我有五台服务器,根据我们最近测试的配置配置用于生产用途。服务器是带有NTP版本的RHEL6[电子邮件受保护]。不过,现在我正在尝试通过仅同时运行两台服务器来找出解决方案。完成后,它将由五个 NTP 服务器组成,每个服务器都使用 SHA1 密钥。根据该associations命令,ntpq所有身份验证均正常工作。
服务器1:
ind assID status conf reach auth condition last_event cnt
===========================================================
1 50914 9314 yes yes none outlyer reachable 1
2 50915 9414 yes yes none candidat reachable 1
3 50916 9314 yes yes none outlyer reachable 1
4 50917 9414 yes yes none candidat reachable 1
5 50918 9614 yes yes none sys.peer reachable 1
6 50919 f014 yes yes ok reject reachable 1
(最后一个条目是我的服务器。其他五个是外部时间源)。
对等输出显示它能够与服务器 2 通信:
ntpq> pe
remote refid st t when poll reach delay offset jitter
==============================================================================
-192.5.41.40 .PTP. 1 u 11 64 177 24.125 -1.858 5.692
+ntp-s1.cise.ufl .GPS. 1 u 23 64 177 36.340 0.443 0.235
-ntp.colby.edu .GPS. 1 u 30 64 177 23.204 -0.474 0.221
+navobs1.oar.net .GPS. 1 u 26 64 177 26.496 0.671 0.755
*gnomon.cc.colum .USNO. 1 u 21 64 177 10.862 0.422 0.304
server2. 128.59.39.48 2 u 366 64 100 0.256 -1.010 0.000
服务器2:
ind assID status conf reach auth condition last_event cnt
===========================================================
1 21528 9314 yes yes none outlyer reachable 1
2 21529 9414 yes yes none candidat reachable 1
3 21530 9414 yes yes none candidat reachable 1
4 21531 9614 yes yes none sys.peer reachable 1
5 21532 9314 yes yes none outlyer reachable 1
6 21533 e07f yes yes ok reject 7
正如您所看到的,最后一个条目能够成功进行身份验证,但它并未将服务器 1 视为可访问。 “peer”输出显示 Autokey 协议存在问题:
ntpq> pe
remote refid st t when poll reach delay offset jitter
==============================================================================
-192.5.41.40 .PTP. 1 u 1 64 177 26.081 -2.240 4.083
+ntp.colby.edu .GPS. 1 u 15 64 177 23.506 0.343 0.530
+navobs1.oar.net .GPS. 1 u 19 64 177 26.477 1.622 0.758
*gnomon.cc.colum .USNO. 1 u 13 64 177 11.332 0.985 0.713
-navobs1.gatech. .GPS. 1 u 17 64 177 34.621 -1.261 0.753
Server1. .CRYP. 16 u 410 64 0 0.000 0.000 0.000
服务器2上的cryptstats文件error 10f opcode 2010000 ts 3632247548 fs 4259841重复指示。然而,我找不到任何东西可以用简单、可识别的术语解释该错误或该操作码的含义。
让我更沮丧的是,当我让所有五台服务器都运行时,有些服务器能够与 Server1 通信,而其他服务器(例如 Server2)则不能。
Server1 ntp.conf
该文件适用于 Server1。除了对等点和服务器列表之外,所有 NTP 服务器都是相同的。该peer列表发生更改,使得服务器不再被列为其自己的对等方。一台服务器与另一台服务器的列表server略有不同,因此所有服务器上至少有一个不同的时间源。
restrict default kod notrap
restrict 127.0.0.1
driftfile /var/lib/ntp/drift
logfile /var/log/ntp.log
server tick.usno.navy.mil iburst
server ntp-s1.cise.ufl.edu iburst
server ntp.colby.edu iburst
server navobs1.oar.net iburst
server gnomon.cc.columbia.edu iburst
peer server2 iburst autokey
#peer server3 iburst autokey
#peer server4 iburst autokey
#peer server5 iburst autokey
crypto
includefile /etc/ntp/crypto/pw
keysdir /etc/ntp/crypto/
statistics clockstats cryptostats loopstats peerstats
statsdir /var/lib/ntp/ntpstats/
filegen clockstats file clockstats type day enable
filegen cryptostats file cryptostats type day enable
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
我还在 Server1 上生成了新密钥。这没有帮助。
更新:看来,如果我关闭ntpd两台服务器,然后将其重新启动(不是重新启动,而是停止...启动),那么第一个出现的服务器能够成功通信,而第二个出现的服务器则显示CRYPrefid 。我对此进行了测试,先启动 Server1,然后启动 Server2,并看到 Server1 在 Server2 显示 时能够成功通信CRYP。然后我颠倒了顺序,Server2 能够成功通信,而 Server1 显示CRYP。