时间同步服务

1. NTP时钟同步方式说明

NTP在linux下有两种时钟同步方式，分别为直接同步和平滑同步： 

• 直接同步 

使用ntpdate命令进行同步，直接进行时间变更。如果服务器上存在一个12点运行的任务，当前服务器时间是13点，但标准时间时11点，使用此命令可能会造成任务重复执行。因此使用ntpdate同步可能会引发风险，因此该命令也多用于配置时钟同步服务时第一次同步时间时使用。 

• 平滑同步 

使用ntpd进行时钟同步，可以保证一个时间不经历两次，它每次同步时间的偏移量不会太陡，是慢慢来的，这正因为这样，ntpd平滑同步可能耗费的时间比较长。

2.NTP 配置文件

# vim /etc/ntp.conf
# For more information about this file, see the man pages
# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).
 
driftfile /
var
/lib/ntp/drift
 
#新增:日志目录.
logfile /
var
/log/ntpd.log
 
# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict 
default 
nomodify notrap nopeer noquery
 
# Permit all access over the loopback interface. This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1
restrict ::1
#这一行的含义是授权172.16.128.0网段上的所有机器可以从这台机器上查询和同步时间.
restrict 172.16.128.0 mask 255.255.255.0 nomodify notrap
 
# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
 
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
 
#server 0.centos.pool.ntp.org iburst
#server 1.centos.pool.ntp.org iburst
#server 2.centos.pool.ntp.org iburst
#server 3.centos.pool.ntp.org iburst
 
#新增:时间服务器列表.
server 0.cn.pool.ntp.org iburst
server 1.cn.pool.ntp.org iburst
server 2.cn.pool.ntp.org iburst
server 3.cn.pool.ntp.org iburst
 
#新增:当外部时间不可用时，使用本地时间.
server 172.16.128.171 iburst
fudge 127.0.0.1 stratum 10
 
#broadcast 192.168.1.255 autokey # broadcast server
#broadcastclient # broadcast client
#broadcast 224.0.1.1 autokey # multicast server
#multicastclient 224.0.1.1 # multicast client
#manycastserver 239.255.254.254 # manycast server
#manycastclient 239.255.254.254 autokey # manycast client
 
#新增:允许上层时间服务器主动修改本机时间.
restrict 0.cn.pool.ntp.org nomodify notrap noquery
restrict 1.cn.pool.ntp.org nomodify notrap noquery
restrict 2.cn.pool.ntp.org nomodify notrap noquery
 
# Enable public key cryptography.
#crypto
 
includefile /etc/ntp/crypto/pw
 
# Key file containing the keys and key identifiers used when operating
# with symmetric key cryptography.
keys /etc/ntp/keys
 
# Specify the key identifiers which are trusted.
#trustedkey 4 8 42
 
# Specify the key identifier to use with the ntpdc utility.
#requestkey 8
 
# Specify the key identifier to use with the ntpq utility.
#controlkey 8
 
# Enable writing of statistics records.
#statistics clockstats cryptostats loopstats peerstats
 
# Disable the monitoring facility to prevent amplification attacks using ntpdc
# monlist command when default restrict does not include the noquery flag. See
# CVE-2013-5211 for more details.
# Note: Monitoring will not be disabled with the limited restriction flag.
disable monitor

3.设置系统开机自启动：

# systemctl enable ntpd

# systemctl enable ntpdate

# systemctl is-enabled ntpd

在ntpd服务启动时，先使用ntpdate命令同步时间：

# ntpdate -u 1.cn.pool.ntp.org

 

原因之一：当服务端与客户端之间的时间误差过大时，此时修改时间可能对系统或应用带来不可预知问题，NTP会停止时间同步。若检查NTP启动后时间未同步时，应考虑可能是时间误差过大所致，此时需要先手动进行时间同步。

启动NTP服务器：

# systemctl start ntpdate
# systemctl start ntpd
注：ntpdate服务要在ntpd前先开启不然会报错

4.加入防火墙：

# firewall-cmd --permanent --add-service=ntp

# firewall-cmd --reload

5.查看ntp连接状态如果没有问题，将正确时间写入硬件：

# ss -tlunp | grep ntp
# ntpq -p
# hwclock -w

6.客户端

以服务进程方式实时同步（需安装NTP）：

# vim /etc/ntp.conf

server 172.16.128.171

重要：修改任意节点服务器的NTP配置文件都需要重起ntpd服务：

# systemctl restart ntpd

以crontab任务计划同步时间（需安装ntpdate，每隔更新同步时间）：

# crontab -e

*/10 * * * * /usr/sbin/sntp -P no -r 172.16.128.171;hwclock -w

7.windows 客户端