ntpdate -d Le serveur a laissé tomber des strates trop hautes


14

Je ne peux pas me synchroniser avec une source NTP provenant d'un routeur / pare-feu interne.

Quelqu'un vous aide?

ntppdate -d 192.168.92.82
 6 Jun 11:57:30 ntpdate[5011]: ntpdate 4.1.2@1.892 Tue Feb 24 06:32:26 EST 2004 (1)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
192.168.92.82: Server dropped: strata too high
server 192.168.92.82, port 123
stratum 16, precision -19, leap 11, trust 000
refid [73.78.73.84], delay 0.02591, dispersion 0.00002
transmitted 4, in filter 4
reference time:    00000000.00000000  Thu, Feb  7 2036  6:28:16.000
originate timestamp: d1972e03.0ae02645  Mon, Jun  6 2011 11:44:19.042
transmit timestamp:  d197311b.0ffac1d2  Mon, Jun  6 2011 11:57:31.062
filter delay:  0.02609  0.02591  0.02594  0.02596
         0.00000  0.00000  0.00000  0.00000
filter offset: -792.020 -792.020 -792.020 -792.020
         0.000000 0.000000 0.000000 0.000000
delay 0.02591, dispersion 0.00002
offset -792.020152

 6 Jun 11:57:31 ntpdate[5011]: no server suitable for synchronization found

Éditer

Le serveur sur lequel on me demande de me synchroniser est un pare-feu, et on m'a maintenant dit qu'il ne se synchronisait avec rien. Je suppose donc que je dois savoir si je peux forcer mon serveur à se synchroniser avec un serveur qui est de la couche 16, c'est-à-dire non synchronisé. Est-ce possible ?


À quel serveur le pare-feu se synchronise-t-il?
ianc1215

Réponses:


9

NTP augmente la strate pour chaque niveau de la hiérarchie - un serveur NTP tirant le temps d'un serveur "strate 1" s'annoncerait comme "strate 2" à ses clients.

Une valeur de strate de "16" est réservée aux serveurs non synchronisés, ce qui signifie que votre serveur NTP interne à 192.168.92.82 pense ne pas avoir de source de temps fiable (c'est-à-dire ne pas se synchroniser avec un serveur de strate de niveau supérieur).

Vous auriez besoin de faire un débogage là-bas - s'il s'agit d'un serveur Linux utilisant ntpd, regardez la sortie de ntpq peersfor indices pour des raisons possibles


2
Vous avez raison, on m'a maintenant dit que le pare-feu ne se synchronisait avec rien. Puis-je forcer le serveur ennemi à se synchroniser avec le pare-feu de toute façon?
AndyM

1
Je ne connais aucun client NTP simple ignorant la valeur de la strate. En utilisant un ntpd à part entière, vous pouvez définir la strate du serveur auquel vous vous synchronisez via la fudge <server> stratum <value>directive - il serait alors considéré comme une source de temps acceptée et synchronisée par votre ntpd local. Mais c'est loin d'être élégant.
the-wabbit

2
Mieux que de forcer vos clients à se synchroniser avec un serveur de la couche 16 serait de forcer le routeur à ressembler à la couche 10. Si vous pouvez accéder au fichier de configuration sur votre routeur, vous voudrez y ajouter quelque chose comme ça: le serveur 127.127. 1.0 # fudge d'horloge locale 127.127.1.0 strate 10 # strate locale
Ladadadada

10

J'ai trouvé que tenter de changer la strate d'un serveur dans le côté client ntp.conf avec un

fudge <server_ip> stratum <number_less_than_16>

ne marche pas.

Cependant, si vous pouvez accéder au fichier ntp.conf sur le serveur (la machine exécutant ntpd) et ajouter les lignes suivantes

server 127.127.1.0
fudge 127.127.1.0 stratum 8

il est capable de se falsifier (127.127.1.0 est l'adresse du serveur ntpd local, 8 est un nombre inférieur à 16) (n'oubliez pas de redémarrer ntpd).

Vous pouvez ensuite exécuter avec succès ntpdate sur le client ( ntpdate <server_ip>).


Ne fonctionne plus avec Ubuntu 12.04
serveur

travaillé avec Ubuntu 14.04 ntpd.
Roman Blachman

Et avec RHEL 6 Server.
Xalorous

1

Eh bien, le message d'erreur le dit très clairement: "stratum too high". En substance, votre ntpdate vous indique que votre serveur de temps est trop loin dans la hiérarchie pour être fiable. Il y a une ligne l'imprimé qui le montre:

stratum 16, precision -19, leap 11, trust 000

Je ne sais pas comment vous y êtes arrivé, mais un serveur de temps de la couche 16 est 15 niveaux supprimés des serveurs de la couche 1, et c'est beaucoup . Vous voudrez peut-être essayer de comprendre pourquoi c'est le cas. Dans notre réseau d'entreprise, la plupart des machines se synchronisent avec les passerelles Linux, qui sont connectées aux serveurs de la couche 3 (ce qui en fait la couche 4) ou aux contrôleurs de domaine (identiques). Il vous faudrait une configuration réseau vraiment compliquée pour atteindre la couche 16.


Merci, j'ai édité la question, maintenant j'ai trouvé que le pare-feu n'est synchronisé avec rien.
AndyM

Eh bien, dans ce cas, vous ne pouvez pas du tout l'utiliser pour ntp. Vous devrez voir si vous pouvez vous connecter à un serveur ntp extérieur. Allez sur ntp.org et trouvez un serveur approprié à proximité et voyez si vous pouvez l'utiliser. Si votre pare-feu ne le permet pas, demandez à vos administrateurs système comment ils s'attendent à ce que cela fonctionne.
wolfgangsz

1
La strate 16 est utilisée arbitrairement pour les serveurs non synchronisés.
Xalorous

Le 'serveur ip.ad.dr.es / fudge ip.ad.dr.es strate X' où X est un nombre arbitraire <16, (réponse de @ QasiTam) vous permet de configurer un serveur NTP dans un réseau déconnecté où celui-ci la machine peut être synchronisée manuellement.
Xalorous

1

Essayez d'exécuter ntpdate tock.usno.navy.milIl s'agit d'un serveur NTP de la couche 1 géré par l'US Naval Observatory. Voyez si vous pouvez vous synchroniser avec cela, puis avancez à partir de cela. Par hasard, votre pare-feu / routeur est-il une boîte PFsense exécutant OpenNTPD?

Vous pouvez ajouter le -dsi vous le souhaitez.


Le serveur n'a pas de connexion Internet
AndyM

Pas de connectivité par l'administrateur ou pas d'Internet physique?
ianc1215

Je recommanderais fortement de laisser le serveur avoir accès à Internet sur UDP \ 123 à moins qu'il ne soit complètement hors de question, le problème pourrait être avec le serveur de temps des pare-feu et pas tellement le serveur. Vérifiez également que le serveur a UDP \ 123 ouvert pour le trafic NTP. Si ce n'est pas le cas, NTP échouera, ce qui pourrait expliquer les problèmes que vous rencontrez.
ianc1215

0

Il peut y avoir une ligne qui commence par restreindre par défaut, supprimez-la et redémarrez le service ... exécutez maintenant ntpq puis pe

voici mon avant et après ...

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default ignore

et le résultat est ....

[root@jump ~]# ntpq
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq> 

maintenant quand je commente cette ligne ... (ou TOUTE ligne qui peut commencer par restreindre par défaut) .. Je reçois ...

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
#restrict default ignore



[root@jump ~]# service ntpd restart
Shutting down ntpd: [  OK  ]
Starting ntpd: [  OK  ]
[root@jump ~]# ntpd
[root@jump ~]# ntpq 
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u    3   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u    2   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u    1   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u    -   64    1   21.291   21.746   9.525


ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u   31   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u   30   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u   29   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u   28   64    1   21.291   21.746   9.525
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u   33   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u   32   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u   31   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u   30   64    1   21.291   21.746   9.525

Et c'était la solution à MON problème !!!

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.