19.7. Настройка нескольких локальных серверов времени

Проблема

Локальный сервер времени перегружен, и для равномерной нагрузки в сети необходимо установить дополнительные серверы. Эти серверы должны всегда синхронизироваться друг с другом, чтобы поддерживать стабильную работу всей сети.

Решение

В следующем примере два внутренних сервера, server1 и server2, синхронизируются с us.pool.ntp.org и также поддерживают синхронизацию друг с другом. Настройте файл /etc/ntp.conf для каждого сервера с нужными параметрами.

# /etc/ntp.conf для server1
driftfile /etc/ntp.drift
logfile /var/log/ntp.log

# Политика доступа по умолчанию
# Запретить весь трафик ntp, который не был специально разрешен
restrict default ignore

# Список серверов ntp
server pool.ntp.org
server pool.ntp.org
server pool.ntp.org
peer server2

# Разрешить синхронизацию с другим сервером
# Запретить изменения конфигурации во время выполнения
# Запретить remote logging
restrict server2 nomodify notrap

# Локальный хост не ограничивается
restrict 127.0.0.0 mask 255.0.0.0

Файл /etc/ntp.conf для сервера server2 настраивается аналогично, но ссылки на server2 заменяются ссылками на server1. После этого настройте клиентов в локальной сети так, как описано в разделе 23.2:

# Файл /etc/ntp.conf для клиентов
driftfile /etc/ntp.drift
logfile /var/log/ntp.log
server server1
server server2

Комментарий

Вы можете создать столько дополнительных серверов, сколько необходимо для поддержания стабильной работы сети; даже рабочие станции могут синхронизироваться друг с другом. Поддерживайте конфигурацию как можно более простой для предотвращения ошибок и улучшения производительности. Использование одноранговой синхронизации с общедоступными серверами времени не рекомендуется, поскольку они не доверяют вашим серверам, и это может вызвать проблемы с внешними системными администраторами.

Кроме того, установите регулярное обновление времени для внутренних серверов, чтобы уменьшить нагрузку на основной сервер и избежать асинхронных ошибок. В целях безопасности используйте ограничения для NTP, применяя правило restrict в конфигурации, чтобы только определённые серверы могли подключаться к вашей системе и синхронизировать время. Убедитесь, что вы закрыли внешние порты, если ваши серверы не предназначены для публичного доступа, и используйте firewall для ограничения входящих запросов.

Для более надёжной работы сети и защиты от сбоев используйте несколько локальных серверов времени, чтобы клиенты могли переключиться на доступный сервер при необходимости. Важно также обеспечить резервное копирование конфигурационных файлов NTP и регулярно проверять журнал /var/log/ntp.log на предмет ошибок синхронизации и любых отклонений.

См. также

Документация по дистрибутиву; локальная документация (/usr/share/doc/ntp-doc/html) или документация в Интернете (http://www.ntp.org/documentation.html); веб-сайт ntp.org (http://www.ntp.org/); архивы группы Usenet comp.protocols.time.ntp.