ntpdate -d Server hat Strata zu hoch abgelegt

14

Ich kann nicht mit einer NTP-Quelle synchronisieren, die von einem internen Router / einer internen Firewall stammt.

Jemand helfen?

ntppdate -d 192.168.92.82
 6 Jun 11:57:30 ntpdate[5011]: ntpdate [email protected] Tue Feb 24 06:32:26 EST 2004 (1)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
192.168.92.82: Server dropped: strata too high
server 192.168.92.82, port 123
stratum 16, precision -19, leap 11, trust 000
refid [73.78.73.84], delay 0.02591, dispersion 0.00002
transmitted 4, in filter 4
reference time:    00000000.00000000  Thu, Feb  7 2036  6:28:16.000
originate timestamp: d1972e03.0ae02645  Mon, Jun  6 2011 11:44:19.042
transmit timestamp:  d197311b.0ffac1d2  Mon, Jun  6 2011 11:57:31.062
filter delay:  0.02609  0.02591  0.02594  0.02596
         0.00000  0.00000  0.00000  0.00000
filter offset: -792.020 -792.020 -792.020 -792.020
         0.000000 0.000000 0.000000 0.000000
delay 0.02591, dispersion 0.00002
offset -792.020152

 6 Jun 11:57:31 ntpdate[5011]: no server suitable for synchronization found

Bearbeiten

Der Server, mit dem ich synchronisiert werden soll, ist eine Firewall, und mir wurde jetzt mitgeteilt, dass keine Synchronisierung stattfindet. Also muss ich wohl wissen, ob ich meinen Server zwingen kann, mit einem Server zu synchronisieren, der Schicht 16 entspricht, dh nicht synchronisiert wurde. Ist das möglich ?

AndyM
quelle
Mit welchem ​​Server synchronisiert die Firewall?
ianc1215

Antworten:

9

NTP erhöht die Schicht für jede Ebene in der Hierarchie - ein NTP-Server, der die Zeit von einem "Schicht 1" -Server abruft, würde sich seinen Clients als "Schicht 2" vorstellen.

Ein Schichtwert von "16" ist für nicht synchronisierte Server reserviert, was bedeutet, dass Ihr interner NTP-Server unter 192.168.92.82 keine zuverlässige Zeitquelle hat (dh nicht mit einem übergeordneten Schichtserver synchronisiert).

Dort müssten Sie einige Debugs durchführen. Wenn es sich um einen Linux-Server handelt, der ntpd verwendet, suchen Sie in der Ausgabe von ntpq peersnach Hinweisen aus möglichen Gründen

das-wabbit
quelle
2
Sie haben Recht, mir wurde jetzt mitgeteilt, dass die Firewall nicht mit irgendetwas synchronisiert wird. Kann ich den Server trotzdem zur Synchronisierung mit der Firewall zwingen?
AndyM
1
Sie kennen keinen einfachen NTP-Client, der den Stratum-Wert ignoriert. Mit einem vollwertigen ntpd können Sie die Schicht des Servers festlegen, mit dem Sie über die fudge <server> stratum <value>Direktive synchronisieren. Dies würde dann von Ihrem lokalen ntpd als akzeptierte und synchronisierte Zeitquelle angesehen. Aber das ist alles andere als elegant.
the-wabbit
2
Besser als die Synchronisierung Ihrer Clients mit einem Server in Schicht 16 zu erzwingen, wäre es, den Router zu einer Schicht 10 zu zwingen. Wenn Sie auf die Konfigurationsdatei auf Ihrem Router zugreifen können, möchten Sie ihr Folgendes hinzufügen: Server 127.127. 1.0 # local clock fudge 127.127.1.0 stratum 10 # local stratum
Ladadadada
10

Ich habe festgestellt, dass der Versuch, die Schicht eines Servers in der clientseitigen ntp.conf mit einem zu ändern

fudge <server_ip> stratum <number_less_than_16>

funktioniert nicht.

Wenn Sie jedoch auf die Datei ntp.conf auf dem Server zugreifen können (der Computer, auf dem ntpd ausgeführt wird), fügen Sie die folgenden Zeilen hinzu

server 127.127.1.0
fudge 127.127.1.0 stratum 8

es ist in der Lage, sich selbst zu täuschen (127.127.1.0 ist die lokale ntpd-Serveradresse, 8 ist eine Zahl unter 16) (denken Sie daran, ntpd neu zu starten).

Anschließend können Sie ntpdate erfolgreich auf dem Client ausführen ( ntpdate <server_ip>).

QuasiTam
quelle
Funktioniert nicht mehr mit Ubuntu 12.04
Server Fehler
arbeitete mit Ubuntu 14.04 ntpd.
Roman Blachman
Und mit RHEL 6 Server.
Xalorous
1

Nun, die Fehlermeldung sagt es ganz deutlich: "Schicht zu hoch". Im Grunde sagt Ihnen Ihr ntpdate, dass Ihr Zeitserver zu weit unten in der Hierarchie ist, um zuverlässig zu sein. Es gibt eine Zeile auf dem Ausdruck, die es zeigt:

stratum 16, precision -19, leap 11, trust 000

Ich habe keine Ahnung, wie Sie dorthin gekommen sind, aber ein Zeitserver der Schicht 16 ist 15 Ebenen von den Servern der Schicht 1 entfernt, und das ist eine Menge . Vielleicht möchten Sie herausfinden, warum dies der Fall ist. In unserem Unternehmensnetzwerk werden die meisten Computer mit den Linux-Gateways synchronisiert, die mit Stratum 3-Servern (also Stratum 4) oder den Domänencontrollern (identisch) verbunden sind. Sie müssten ein wirklich kompliziertes Netzwerk-Setup haben, um Schicht 16 zu erreichen.

wolfgangsz
quelle
Danke, ich habe die Frage bearbeitet. Jetzt habe ich festgestellt, dass die Firewall mit nichts synchronisiert ist.
AndyM
Nun, in diesem Fall können Sie es überhaupt nicht für NTP verwenden. Sie müssen sehen, ob Sie eine Verbindung zu einem externen NTP-Server herstellen können. Gehen Sie auf ntp.org und suchen Sie einen geeigneten Server in Ihrer Nähe, um zu prüfen, ob Sie ihn verwenden können. Wenn Ihre Firewall dies nicht zulässt, fragen Sie Ihre Systemadministratoren, wie zum Teufel sie damit rechnen.
wolfgangsz
1
Stratum 16 wird willkürlich für nicht synchronisierte Server verwendet.
Xalorous
Mit dem Befehl 'server ip.ad.dr.es / fudge ip.ad.dr.es stratum X', wobei X eine willkürliche Zahl <16 ist (@ QasiTams Antwort), können Sie einen NTP-Server in einem getrennten Netzwerk einrichten Maschine kann manuell synchronisiert werden.
Xalorous
1

Versuchen Sie ntpdate tock.usno.navy.miles mit einem NTP-Server der Schicht 1, der vom US Naval Observitory betrieben wird. Sehen Sie nach, ob Sie damit synchronisieren können, und gehen Sie von dort aus weiter. Ist Ihre Firewall / Ihr Router möglicherweise eine PFsense-Box, auf der OpenNTPD ausgeführt wird?

Sie können die hinzufügen, -dwenn Sie möchten.

ianc1215
quelle
Der Server hat keine Internetverbindung
AndyM
Keine Konnektivität durch Admin oder kein physisches Internet?
ianc1215
Ich würde dringend empfehlen, den Server über UDP \ 123 auf das Internet zugreifen zu lassen, es sei denn, dies kommt überhaupt nicht in Frage. Das Problem liegt möglicherweise beim Firewalls-Zeitserver und nicht so sehr beim Server. Stellen Sie außerdem sicher, dass auf dem Server UDP \ 123 für NTP-Datenverkehr geöffnet ist. Ist dies nicht der Fall, schlägt NTP fehl, was die Probleme erklären könnte, die Sie haben.
ianc1215
-1

Möglicherweise beginnt eine Zeile mit der Einschränkung. Löschen Sie sie einfach und starten Sie den Dienst neu. Führen Sie nun ntpq und dann pe aus

hier ist mein vor und nach ...

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default ignore

und das ergebnis ist ....

[root@jump ~]# ntpq
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq> 

Jetzt, wenn ich diese Zeile auskommentiere ... (oder JEDE Zeile, die mit der Einschränkung der Standardeinstellung beginnen kann) ... bekomme ich ...

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
#restrict default ignore



[root@jump ~]# service ntpd restart
Shutting down ntpd: [  OK  ]
Starting ntpd: [  OK  ]
[root@jump ~]# ntpd
[root@jump ~]# ntpq 
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u    3   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u    2   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u    1   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u    -   64    1   21.291   21.746   9.525


ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u   31   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u   30   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u   29   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u   28   64    1   21.291   21.746   9.525
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u   33   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u   32   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u   31   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u   30   64    1   21.291   21.746   9.525

Und DAS war die Lösung für MEIN Problem !!!

Gurvinder Bindra
quelle