十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
本想简单的找点chrony的讲解视频看看,但没找到;我想,可能是因为服务这个服务太简单了吧,觉得没什么讲的;所以都忽略了;现在只有自己烧烧脑,手动研究一下下
创新互联,为您提供成都网站建设公司、成都网站制作、网站营销推广、网站开发设计,对服务咖啡厅设计等多个行业拥有丰富的网站建设及推广经验。创新互联网站建设公司成立于2013年,提供专业网站制作报价服务,我们深知市场的竞争激烈,认真对待每位客户,为客户提供赏心悦目的作品。 与客户共同发展进步,是我们永远的责任!
公司里 虚拟机加物理机 2000+ 台 机器,一直使用的是 ntpdate 直接强行同步三台NTP服务器,就这么暴力的用了几年,到现在,也没出啥问题;但是身为一名运维屌丝,预感到了强烈安全隐患。
是时候展现真正的技术了 ~~~
一啪啦的扯淡,进入正题。
我的 rhel8上面没有,我使用过yum安装的
安装完成之后,系统会多出一个 chronyd的服务
查看服务状态: systemctl status chronyd
停止服务: systemctl stop chronyd
重启服务: systemctl restart chronyd
我们可以用 rpm -ql chrony 看一下安装 chrony 后产生的安装文件,帮助了解这个服务的大体结构,与复杂度,不想看也可以不看;
大体上就是这些东西了
下面开始介绍,将chrony配置为 NTP 服务端,用来供NTP 客户端同步使用的,后面再讲客户端
配置前先讲一下 配置文件件:
经过一番烧脑,大致的理解了一下主配置文件里的参数,并做了一下注释,方便以后查阅
配置都很简单
就更改一下域名服务器,与允许同步的网段就可以了,其余的基本都是默认;更改完后重启一下服务
阿里云的时间服务器:
ntp1.aliyun点抗
ntp2.aliyun点抗
中科院的时间服务器:
ntp.ntsc.ac点吸烟
显示目前同步的状态:
与外部互联网同步的时间间隔不能设置为小于64秒,否则会因为过于平凡与NTP服务器同步,而视为垃圾数据报被丢弃,这个需要注意一下
就是添加一个ntp服务IP就行了,其余的基本不用动;重启服务器,并加入开机启动
为了便于日常管理,公司网络内所有主机及服务器均已加入到了域环境内。采用自建的Exchange实现办公邮件的收发。但前些天突然出现邮件无法收发的情况,经排查发现,是由于Exchange服务器与域控服务器时间异常,时间差值大于5分钟所导致。在调整完时间后邮件恢复正常,为了防止再次出现此类故障,故决定通过域控来为域成员同步时间,而域控本身与阿里云的NTP同步时间。
配置分为两步:第一步为域控服务器配置与阿里云NTP的时间同步;第二步通过组策略实现域内成员同步域控服务器的时间。
一、域控服务器配置NTP
1、 添加时间服务器地址(域名或IP)(下面这个键存放着时间服务器列表)
在右边窗口点右键新建“字符串值”,将此“字符串值”命名为6。双击此新建的“字符串值”,输入地址:ntp.aliyun点抗 ,保存。将“默认”(即第一个“字符串值”)修改为6即可。前面的几个时间服务器分别为:
2、 指定时间源
3、 设置校时周期
4、重启服务
重启服务net stop w32timenet start w32time
5、验证配置情况
二、配置权威服务器及组策略
1、设置权威服务器
在域控服务器上打开注册表,找到键值
2、 启用 NTPServer
3、配置组策略,设置时间同步
4、域内成员同步策略
刷新组策略指令:gpupdate /force
重启服务net stop w32timenet start w32time
5、域内成员验证配置
三、填坑说明
如果在“Default Domain Policy”下添加时间同步策略,将会导致域控服务器也获取并执行策略,由于组策略的优先级较高,导致第一步配置的与阿里云NTP同步策略失效。使得域控服务器本身的时间准确性得不到保证。因此通过新建组织单位的方式,对除了域控服务器以外的计算机下发该策略。确保所有成员时间准确。
阿里云ECS实例已经提供了NTP服务器支持,直接启动已配置好的NTP服务即可。
《阿里云NTP服务器》
《配置Linux实例NTP服务》
在开启服务前,先确保环境配置:
文档 《配置Linux实例NTP服务》 中介绍了CentOS环境下开启NTP服务。
由于本人购买的Ubuntu服务器,下面总结Ubuntu环境下的配置。
执行命令查询所有服务,看ntp服务是否已开启(+号:已开启;-号:未开启):
发现香港地区的服务默认都没有开启ntp服务;但深圳地区的服务器默认已经开启了ntp服务。
执行命令查询ntp进程,发现深圳服务器默认已经开启了ntp服务:
如果未开启ntp服务,执行命令开启ntp服务:
开启成功后,如图:
或者查询ntp相关的进程:
重启后通过如下命令观察NTP的运行状态:
这个命令可以列出目前我们的 NTP 与相关的上层 NTP 的状态,上头的几个字段的意义为:
driftfile /etc/ntp/drift
语法为: restrict IP地址 mask 子网掩码 参数
其中IP地址也可以是default ,default 就是指所有的IP
参考 《ubuntu安装和使用NTP》
背景我们有5台虚拟主机做时间同步,那就需要分别安装NTP服务。
主机地址为:
192.168.3.1 master
192.168.3.2 客户机1
192.168.3.3 客户机2
192.168.3.4 客户机3
192.168.3.5 客户机4
1、安装NTP
我们使用yum命令为每台机器安装ntp软件,命令如下:
yum install -y ntp
每台机器都需要安装,所以要分别在对应的主机上分别执行该命令。如下图
看到如下图片提示内容,则代表安装完成:
2、修改ntp的配置文件
vi /etc/ntp.conf
首先我们要编辑主机的ntp服务配置文件,
我们去编辑master的机器的文件/etc/ntp.conf
找到ntp时间同步的机器范围配置项
restrict 192.168.3.0 mask 255.255.255.0 nomodify notrap
这里的意思代表,192.168.3的网段的机器都参与ntp的时间同步。
内容大致如下:
////存放ntp服务日志的位置
logfile /var/log/ntpd.log
////ntp依赖的互联网时间服务器地址,我们这里选择的是阿里云的时间服务器,当然还有很多其他时间服务器可以选择,看下这个地址 ,
////兜底时间服务器,当以上三个时间服务器不可用时,就是以本机时间作为集群机器的统一时间。
server 127.0.0.1
fudge 127.0.0.1 stratum 10
3、主机做时间同步操作:
这里需要使用如下命令:
ntpdate -u ntp2.aliyun点抗 (取用时间服务器的任意一台即可),出现如下提示内容,即代表我们的时间服务器是可以同步时间的。如果没有出现相应的内容,可能是由于自己的机器网络防火墙或者端口没有打开导致的。
5、查看ntpd的状态
systemctl status ntpd
如下图,则代表ntp服务运行中
代表没有做完时间同步,因为第一次时间同步需要5-10分钟时间,所以需要等待。直到看到如下提示,即可:
8、我们去完成NTP客户机的配置
vi /etc/ntp.conf
我们客户机的配置的时间服务器,就不需要直接指向阿里云的机器了,直接使用我们的master主机即可。可以是主机名,也可以是ip地址。
server 192.168.3.1
同理,其他几个客户机也按照这种方式配置,保存。配置完成后,也要做服务启动,系统重启后随机自动启动,这里就不赘述了。
这样,我们就把ntp服务安装完毕了,谢谢。