Hallo, auf einem server mit OS 12.1 läuft ntp als daemon mit einem ntp-pool-Server als Referenz. Über Test ist der Referenzserver erreichbar. Nun möchte ich die Zeit auf einem 2. Rechner mit der Zeit auf dem lokalen Server synchronisieren. Hier ist dann Synchronisieren ohne daemon angewählt und die Adresse des lokalen servers als Referenz angegeben. Über Test erhalte ich die Fehlermeldung das der eingestellte server nicht erreichbar ist, egal ob ich die ip-Adresse oder den DNS-Namen des lokalen servers einstelle. Gebe ich zum Test die Adresse des Referenzservers an, wird dieser fehlerfrei gefunden und antwortet. Die Lookup-Funktion findet im lokalen Netz auch keinen ntp-server. Kann jemand helfen? -- Dirk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
dirk [14.09.2017 12:23]:
Du hast bisher dafür gesorgt, dass die Zeit in Deinen Host hineinkommt, nun musst Du sie auch wieder rauslassen :) Auf meinen Kisten sind in /etc/xinetd.d die Dienste daytime, daytime-udp, time und time-udp aktiviert (Eintrag "disable" auf "no" setzen, dann rcxinetd reload). Alle Hosts geben ihre Zeit preis :) Ich teste mit /usr/lib/nagios/plugins/check_ntp_time -H <hostname> (aus dem Paket monitoring-plugins-ntp_time). Der Dienst daytime gibt z. B. "14 SEP 2017 13:06:13 CEST" zurück, der Dienst "time" die eigentliche Zeitserverinformation. HDH, Werner --
Am Donnerstag, 14. September 2017, 16:14:01 CEST schrieb dirk:
1. Wenn das openSUSE 12.1 ist, die Version ist mausetot. 2. Firewall auf dem ntp-server mal temporär deaktiviert? Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 14.09.2017 um 16:44 schrieb Stephan Hemeier:
Und wie wir mittlerweile wissen, lag das Problem in der Konfiguration der NTP Server Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 14.09.2017 um 13:08 schrieb Werner Flamme:
Nur der Vollständigkeit halber: ntpd braucht das nicht, die Kommunikation läuft über den Port 123 (ntp) root@kmcubie:~# netstat -anp | grep ntp zeigt dir das Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am 14.09.2017 um 12:23 schrieb dirk:
Was heißt "über Test"? Ist der ntpd auf dem wirklich synchron zu Pool-Servern? Wie ist die Ausgabe von "ntpq -p" auf dem Server?
Welches Linux läuft auf dem 2. Rechner? Wo wählt man diese Einstellung aus? Bei aktuellen Linux-Versionen kann dort ein ntpd laufen (das wäre allerdings ein Daemon), oder systemd kann das machen (kein Extra-Daemon), oder sonstige Software.
Ist das ein Test, wo eine NTP-Anfrage an den Server geschickt wird? Dann sind eventuell in der ntp.conf-Datei auf dem Server "restrict"-Keywords angegeben, die eine Antwort unterbinden. Der echte ntpd betrachtet einen server auch als nicht erreichbar (not "reachable"), wenn dieser zwar antwortet, aber selbst nicht synchron zu einer Zeitquelle (hier Pool-Server) ist. Darum wie oben angegeben mit "ntpq -p" auf dem server prüfen, ob dieser überhaupt synchron ist. Kann man vom 2. Rechner den Server anpingen? Evt. verhindert auch eine Firewall auf dem Server oder 2. Rechner, dass NTP Pakete über UDP-Port 123 rein- oder rausgehen.
Gebe ich zum Test die Adresse des Referenzservers an, wird dieser fehlerfrei gefunden und antwortet.
Das hört sich dann an, als ob der *Server* nicht synchron wäre oder wegen "restrict"-Keywords nicht antwortet. Was steht in der ntp.conf auf dem Server? Wenn auf dem 2. Rechner das ntp-Paket istalliert ist, kannst du als Test auf der Kommandozeile aufrufen: ntpdate -d <ip-des-servers> Wie ist die Ausgabe davon? Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 14.09.2017 13:19, schrieb Martin Burnicki:
Ist der ntpd auf dem wirklich synchron zu Pool-Servern?
Ich denke ja. Wie kann ich das genau überprüfen? Über die Testfunktion sind die pool-server erreichbar und antworten.
Wie ist die Ausgabe von "ntpq -p" auf dem Server?
# ntpq -p remote refid st t when poll reach delay offset jitter ============================================================================== tms-proxy.smart .INIT. 16 u - 1024 0 0.000 0.000 0.000
OS 12.2
Wo wählt man diese Einstellung aus?
in YAST
In dem YAST-Modul kann ich im Kasten "NTP-Daemon starten" auswählen: Nur manuell Ohne Daemon synchronisieren Jetz und bei jedem Systemstart
Das ist die gleiche Testfunktion im YAST-Modul wie beim lokalen Server. Ich denke das da eine NTP-Anfrage gesendet wird.
Ja, dort laufen problemlos fileserver-Dienste.
Evt. verhindert auch eine Firewall auf dem Server oder 2. Rechner, dass NTP Pakete über UDP-Port 123 rein- oder rausgehen.
Firewall habe ich zum Test als erstes deaktiviert.
# cat ntp.conf # LCL is unsynchronized ## ## Add external Servers using ## # rcntp addserver <yourserver> ## ## ## Miscellaneous stuff ## driftfile /var/lib/ntp/drift/ntp.drift # path for drift file logfile /var/log/ntp # alternate log file # logconfig =syncstatus + sysevents # logconfig =all # statsdir /tmp/ # directory for statistics files # filegen peerstats file peerstats type day enable # filegen loopstats file loopstats type day enable # filegen clockstats file clockstats type day enable # # Authentication stuff # keys /etc/ntp.keys # path for keys file trustedkey 1 # define trusted keys requestkey 1 server de.pool.ntp.org iburst # key (7) for accessing server variables # controlkey 15 # key (6) for accessing server variables
# ntpdate -d 192.168.1.1 14 Sep 15:50:05 ntpdate[13801]: ntpdate 4.2.6p5@1.2349-o Mon Jan 28 10:53:49 UTC 2013 (1) Looking for host 192.168.1.1 and service ntp host found : server.home.haa transmit(192.168.1.1) receive(192.168.1.1) transmit(192.168.1.1) receive(192.168.1.1) transmit(192.168.1.1) receive(192.168.1.1) transmit(192.168.1.1) receive(192.168.1.1) 192.168.1.1: Server dropped: strata too high server 192.168.1.1, port 123 stratum 16, precision -22, leap 11, trust 000 refid [192.168.1.1], delay 0.02574, dispersion 0.00006 transmitted 4, in filter 4 reference time: 00000000.00000000 Mon, Jan 1 1900 1:00:00.000 originate timestamp: dd650966.aa696352 Thu, Sep 14 2017 15:57:58.665 transmit timestamp: dd650793.9deed22b Thu, Sep 14 2017 15:50:11.616 filter delay: 0.02576 0.02576 0.02574 0.02576 0.00000 0.00000 0.00000 0.00000 filter offset: 467.0488 467.0487 467.0486 467.0486 0.000000 0.000000 0.000000 0.000000 delay 0.02574, dispersion 0.00006 offset 467.048689 14 Sep 15:50:11 ntpdate[13801]: no server suitable for synchronization found
Martin
Hier noch die ntp.conf vom client: # cat ntp.conf # LCL is unsynchronized ## ## Add external Servers using ## # rcntp addserver <yourserver> ## ## ## Miscellaneous stuff ## driftfile /var/lib/ntp/drift/ntp.drift # path for drift file logfile /var/log/ntp # alternate log file # logconfig =syncstatus + sysevents # logconfig =all # statsdir /tmp/ # directory for statistics files # filegen peerstats file peerstats type day enable # filegen loopstats file loopstats type day enable # filegen clockstats file clockstats type day enable # # Authentication stuff # keys /etc/ntp.keys # path for keys file trustedkey 1 # define trusted keys requestkey 1 server server.home.haa iburst # key (7) for accessing server variables # controlkey 15 # key (6) for accessing server variables -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 14.09.2017 um 15:57 schrieb dirk:
OK. 12.1 ist lange her. Ich weiß nicht, was das Yast-Modul da als Test ausführt.
Das bedeutet, der ntpd auf diesem Server kann sich *nicht* auf einen NTP-Pool-Server synchronisieren. Folglich zeigt er sich im eigenen Netz als "nicht synchronisiert", und andere NTP-Clients im Netz synchronisieren sich nicht darauf.
OK. Was Yast dann macht, wenn man "ohne Daemon" synchronisieren auswählt, weiß ich nicht. Meiner Meinung nach wäre es am besten, wenn du "Jetzt und bei jedem Systemstart" auswählst. Dann läuft der ntpd auch nach dem Reboot. Du musst nur darauf achten, deinen Server als Zeitquelle zu konfigurieren. Aber wie gesagt, dieser Rechner wird sich erst auf deinen Server synchronisieren, wenn der Server selbst auch synchron ist. Du must also zunächst herausfinden, warum dein Server scheinbar den Poolserver nicht erreicht.
Hier ist nur ein einziger Pool-Server eingetragen. Bei Pool-Servern ist es so, dass der DNS-Dienst der NTP-Pool-Zone reihum unterschiedliche IP-Adressen rausgibt. Du kannst das ausprobieren, indem du mehrfach den Befehl host de.pool.ntp.org eingibst und dir die Antwort ansiehst. Wenn der ntpd startet, schnappt sich nur die erste IP-Adresse beim Start, und verwendet anschließend nur noch diese. Wenn dann aus irgendeinem Grund der Rechner (oder NTP-Daemon) unter dieser Adresse nicht mehr antwortet, kann sich der Server nicht (mehr) darauf synchronisieren. Deshalb ist es sinnvoller, mehrere Pool-Server einzutragen, z.B. 1.de.pool.ntp.org 2.de.pool.ntp.org 3.de.pool.ntp.org Bei neueren Versionen des ntpd gibt es ein "pool"-Keyword für ntp.conf. Wenn man das verwendet, wirft der ntpd "schlechte" Pool-Server raus und mach neue DNS-Anfragen, um neue IP-Adressen zu erhalten, so dass immer eine bestimmte Anzahl von Pool-Servern erreichbar ist. Wenn ich mich recht erinnere, gibt es das allerdings bei ntpd 4.2.6p5 noch nicht. Nach einem Neustart des ntpd auf dem Server sollte das dann in etwa so aussehen: # ntpq -p remote refid st t when poll reach delay offset jitter ======================================================================= *umbrella.co.ua 149.210.142.45 3 u 43 64 377 19.345 1.220 9.020 +ntp.wilde-domai 178.63.61.67 3 u 54 64 377 16.866 0.154 0.812 stratum2-4.ntp. 129.70.130.70 2 u 58 64 377 14.684 1.730 4.425 Das '*' am Beginn einer der Zeilen sollte nach ein paar Minuten erscheinen und gibt an, dass sich der ntpd auf diesen Pool-Server synchronisiert hat. Nur dann gibt er sich der Server auch als "synchron" in deinem Netuzwerk zu erkennen und wird von anderen Clients als NTP-Server akzeptiert.
Hier in der Ausgabe steht ja: "Server dropped: strata too high", und "no server suitable for synchronization found". Das heißt genau, dass der Server nicht akzeptiert wird, weil er nicht synchron ist.
Das sieht eigentlich gut aus. Du must nur darauf achten, dass der ntpd auch tatsächlich gestartet ist, und du solltest auch auf dem Client hier "ntpq -p" ausführen. Dein Server sollte dann in der Ausgabe auftauchen, und wie oben beschrieben sollte am Anfang der Zeile ein '*' stehen, Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 14.09.2017 16:50, schrieb Martin Burnicki:
Genau das wars. Ich hab noch ein paar öffentliche NTP-Server zu meinem lokalen NTP-server hinzugefügt und der Client konnte den lokalen NTP-server erfolgreich testen. Nach einem Neustart vom NTP-Client auf dem Client-Rechner läuft dieser auch wieder synchron zum lokalen NTP-server. Vielen Dank für die Unterstützung. -- Dirk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
dirk [14.09.2017 12:23]:
Du hast bisher dafür gesorgt, dass die Zeit in Deinen Host hineinkommt, nun musst Du sie auch wieder rauslassen :) Auf meinen Kisten sind in /etc/xinetd.d die Dienste daytime, daytime-udp, time und time-udp aktiviert (Eintrag "disable" auf "no" setzen, dann rcxinetd reload). Alle Hosts geben ihre Zeit preis :) Ich teste mit /usr/lib/nagios/plugins/check_ntp_time -H <hostname> (aus dem Paket monitoring-plugins-ntp_time). Der Dienst daytime gibt z. B. "14 SEP 2017 13:06:13 CEST" zurück, der Dienst "time" die eigentliche Zeitserverinformation. HDH, Werner --
Am Donnerstag, 14. September 2017, 16:14:01 CEST schrieb dirk:
1. Wenn das openSUSE 12.1 ist, die Version ist mausetot. 2. Firewall auf dem ntp-server mal temporär deaktiviert? Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 14.09.2017 um 16:44 schrieb Stephan Hemeier:
Und wie wir mittlerweile wissen, lag das Problem in der Konfiguration der NTP Server Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 14.09.2017 um 13:08 schrieb Werner Flamme:
Nur der Vollständigkeit halber: ntpd braucht das nicht, die Kommunikation läuft über den Port 123 (ntp) root@kmcubie:~# netstat -anp | grep ntp zeigt dir das Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am 14.09.2017 um 12:23 schrieb dirk:
Was heißt "über Test"? Ist der ntpd auf dem wirklich synchron zu Pool-Servern? Wie ist die Ausgabe von "ntpq -p" auf dem Server?
Welches Linux läuft auf dem 2. Rechner? Wo wählt man diese Einstellung aus? Bei aktuellen Linux-Versionen kann dort ein ntpd laufen (das wäre allerdings ein Daemon), oder systemd kann das machen (kein Extra-Daemon), oder sonstige Software.
Ist das ein Test, wo eine NTP-Anfrage an den Server geschickt wird? Dann sind eventuell in der ntp.conf-Datei auf dem Server "restrict"-Keywords angegeben, die eine Antwort unterbinden. Der echte ntpd betrachtet einen server auch als nicht erreichbar (not "reachable"), wenn dieser zwar antwortet, aber selbst nicht synchron zu einer Zeitquelle (hier Pool-Server) ist. Darum wie oben angegeben mit "ntpq -p" auf dem server prüfen, ob dieser überhaupt synchron ist. Kann man vom 2. Rechner den Server anpingen? Evt. verhindert auch eine Firewall auf dem Server oder 2. Rechner, dass NTP Pakete über UDP-Port 123 rein- oder rausgehen.
Gebe ich zum Test die Adresse des Referenzservers an, wird dieser fehlerfrei gefunden und antwortet.
Das hört sich dann an, als ob der *Server* nicht synchron wäre oder wegen "restrict"-Keywords nicht antwortet. Was steht in der ntp.conf auf dem Server? Wenn auf dem 2. Rechner das ntp-Paket istalliert ist, kannst du als Test auf der Kommandozeile aufrufen: ntpdate -d <ip-des-servers> Wie ist die Ausgabe davon? Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
dirk -
Manfred Kreisl -
Martin Burnicki -
Stephan Hemeier -
Werner Flamme