serwerów pomocniczych działających na wyższych warstwach. Są preferowanym wyborem.

Format czasu

Czas jest reprezentowany w systemie NTP jako liczba 64-bitowa (8 bajtów), składająca się z 32-bitowego licznika sekundowego i 32-bitowego licznika ułamkowego sekundy, umożliwiająca przesyłanie czasu w zakresie 2-32 sekund, z teoretyczna dokładność 2-32 sekund. Ponieważ skala czasu w NTP powtarza się co 2 32 sekundy (136 lat), odbiorca musi przynajmniej w przybliżeniu znać aktualny czas (z dokładnością do 68 lat). Należy również pamiętać, że czas mierzony jest od północy 1 stycznia 1900 r., a nie 1970 r., więc od czasu NTP należy odjąć prawie 70 lat (w tym lata przestępne), aby poprawnie dopasować czas w systemach Windows lub Unix.

Serwer MSK-IX NTP jest publicznym serwerem czasu obsługiwanym przez MSK-IX. Serwer dokładnego czasu przeznaczony jest do synchronizacji ze źródłem odniesienia wewnętrznego zegara komputerów i sprzęt sieciowy(serwery, routery, smartfony itp.) za pośrednictwem protokołu NTP.

Serwer MSK-IX NTP należy do najwyższego stopnia dokładności (Stratum One Time Servers) w hierarchicznym systemie poziomów czasu. Sygnał globalny jest używany jako sygnał czasu odniesienia. systemy satelitarne nawigacja GLONASS (priorytet) i GPS.

Serwer MSK-IX NTP jest realizowany jako grupa serwerów zlokalizowanych w Moskwie, St. Petersburgu, Jekaterynburgu i Nowosybirsku. Aplikacja technologia sieci anycast zapewnia wysoką niezawodność i szybką reakcję systemu na terenie całego kraju.

Serwery MSK-IX znajdują się także w międzynarodowej puli serwerów NTP POOL.NTP.ORG, szeroko stosowanej w ustawieniach systemu operacyjnego.

Jak rozpocząć korzystanie z usługi Serwera NTP?

Podczas konfigurowania sprzętu użyj następujących parametrów:

Jak nawiązać peering z siecią serwerów MSK-IX NTP?

Aby skrócić trasę sieciową do serwera MSK-IX NTP, skorzystaj z usługi Route Server lub nawiąż bezpośrednie połączenie równorzędne z siecią MSK-IX DNS Cloud. Nawiązanie interakcji peer-to-peer następuje po złożeniu dodatkowego wniosku w ramach umowy o przyłączenie do MSK-IX bez dodatkowej opłaty.