Je ne peux pas me synchroniser avec une source NTP provenant d'un routeur / pare-feu interne.

Quelqu'un vous aide?

ntppdate -d 192.168.92.82
 6 Jun 11:57:30 ntpdate[5011]: ntpdate 4.1.2@1.892 Tue Feb 24 06:32:26 EST 2004 (1)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
192.168.92.82: Server dropped: strata too high
server 192.168.92.82, port 123
stratum 16, precision -19, leap 11, trust 000
refid [73.78.73.84], delay 0.02591, dispersion 0.00002
transmitted 4, in filter 4
reference time:    00000000.00000000  Thu, Feb  7 2036  6:28:16.000
originate timestamp: d1972e03.0ae02645  Mon, Jun  6 2011 11:44:19.042
transmit timestamp:  d197311b.0ffac1d2  Mon, Jun  6 2011 11:57:31.062
filter delay:  0.02609  0.02591  0.02594  0.02596
         0.00000  0.00000  0.00000  0.00000
filter offset: -792.020 -792.020 -792.020 -792.020
         0.000000 0.000000 0.000000 0.000000
delay 0.02591, dispersion 0.00002
offset -792.020152

 6 Jun 11:57:31 ntpdate[5011]: no server suitable for synchronization found

Éditer

Le serveur sur lequel on me demande de me synchroniser est un pare-feu, et on m'a maintenant dit qu'il ne se synchronisait avec rien. Je suppose donc que je dois savoir si je peux forcer mon serveur à se synchroniser avec un serveur qui est de la couche 16, c'est-à-dire non synchronisé. Est-ce possible ?

linux ntp

— AndyM
source

À quel serveur le pare-feu se synchronise-t-il?

— ianc1215

9

NTP augmente la strate pour chaque niveau de la hiérarchie - un serveur NTP tirant le temps d'un serveur "strate 1" s'annoncerait comme "strate 2" à ses clients.

Une valeur de strate de "16" est réservée aux serveurs non synchronisés, ce qui signifie que votre serveur NTP interne à 192.168.92.82 pense ne pas avoir de source de temps fiable (c'est-à-dire ne pas se synchroniser avec un serveur de strate de niveau supérieur).

Vous auriez besoin de faire un débogage là-bas - s'il s'agit d'un serveur Linux utilisant ntpd, regardez la sortie de ntpq peersfor indices pour des raisons possibles

— le-wabbit
source

2

Vous avez raison, on m'a maintenant dit que le pare-feu ne se synchronisait avec rien. Puis-je forcer le serveur ennemi à se synchroniser avec le pare-feu de toute façon?

— AndyM

1

Je ne connais aucun client NTP simple ignorant la valeur de la strate. En utilisant un ntpd à part entière, vous pouvez définir la strate du serveur auquel vous vous synchronisez via la fudge <server> stratum <value>directive - il serait alors considéré comme une source de temps acceptée et synchronisée par votre ntpd local. Mais c'est loin d'être élégant.

— the-wabbit

2

Mieux que de forcer vos clients à se synchroniser avec un serveur de la couche 16 serait de forcer le routeur à ressembler à la couche 10. Si vous pouvez accéder au fichier de configuration sur votre routeur, vous voudrez y ajouter quelque chose comme ça: le serveur 127.127. 1.0 # fudge d'horloge locale 127.127.1.0 strate 10 # strate locale

— Ladadadada

10

J'ai trouvé que tenter de changer la strate d'un serveur dans le côté client ntp.conf avec un

fudge <server_ip> stratum <number_less_than_16>

ne marche pas.

Cependant, si vous pouvez accéder au fichier ntp.conf sur le serveur (la machine exécutant ntpd) et ajouter les lignes suivantes

server 127.127.1.0
fudge 127.127.1.0 stratum 8

il est capable de se falsifier (127.127.1.0 est l'adresse du serveur ntpd local, 8 est un nombre inférieur à 16) (n'oubliez pas de redémarrer ntpd).

Vous pouvez ensuite exécuter avec succès ntpdate sur le client ( ntpdate <server_ip>).

— QuasiTam
source

Ne fonctionne plus avec Ubuntu 12.04

— serveur

travaillé avec Ubuntu 14.04 ntpd.

— Roman Blachman

Et avec RHEL 6 Server.

— Xalorous

1

Eh bien, le message d'erreur le dit très clairement: "stratum too high". En substance, votre ntpdate vous indique que votre serveur de temps est trop loin dans la hiérarchie pour être fiable. Il y a une ligne l'imprimé qui le montre:

stratum 16, precision -19, leap 11, trust 000

Je ne sais pas comment vous y êtes arrivé, mais un serveur de temps de la couche 16 est 15 niveaux supprimés des serveurs de la couche 1, et c'est beaucoup . Vous voudrez peut-être essayer de comprendre pourquoi c'est le cas. Dans notre réseau d'entreprise, la plupart des machines se synchronisent avec les passerelles Linux, qui sont connectées aux serveurs de la couche 3 (ce qui en fait la couche 4) ou aux contrôleurs de domaine (identiques). Il vous faudrait une configuration réseau vraiment compliquée pour atteindre la couche 16.

— Wolfgangsz
source

Merci, j'ai édité la question, maintenant j'ai trouvé que le pare-feu n'est synchronisé avec rien.

— AndyM

Eh bien, dans ce cas, vous ne pouvez pas du tout l'utiliser pour ntp. Vous devrez voir si vous pouvez vous connecter à un serveur ntp extérieur. Allez sur ntp.org et trouvez un serveur approprié à proximité et voyez si vous pouvez l'utiliser. Si votre pare-feu ne le permet pas, demandez à vos administrateurs système comment ils s'attendent à ce que cela fonctionne.

— wolfgangsz

1

La strate 16 est utilisée arbitrairement pour les serveurs non synchronisés.

— Xalorous

Le 'serveur ip.ad.dr.es / fudge ip.ad.dr.es strate X' où X est un nombre arbitraire <16, (réponse de @ QasiTam) vous permet de configurer un serveur NTP dans un réseau déconnecté où celui-ci la machine peut être synchronisée manuellement.

— Xalorous

1

Essayez d'exécuter ntpdate tock.usno.navy.milIl s'agit d'un serveur NTP de la couche 1 géré par l'US Naval Observatory. Voyez si vous pouvez vous synchroniser avec cela, puis avancez à partir de cela. Par hasard, votre pare-feu / routeur est-il une boîte PFsense exécutant OpenNTPD?

Vous pouvez ajouter le -dsi vous le souhaitez.

— ianc1215
source

Le serveur n'a pas de connexion Internet

— AndyM

Pas de connectivité par l'administrateur ou pas d'Internet physique?

— ianc1215

Je recommanderais fortement de laisser le serveur avoir accès à Internet sur UDP \ 123 à moins qu'il ne soit complètement hors de question, le problème pourrait être avec le serveur de temps des pare-feu et pas tellement le serveur. Vérifiez également que le serveur a UDP \ 123 ouvert pour le trafic NTP. Si ce n'est pas le cas, NTP échouera, ce qui pourrait expliquer les problèmes que vous rencontrez.

— ianc1215

0

Il peut y avoir une ligne qui commence par restreindre par défaut, supprimez-la et redémarrez le service ... exécutez maintenant ntpq puis pe

voici mon avant et après ...

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default ignore

et le résultat est ....

[root@jump ~]# ntpq
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq>

maintenant quand je commente cette ligne ... (ou TOUTE ligne qui peut commencer par restreindre par défaut) .. Je reçois ...

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
#restrict default ignore



[root@jump ~]# service ntpd restart
Shutting down ntpd: [  OK  ]
Starting ntpd: [  OK  ]
[root@jump ~]# ntpd
[root@jump ~]# ntpq 
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u    3   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u    2   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u    1   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u    -   64    1   21.291   21.746   9.525


ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u   31   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u   30   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u   29   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u   28   64    1   21.291   21.746   9.525
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u   33   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u   32   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u   31   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u   30   64    1   21.291   21.746   9.525

Et c'était la solution à MON problème !!!

— Gurvinder Bindra
source

ntpdate -d Le serveur a laissé tomber des strates trop hautes

Éditer