Linux服务管理之NTP服务器配置

目标环境，3台CentOS 6.6，一台作为NTPD服务与外部公共NTP服务同步时间，同时作为内网的NTPD服务器，其他机器与这台服务做时间同步。

1、NTP时间同步方式选择

   NTP同步方式在linux下一般两种：使用ntpdate命令直接同步和使用NTPD服务平滑同步。有什么区别呢，简单说下，免得时间长了，概念又模糊。

   现有一台设备，系统时间是13:00 , 真实的当前时间(在空中，也许卫星上，这里假设是在准备同步的上级目标NTP服务器)是:12:30  。如果我们使用ntpdate同步（ntpdate-u 目标NTP服务器IP），操作系统的时间立即更新为12:30,假如，我们的系统有一个定时应用，是在每天12:40运行，那么实际今天这个的任务已经运行过了（当前时间是13:00嘛），现在被ntpdate修改为12:30，那么意味作10分钟后，又会执行一次任务，这就糟糕了，这个任务只能执行一次的嘛！！我想你（其实是我）已经懂了ntpdate时间同步的隐患，当然这个例子有些极端，但的确是有风险的，生产环境我不打算这么干，还是稳妥点好。所以解决该问题的办法就是时间平滑更改，不会让一个时间点在一天内经历两次，这就是NTPD服务方式平滑同步时间，它每次同步时间的偏移量不会太陡，是慢慢来的（问：怎么来，没有细究，只晓得一次一点的同步，完全同步好需要较长时间，所以一般开启NTPD服务同步前先用ntpdate先手动同步一次）。

 

2、安装配置

CentOS 6.6已经自带了NTPD服务，一般默认已安装，如果没有安装，先检查下，然后配置好yum仓库，yum方式安装下就OK，具体如下：

[root@node1 ~]# rpm -qa ntp

ntp-4.2.6p5-1.el6.centos.x86_64  // 这表示已安装了，如果没有安装，这是空白。

如果没有安装，我们就安装一下：

# yum install ntp

按上面的安装方式在内网每台服务器上都安装好NTP软件包。

完成后，都需要配置NTP服务为自启动

# chkconfig ntpd on

# chkconfig --list ntpd

ntpd          0:关闭1:关闭2:启用3:启用4:启用5:启用6:关闭

 

在配置前，先使用ntpdate手动同步下时间，免得本机与外部时间服务器时间差距太大，让ntpd不能正常同步。

[root@node1 ~]# ntpdate -u 172.16.0.1

 1Jan 19:50:32 ntpdate[2088]: step time server 172.16.0.1 offset 29061.965240sec

配置内网NTP-Server(172.16.31.10）

下面主要是配置内网的NPTD服务器(172.16.31.10），就在/etc/ntp.conf文件，配置好了就OK。先上配置文件再说，红色部分是我的修改，其他的是默认。

[root@node1 ~]# cat /etc/ntp.conf

# For more information about this file, see the man pages

# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).

driftfile /var/lib/ntp/drift

# Permit time synchronization with our time source, but do not

# permit the source to query or modify the service on this system.

#默认拒绝所有来源的任何访问

#restrict default kod nomodify notrap nopeer noquery

#restrict -6 default kod nomodify notrap nopeer noquery

# Permit all access over the loopback interface.  This could

# be tightened as well, but to do so would effect some of

# the administrative functions.

#ntpd 需要有 loopback 的参与，而默认是拒绝所有，将 loopback 放行就好了

restrict 127.0.0.1   #开放本机的任何访问

restrict -6 ::1

# 允许内网其他机器同步时间

# Hosts on local network are less restricted.

restrict 172.16.31.0 mask 255.255.0.0 nomodify notrap

# Use public servers from the pool.ntp.org project.

# Please consider joining the pool (http://www.pool.ntp.org/join.html).

# 中国这边最活跃的时间服务器 : http://www.pool.ntp.org/zone/cn

#server 210.72.145.44 perfer   # 中国国家受时中心

#server 202.112.10.36             # 1.cn.pool.ntp.org

#server 59.124.196.83             # 0.asia.pool.ntp.org

但是我这里上层有时间服务器，我就使用上面的吧！！！

server 172.16.0.1

#broadcast 192.168.1.255 autokey        # broadcast server

#broadcastclient                        # broadcast client

#broadcast 224.0.1.1 autokey            # multicast server

#multicastclient 224.0.1.1              # multicast client

#manycastserver 239.255.254.254         # manycast server

#manycastclient 239.255.254.254 autokey # manycast client

# 允许上层时间服务器主动修改本机时间

#allow update time by the upper server

restrict 172.16.0.1 nomodify notrap noquery

# 外部时间服务器不可用时，以本地时间作为时间服务

# Undisciplined Local Clock. This is a fake driver intended for backup

# # and when no outside source of synchronized time is available. 

server 127.127.1.0   #local clock

fudge  127.127.1.0   stratum  10

# Enable public key cryptography.

#crypto

includefile /etc/ntp/crypto/pw

# Key file containing the keys and key identifiers used when operating

# with symmetric key cryptography. 

keys /etc/ntp/keys

# Specify the key identifiers which are trusted.

#trustedkey 4 8 42

# Specify the key identifier to use with the ntpdc utility.

#requestkey 8

# Specify the key identifier to use with the ntpq utility.

#controlkey 8

# Enable writing of statistics records.

#statistics clockstats cryptostats loopstats peerstats

 

配置文件修改完成，保存退出，启动服务。

[root@node1 ~]# service ntpd start

Starting ntpd:                                            [  OK  ]

[root@node1 ~]# date

Thu Jan 1 20:00:25 CST 2015

启动后，一般需要5-10分钟左右的时候才能与外部时间服务器开始同步时间。可以通过命令查询NTPD服务情况。

 

查看服务连接和监听

[root@node1 ~]# netstat -tunlp |grep ntp

udp        0      0 172.16.31.10:123            0.0.0.0:*                               2128/ntpd           

udp        0      0 127.0.0.1:123               0.0.0.0:*                               2128/ntpd           

udp        0      0 0.0.0.0:123                 0.0.0.0:*                               2128/ntpd           

udp        0      0 fe80::a00:27ff:fedb:35e6:123 :::*                                   2128/ntpd           

udp        0      0 ::1:123                     :::*                                   2128/ntpd           

udp        0      0 :::123                      :::*                                    2128/ntpd

连接和监听已正确，采用UDP方式

 

ntpq -p 查看网络中的NTP服务器，同时显示客户端和每个服务器的关系

[root@node1 ~]# ntpq -p

    remote           refid      st t when poll reach   delay  offset  jitter

===================================================================

 server.magelinu LOCAL(0)        11 u   5   64    3   0.696   30.409   0.325

*LOCAL(0)        .LOCL.          10 l    5  64    3    0.000   0.000   0.000

ntpstat 命令查看时间同步状态，这个一般需要5-10分钟后才能成功连接和同步。所以，服务器启动后需要稍等下。

刚启动的时候，一般是：

[root@node1 ~]# ntpstat 

unsynchronised

  time server re-starting

   polling server every

64 s

连接并同步后:

[root@node1 ~]# ntpstat

synchronised to NTP server

(202.112.10.36) at stratum 3 

   time correct to within

275 ms

   polling server every

256 s

 

OK，内网的NTPD服务已经配置完成，如果所有正常后，开始配置内网的其他设备与这台服务器作为时间同步服务。

 

配置内网NTP-Clients

内网其他设备作为NTP的客户端配置，相对就比较简单，而且所有设备的配置都相同。

首先需要安装NTPD服务，然后配置为自启动（与NTP-Server完全一样）。然后找其中一台配置/etc/ntp.conf文件，配置完成验证通过后，拷贝到其他客户端机器，直接使用即可。

# yum install ntp

# chkconfig ntp on

[root@node2 ~]# cat /etc/ntp.conf |grep -v ^# 

driftfile /var/lib/ntp/drift

restrict default kod nomodify notrap nopeer noquery

restrict -6 default kod nomodify notrap nopeer noquer

restrict 127.0.0.1 

restrict -6 ::1

# 配置时间服务器为本地的时间服务器

server  172.16.31.10

# 允许上层时间服务器主动修改本机时间

restrict 172.16.31.10 nomodify notrap noquery

# 外部时间服务器不可用时，以本地时间作为时间服务

server  127.127.1.0      # local clock

fudge   127.127.1.0      stratum 10

includefile /etc/ntp/crypto/pw

keys /etc/ntp/keys

 

为了简单，这里只列出了配置项，注释全部清理了。

OK，保存退出，请求服务器前，请先使用ntpdate手动同步下时间

[root@node2 ~]# ntpdate -u 172.16.31.10

 1Jan 20:09:18 ntpdate[1855]: step time server 172.16.31.10 offset 29062.354752sec

这里有可能出现同步失败，一般情况下原因都是本地的NTPD服务器还没有正常启动起来，一般需要几分钟时间后才能开始同步。

错误判断请参考后面的错误处理。

[root@node2 ~]# service ntpd start

Starting ntpd:                                             [  OK  ]

 

启动后，查看同步情况

[root@node2 ~]# ntpq -p

    remote           refid      st t when poll reach   delay  offset  jitter

===================================================================

 172.16.31.10   172.16.0.1      12 u    5  64    1    0.380  -0.124   0.000

*LOCAL(0)        .LOCL.          10 l    4  64    1    0.000   0.000   0.000

[root@node2 ~]# ntpstat

synchronised to local net at stratum 11 

  time correct to within 7948 ms

  polling server every 64 s

因为是内网，一般ntpstat很快就可以同步上。

OK，本机客户端配置完成后，使用SCP拷贝/etc/ntp.conf到其他需要同步的客户端机器，启动NTPD服务即可。

其他客户端机器上操作配置如下：

第三台机器同样配置。

[root@node2 ~]# scp /etc/ntp.conf root@172.16.31.12:/etc/ntp.conf

[root@nfs ~]# chkconfig ntpd on

[root@nfs ~]# service ntpd start

Starting ntpd:                                             [  OK  ]

[root@nfs ~]# ntpq -p

     remote           refid      st t when poll reach   delay   offset  jitter

==============================================================================

 172.16.31.10    172.16.0.1      12 u    5   64    1    1.561  2906213   0.000

*LOCAL(0)        .LOCL.          10 l    4   64    1    0.000    0.000   0.000

[root@nfs ~]# date

Thu Jan  1 12:09:13 CST 2015

[root@nfs ~]# ntpdate -u 172.16.31.10

 1 Jan 20:13:49 ntpdate[1815]: step time server 172.16.31.10 offset 29062.129201 sec

[root@nfs ~]# date

Thu Jan  1 20:13:53 CST 2015

至此,ntp服务器就配置完成！！！

本文转自 dengaosky 51CTO博客，原文链接：http://blog.51cto.com/dengaosky/1964901，如需转载请自行联系原作者