如何用CentOS 建立你的NTP服務器解決方案

NTP1

最后更新：20171110VT

 

（本文檔也適用于設置 NTP2、NTP3 和 NTP4 服務器以形成 NTP 服務器群）

 

設置日期：201X-XX-XX

服務器名稱：NTP1.yourdomain.com

服務器操作系統：CentOS7

服務器操作系統映像/ISO/VM 模板：CentOS-7.0-1406-x86_64-DVD.iso

服務器網絡：DC1 DMZ

服務器 IP 地址：192.168.254.70/24

 

NTP 服務器場網絡圖：

第 1 部分：構建 NTP 服務器

第 1 步：預操作系統安裝

1) EDGE FW SETTING（根據您的 FW 供應商執行類似的設置）：

為服務器創建新節點為 dmz_192.168.254.70_ntp1

 

2) 為來自 DMZ 的 NTP1 出口流量設置 NAT： 

（使用您的 FW 默認值）與網關相同/隱藏在網關后面 

 

3) 為 NTP1 出口設置防火墻策略：

允許 HTTP (TCP/80) – 用于更新和升級

允許 NTP (UDP/123) – 用于公共 NTP 請求

允許 DOMAIN (UDP/53) – 用于公共 DNS 請求

 

4) 為入口 NTP 請求設置防火墻策略：

允許 NTP (UDP/123) – 用于內部 (LAN/WAN) NTP 請求

 

第 2 步：安裝 CentOS

CentOS 安裝總結：

日期和時間：選擇“美洲/洛杉磯”時區，選擇“AM/FM”

鍵盤：（默認）

語言支持：（默認）

安裝源：（默認）

軟件選擇：選擇最小安裝和兼容性庫

安裝目標：選中“我將配置分區”。然后點擊“完成”

下一個屏幕：選擇 LVM，然后單擊“單擊此處自動創建它們”。

下一個屏幕：沒有調整，然后單擊“完成”

下一個屏幕：查看它，然后單擊“接受更改”

 

 

NETWORK & HOSTNAME：在 Hostname 框中輸入 FQDN，然后單擊“Configure...”，然后如下設置 IPv4。

將連接名稱更改為 eth0（可選），或接受默認名稱“ens32”

單擊“保存...”，將以太網按鈕“打開”，然后單擊“完成”

點擊“開始安裝”

 

安裝過程正在進行時，單擊 ROOT PASSWORD 和 USER CREATION 以完成配置，如下所示。

 

根密碼：你的密碼

 

用戶創建：管理員，勾選“使用戶成為管理員”

 

安裝完成，點擊“重啟”

 

由于它是最小安裝，您只能登錄到命令行。

 

網絡配置：

網絡配置文件位于/etc/sysconfig/network-scripts/ifcfg- ens32  （或-eth0 ）

使用#nmtui通過網絡管理 TUI 編輯網絡設置

使用 # nmcli快速查看或編輯網絡設置

通過 vi、nmtui、nmcli 等對 ifcfg-ens32 文件進行更改后，運行 # service network restart 。

 

使用 # ip a sh或ipaddr列出所有網卡

使用 # ip link或ip –s link獲取其他鏈接狀態

 

 

第 3 步：操作系統后安裝

獲取最新更新：

運行#yum update

 

設置 NTP 服務：

 

1) 運行#yum install ntp安裝NTP服務

2) 通過#vi /etc/ntp.conf編輯ntp.conf 文件

• 找到 pool.ntp.org 部分，然后更改為您所在區域的正確 NTP 服務器池區域（轉到http://www.pool.ntp.org/zone/以查找您所在區域的 NTP 服務器池區域）
• NTP 服務器池建議使用“server time.nist.gov iburst”（http://tf.nist.gov/tf-cgi/servers.cgi）

time.nist.gov是所有服務器/多個位置的全球地址

• 添加限制 xxxx 網絡掩碼 255.255.xx nomodifynotrap以允許其他人訪問此NTP。nomodifynotrap語句表明您的客戶端不允許配置服務器或用作時間同步的對等方。

 

3) 在文件末尾添加日志文件 /var/log/ntp.log以排除或驗證 NTP 服務，完成后應將其刪除。

剪切和粘貼：

# 創建 NTP 日志用于故障排除

# 日志文件 /var/log/ntp.log

 

設置 CentOS 固件：

 

只允許最低要求的端口。默認情況下，端口 dhcpv6-client 和 ssh 是打開的。您必須添加 NTP 端口。

 

# firewall-cmd --add-service=ntp --permanent

#防火墻-cmd --reload

 

還運行下面的 firewall-cmd 來驗證 

#防火墻-cmd --state

# firewall-cmd --zone=public --list-all

 

 

第 2 部分：測試 NTP 服務

第 1 步：檢查 ntp 守護進程

更新 ntp.conf 后，您必須運行以下命令。

# systemctl 啟動 ntpd

# systemctl 啟用 ntpd

 

運行 # systemctl status ntpd以顯示 NTP 狀態

 

運行ntpq -p顯示 NTP 查詢

運行date -R以顯示當前日期/時間

 

額外的：

為 Windows 域中的所有計算機配置時間同步

 

 

第 2 步：從 Windows 機器測試

1. 打開 Windows PowerShell（或命令提示符）
2. 在命令提示符窗口中，鍵入以下行，其中 peers 是以逗號分隔的適當時間源的 IP 地址列表，用引號括起來，然后按 ENTER：
   w32tm /config /manualpeerlist:< peers> /syncfromflags:MANUAL /reliable：是/更新

 

您選擇的時間源取決于您的時區。例如，如果您的域控制器位于太平洋時區，則此行可能顯示為：
w32tm /config /manualpeerlist:131.107.1.10 /syncfromflags:MANUAL /reliable:YES /update

 

 

 

3. 按輸入。您應該會收到命令成功完成的消息。如果您遇到問題或類似的消息，如“發生以下錯誤：系統找不到指定的文件。(0x80070002)”，請參閱下面的疑難解答。

4. 要立即與外部時間服務器同步，請鍵入 w32tm /resync 并按 ENTER。您應該會收到命令成功完成的消息。

5. 運行 w32tm /query /peers 以確認對等體狀態為活動。

 

鍵入退出并按 ENTER。

 

第 3 部分：故障排除

Windows NTP (w32tm) 配置故障排除：

 

CentOS NTP 非活動（死）故障排除

通常是因為停止了 ntpd。只需通過“systemctl start ntpd”重新啟動 ntpd

運行“systemctl status ntpd”以確認服務處于活動狀態（正在運行）