Comment mettre à jour en douceur la liste de pairs de ntpd?

J'ai un réseau de serveurs solaris / linux qui ont ntpd configuré pour utiliser un seul serveur interne de la strate 2 via un alias DNS / CNAME. Ce serveur est en panne depuis un certain temps et les horloges des serveurs clients ne sont pas synchronisées.

Comme nous avons un autre serveur interne de la couche 1 (PPS), le DNS CNAME a été modifié pour pointer vers le nouveau serveur (qui est en place).

Mais en utilisant ntpq -pje peux voir que les serveurs clients pointent toujours vers l'ancien serveur. Il semble qu'ils ne résolvent pas à nouveau le nom d'homologue, de sorte qu'ils n'obtiennent pas la nouvelle adresse IP du serveur.

Si je redémarre (x) ntpd, cela va créer des sauts de temps. Je souhaite que ntpd ait mis à jour sa liste / configuration de pairs et synchronisé en douceur avec le nouveau serveur.

— Benoît
source

Réponses:

ntpdcpeut le faire pour vous - en particulier les commandes addpeeret unconfig.
Mettez à jour votre fichier de configuration, puis utilisez ntpdcpour ajouter les nouveaux homologues et supprimer ("déconfigurer") les anciens ( après que ntpd accepte les nouveaux homologues comme candidats sensés pour la synchronisation!)

Vous devriez également envisager d'utiliser un périphérique redondant (routeurs avec HSRP, ou machines Unix avec basculement HA / CARP / etc.) comme source NTP, ou configurer plus d'un homologue - Vous ne voulez pas que vos horloges deviennent folles simplement parce qu'une le serveur de temps a un problème ...

— voretaq7
source

Merci. Mais il serait préférable que ntpd actualise / résout sa liste de serveurs au lieu de s'en tenir à l'adresse IP qu'il a résolue au démarrage.

— Benoît

Sur quelques serveurs, j'ai obtenu une `` autorisation refusée '', alors à la place, je lance ntpdate -uB <server> et quand je me synchronise, je redémarre ntpd.

— Benoît

Il y a un tas de problèmes avec la re-résolution des serveurs sur une base périodique (les personnes utilisant pool.ntp.org pourraient obtenir des serveurs avec des temps sensiblement différents, que faites-vous si le DNS se casse, que faites-vous si le DNS est piraté et envoie vous à un faux-ticker, etc ...) - NTP n'est pas non plus la seule chose qui se comporte de cette façon (les noms d'hôte dans les règles de pare-feu conduisent au même type de problème) :-)

— voretaq7

Cela ne fonctionne pas pour moi: addpeer ou addserver demandent un «Keyid:» et refusent de travailler pour vide ou 0, et demandent un «MD5 Password:» sinon et puis disent «*** Permission refusée».

— mirabilos

Si lesdits serveurs sont configurés via DHCP (ce qu'ils sont, pour une renumérotation facile, non? :)), vous pouvez mettre à jour le serveur DHCP pour envoyer l'option 42 avec la nouvelle adresse de serveur. Ils devraient tous racheter leurs baux (et être mis à jour) à un moment donné, non?

— pjz
source