Як наладзіць NTP-сервер з дапамогай pfSense і OpenNTPD

Задаволены

• Навошта выкарыстоўваць pfSense як NTP-сервер?
• Вышэйшыя серверы
• Даданне адрасоў сервера
• Дадатковыя налады
• Уключэнне службы OpenNTPD
• Налада параметраў DHCP
• Налада службы часу Windows
• Кліент Meinberg NTP для Windows
• Наладжванне кліентаў Linux
• Падтрымка NTP на іншых прыладах

Сэм працуе сеткавым аналітыкам у алгарытмічнай гандлёвай фірме. Ён атрымаў ступень бакалаўра ў галіне інфармацыйных тэхналогій у UMKC.

Вы калі-небудзь задаваліся пытаннем, чаму гадзіннік на вашым кампутары цягне на працягу некалькіх гадоў набіраць або губляць некалькі хвілін? На жаль, дакладнасць сучасных апаратных гадзін, як правіла, моцна адрозніваецца.

У большасці гадзін, у тым ліку на матчынай плаце вашага кампутара, выкарыстоўваецца танны крыштальны генератар, каб сачыць за часам. Змены тэмпературы і іншыя фактары могуць прывесці да змены частаты ваганняў з цягам часу, што прыводзіць да дрэйфу гадзін. У рэшце рэшт, гэтыя страчаныя секунды могуць скласці некалькі хвілін.

Самы просты спосаб вырашыць гэтую праблему - выкарыстаць NTP (Network Time Protocol) для сінхранізацыі гадзін на ўсіх кампутарах, IP-тэлефонах і іншых сеткавых прыладах.

Навошта выкарыстоўваць pfSense як NTP-сервер?

PfSense - выдатны NTP-сервер, таму што яго лёгка наладжваць і кіраваць ім. Калі вы ўжо выкарыстоўваеце pfSense у сваёй сетцы, няма ніякіх прычын усталёўваць асобны сервер толькі для апрацоўкі NTP.

PfSense 2.X уключае ўстаноўку OpenNTPD, якая з'яўляецца бясплатнай рэалізацыяй пратакола сеткавага часу. Справа проста ў наладжванні параметраў сервера і кліента.

Навошта выкарыстоўваць лакальны сервер часу?

1. Захаваць прапускную здольнасць - NTP не адпраўляе шмат пакетаў, але ўявіце, калі б у вас была сетка з 500+ кліентамі, якія звяртаюцца да сервераў агульнага карыстання.
2. Высокая даступнасць - Запуск крыніцы мясцовага часу дазволіць кліентам падтрымліваць сінхранізацыю гадзінніка ў выпадку, калі Інтэрнэт будзе недаступны.
3. Лепшая дакладнасць - Пратакол NTP забяспечвае значна лепшую дакладнасць, калі затрымка сервера часу максімальна нізкая. Фарміраванне іерархіі гарантуе, што гадзіннікі на ўсіх лакальных машынах у сетцы будуць вельмі цесна сінхранізаваны адзін з адным.

Вышэйшыя серверы

Першы крок для налады pfSense як сервера часу - гэта дадаць адзін або некалькі сервераў вышэйшага ўзроўню на старонцы агульнай налады налад.

Выкарыстоўваючы серверы агульнага карыстання, вы можаце размеркаваць дакладны час у сістэмах вашай лакальнай сеткі. У адваротным выпадку вы проста размеркавалі б недакладны час на аснове апаратных гадзін на серверы pfSense.

Іншая альтэрнатыва - набыць вельмі дакладны гадзіннік пласта 1, які сінхранізуецца з часам UTC з выкарыстаннем GPS або CDMA.

Даданне адрасоў сервера

Каб наладзіць серверы NTP, увайдзіце ў вэб-інтэрфейс і зайдзіце на старонку агульных налад, якую можна знайсці ў сістэмным меню.

Увядзіце DNS-імёны сервера альбо IP-адрасы NTP-сервераў у поле сервера часу і аддзяліце некалькі сервераў прабелам.

Каб NTP працаваў належным чынам, варта дадаць як мінімум тры розныя серверы. Выкарыстанне менш за тры сервераў перашкаджае NTPD правільна выявіць фальсіфікатар, які ў асноўным з'яўляецца ненадзейнай крыніцай часу.

Пул пастаўшчыкоў pfSense складаецца з чатырох розных адрасоў сервера, і я рэкамендую дадаць усе чатыры з іх.

Вы таксама можаце выкарыстоўваць любыя іншыя рэкламныя серверы часу, калі ў вас ёсць дазвол уладальніка. У большасці выпадкаў лепшым выбарам з'яўляюцца серверы пула.

Дадатковыя налады

Параметры ніжэй таксама можна наладзіць на старонцы агульных налад.

DNS-серверы

Пакуль вы знаходзіцеся на старонцы агульнай налады, пераканайцеся, што вы дадалі хаця б адзін DNS-сервер, без DNS OpenNTP не зможа вызначыць адрасы сервераў пула.

Я выкарыстоўваю серверы OpenDNS, таму што яны больш хуткія і надзейныя, чым серверы імёнаў Roadrunner. Вы можаце выкарыстоўваць Google Public DNS альбо DNS-серверы, прадастаўленыя вашым Інтэрнэт-правайдэрам.

Часавы пояс

Гэта таксама добрая ідэя, каб выбраць правільны гадзінны пояс з выпадальнага меню на той самай старонцы налад. Калі гадзінны пояс усталяваны няправільна, часовыя адзнакі часу будуць не дакладнымі, што, як правіла, робіць часопісы больш складанымі для чытання.

Уключэнне службы OpenNTPD

Перш чым pfSense пачне абслугоўваць кліентаў у сетцы, трэба ўключыць OpenNTPD. Каб уключыць службу, націсніце OpenNTPD у меню паслуг вэб-інтэрфейсу.

Націсніце першы сцяжок на старонцы, каб уключыць паслугу.

Далей вам трэба будзе выбраць інтэрфейс, які OpenNTPD павінен слухаць, які звычайна будзе інтэрфейсам LAN.

Выбар інтэрфейсу WAN прывяжа службу да знешняга IP-адраса, што дазваляе публічным кліентам падключацца да лакальнай сістэмы для запытаў NTP.

Пасля націску "Захаваць" будуць прымяняцца налады, і дэман NTP будзе аўтаматычна запушчаны.

Налада параметраў DHCP

Калі pfSense служыць DHCP-серверам для лакальнай сеткі, то добра пайсці і ўвесці адрас NTP-сервера ў канфігурацыі DHCP-сервера.

Гэта прадаставіць кліентам DHCP адрас NTP-сервера (опцыя DHCP 42), калі яны запытаюць IP-адрас.

Не ўсе кліенты будуць падтрымліваць гэтую опцыю і будуць проста ігнараваць яе. Windows трапляе ў гэтую катэгорыю, і ёй спатрэбіцца наладзіць адрас уручную альбо з дапамогай групавой палітыкі.

Этапы канфігурацыі

• Перайдзіце на старонку налад, націснуўшы "Сервер DHCP" у меню паслуг.
• Націсніце на кнопку NTP-серверы.
• Увядзіце IP-адрас сеткі сервера pfSense і націсніце "Захаваць". (Не ўводзіце тут адрасы сервера агульнага карыстання.)

Налада службы часу Windows

Самы просты спосаб наладзіць кампутары Windows для сінхранізацыі з серверам NTP - выкарыстоўваць убудаваную службу часу Windows.

1. Націсніце на гадзіннік у сістэмным трэі і абярыце "змяніць налады даты і часу".
2. Націсніце на ўкладку "Інтэрнэт", затым націсніце кнопку "Змяніць налады".
3. Пераканайцеся, што галачка адзначана "сінхранізаваць з Інтэрнэт-серверам часу".
4. Калі ласка, увядзіце IP-адрас LAN або ўнутранае DNS-імя сістэмы pfSense у поле сервера.
5. Націсніце "Абнавіць зараз", каб праверыць, ці працуе ён належным чынам.

Засцярогі

Служба часу Windows не забяспечвае высокага ўзроўню дакладнасці, і Microsoft прызнае гэты факт.

Сэрвіс быў распрацаваны, каб пераканацца, што сістэмны гадзіннік застаецца на працягу 1-2 секунд ад даведачнага сервера.

Для больш дакладнага ўліку часу з дакладнасцю да мілісекунд рэкамендуецца ўсталяваць незалежны кліент.

Кліент Meinberg NTP для Windows

Майнберг распрацоўвае кліент NTP з адкрытым зыходным кодам для Windows, які значна больш дакладны, чым служба часу Windows. Акрамя кліента, яны таксама прадастаўляюць праграму маніторынгу пад назвай NTP Time Server Monitor.

Дадатак маніторынгу можа прадастаўляць падрабязную статыстыку, якая адлюстроўвае зрушэнне мясцовых гадзіннікаў і частату ў PPM.

У Satsignal.eu ёсць выдатнае кіраўніцтва, якое апісвае працэс усталёўкі і налады кліента Meinberg NTP.

Наладжванне кліентаў Linux

Большасць дыстрыбутываў Linux па змаўчанні ўключаюць дэман NTP. Перш чым кліент можа быць запушчаны, вам трэба адрэдагаваць файл ntp.conf, які звычайна знаходзіцца ў / etc.

Паколькі этапы налады і актывацыі кліента адрозніваюцца ў залежнасці ад дыстрыбутыва, я рэкамендую звярнуцца да дакументацыі для вашай канкрэтнай версіі Linux для атрымання інструкцый па наладзе кліента.

Падтрымка NTP на іншых прыладах

Вы можаце быць здзіўлены, што ў вашай сетцы ёсць мноства іншых прылад, якія падтрымліваюць пратакол сеткавага часу як метад сінхранізацыі гадзінніка.

• IP-тэлефоны
• Кіраваныя камутатары
• Маршрутызатары
• Брандмаўэры
• IP-камеры
• Тэлевізары, прайгравальнікі Blu-ray і рэсіверы, якія падтрымліваюць сетку
• Лічбавыя / аналагавыя насценныя гадзіны NTP

Гэты артыкул дакладна і дакладна адпавядае ведам аўтара. Змест прызначаны толькі для інфармацыйных ці забаўляльных мэт і не замяняе асабістых кансультацый альбо прафесійных парад у дзелавых, фінансавых, юрыдычных і тэхнічных пытаннях.