ntpdate -d El servidor dejó los estratos demasiado altos

14

No puedo sincronizar con una fuente NTP que proviene de un enrutador / firewall interno.

Alguien ayuda?

ntppdate -d 192.168.92.82
 6 Jun 11:57:30 ntpdate[5011]: ntpdate [email protected] Tue Feb 24 06:32:26 EST 2004 (1)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
receive(192.168.92.82)
transmit(192.168.92.82)
192.168.92.82: Server dropped: strata too high
server 192.168.92.82, port 123
stratum 16, precision -19, leap 11, trust 000
refid [73.78.73.84], delay 0.02591, dispersion 0.00002
transmitted 4, in filter 4
reference time:    00000000.00000000  Thu, Feb  7 2036  6:28:16.000
originate timestamp: d1972e03.0ae02645  Mon, Jun  6 2011 11:44:19.042
transmit timestamp:  d197311b.0ffac1d2  Mon, Jun  6 2011 11:57:31.062
filter delay:  0.02609  0.02591  0.02594  0.02596
         0.00000  0.00000  0.00000  0.00000
filter offset: -792.020 -792.020 -792.020 -792.020
         0.000000 0.000000 0.000000 0.000000
delay 0.02591, dispersion 0.00002
offset -792.020152

 6 Jun 11:57:31 ntpdate[5011]: no server suitable for synchronization found

Editar

El servidor al que se me pide que sincronice es un firewall, y ahora me han dicho que no se está sincronizando con nada. Así que supongo que necesito saber si puedo forzar a mi servidor a sincronizarse con un servidor que es el estrato 16, es decir, no sincronizado. Es eso posible ?

AndyM
fuente
¿A qué servidor se sincroniza el firewall?
ianc1215

Respuestas:

9

NTP aumenta el estrato para cada nivel en la jerarquía: un servidor NTP que extrae el tiempo de un servidor "estrato 1" se anunciaría como "estrato 2" a sus clientes.

Un valor de estrato de "16" está reservado para servidores no sincronizados, lo que significa que su servidor NTP interno en 192.168.92.82 piensa que no tiene una fuente de tiempo confiable (es decir, no se sincroniza con un servidor de estrato de nivel superior).

Tendría que depurar allí: si se trata de un servidor Linux que usa ntpd, busque ntpq peerspistas en la salida por posibles razones

el wabbit
fuente
2
Tienes razón, ahora me han dicho que el firewall no se sincroniza con nada. ¿Puedo forzar mi servidor a sincronizarse con el firewall de todos modos?
AndyM
1
No conozco ningún cliente NTP simple que ignore el valor del estrato. Usando un ntpd completo, puede establecer el estrato del servidor con el que está sincronizando a través de la fudge <server> stratum <value>directiva: su ntpd local lo consideraría una fuente de tiempo sincronizada y aceptada. Pero esto está lejos de ser elegante.
the-wabbit
2
Mejor que obligar a sus clientes a sincronizarse con un servidor en el estrato 16 sería forzar al enrutador a ser algo así como el estrato 10. Si puede acceder al archivo de configuración en su enrutador, querrá agregarle algo como esto: servidor 127.127. 1.0 # fudge de reloj local 127.127.1.0 estrato 10 # estrato local
Ladadadada
10

He encontrado que intentar cambiar el estrato de un servidor en el lado del cliente ntp.conf con un

fudge <server_ip> stratum <number_less_than_16>

No funciona.

Sin embargo, si puede acceder a ntp.conf en el servidor (la máquina que ejecuta ntpd) y agregar las siguientes líneas

server 127.127.1.0
fudge 127.127.1.0 stratum 8

puede falsificarse (127.127.1.0 es la dirección del servidor ntpd local, 8 es un número menor que 16) (recuerde reiniciar ntpd).

Luego puede ejecutar con éxito ntpdate en el cliente ( ntpdate <server_ip>).

CuasiTam
fuente
Ya no funciona con Ubuntu 12.04
Falla del servidor
trabajó con Ubuntu 14.04 ntpd.
Roman Blachman
Y con el servidor RHEL 6.
Xalorous
1

Bueno, el mensaje de error lo dice claramente: "estrato demasiado alto". En esencia, su ntpdate le dice que su servidor de tiempo está demasiado abajo en la jerarquía para ser confiable. Hay una línea en la impresión que lo muestra:

stratum 16, precision -19, leap 11, trust 000

No tengo idea de cómo llegaste allí, pero un servidor de estrato de 16 horas tiene 15 niveles eliminados de los servidores de estrato 1, y eso es mucho . Es posible que desee probar y descubrir por qué ese es el caso. En la red de nuestra empresa, la mayoría de las máquinas se sincronizan con las puertas de enlace de Linux, que están conectadas a los servidores del estrato 3 (lo que los convierte en el estrato 4) o los controladores de dominio (lo mismo). Tendría que tener una configuración de red realmente complicada para llegar al estrato 16.

wolfgangsz
fuente
Gracias, he editado la pregunta, ahora he descubierto que el firewall no está sincronizado con nada.
AndyM
Bueno, en ese caso no puedes usarlo para ntp. Deberá ver si puede conectarse a un servidor ntp externo. Vaya a ntp.org y encuentre un servidor adecuado en su vecindad y vea si puede usarlo. Si su firewall no lo permite, pregunte a sus administradores de sistemas cómo demonios esperan que funcione.
wolfgangsz
1
El estrato 16 se usa arbitrariamente para servidores no sincronizados.
Xalorous
El 'servidor ip.ad.dr.es / fudge ip.ad.dr.es stratum X' donde X es un número arbitrario <16, (la respuesta de @ QasiTam) le permite configurar un servidor NTP dentro de una red desconectada donde el La máquina se puede sincronizar manualmente.
Xalorous
1

Intente ejecutar ntpdate tock.usno.navy.milEse es un servidor NTP del estrato 1 administrado por el Observatorio Naval de EE. UU. Vea si puede sincronizarse con eso, luego avance desde eso. ¿Por casualidad su firewall / enrutador es una caja PFsense que ejecuta OpenNTPD?

Puede agregar el -dsi lo desea.

ianc1215
fuente
El servidor no tiene conexión a Internet
AndyM
¿Sin conectividad por parte del administrador o sin internet físico?
ianc1215
Recomiendo encarecidamente dejar que el servidor tenga acceso a Internet en UDP \ 123 a menos que esté completamente fuera de cuestión. El problema podría estar en el servidor de tiempo de firewall y no tanto en el servidor. Compruebe también para asegurarse de que el servidor tiene UDP \ 123 abierto para el tráfico NTP. Si eso no está abierto, NTP fallará, lo que podría explicar los problemas que está teniendo.
ianc1215
0

Puede haber una línea que comience con el valor predeterminado restringido, simplemente elimínelo y reinicie el servicio ... ahora ejecute ntpq y luego pe

Aquí está mi antes y después ...

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default ignore

y el resultado es ...

[root@jump ~]# ntpq
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 grom.polpo.org  .INIT.          16 u    -   64    0    0.000    0.000   0.000
 skavoovie.net   .INIT.          16 u    -   64    0    0.000    0.000   0.000
 hydrogen.consta .INIT.          16 u    -   64    0    0.000    0.000   0.000
 lttlesis.deekay .INIT.          16 u    -   64    0    0.000    0.000   0.000
ntpq> 

ahora cuando comento esa línea ... (o CUALQUIER línea que pueda comenzar con restricción predeterminada) ... obtengo ...

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
#restrict default ignore



[root@jump ~]# service ntpd restart
Shutting down ntpd: [  OK  ]
Starting ntpd: [  OK  ]
[root@jump ~]# ntpd
[root@jump ~]# ntpq 
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u    3   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u    2   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u    1   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u    -   64    1   21.291   21.746   9.525


ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u   31   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u   30   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u   29   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u   28   64    1   21.291   21.746   9.525
ntpq> pe
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*wiggum.whackert 216.218.254.202  2 u   33   64    1   29.797   24.402   1.088
 76.73.0.4       130.173.91.58    2 u   32   64    1   59.319   23.059   8.816
 eterna.binary.n 216.229.0.179    2 u   31   64    1   67.785   31.427   0.233
 shed.galexander 204.163.51.41    3 u   30   64    1   21.291   21.746   9.525

Y esa fue la solución a mi problema !!!

Gurvinder Bindra
fuente