如何用CentOS 建立你的NTP服务器解决方案

NTP1

最后更新：20171110VT

 

（本文档也适用于设置 NTP2、NTP3 和 NTP4 服务器以形成 NTP 服务器群）

 

设置日期：201X-XX-XX

服务器名称：NTP1.yourdomain.com

服务器操作系统：CentOS7

服务器操作系统映像/ISO/VM 模板：CentOS-7.0-1406-x86_64-DVD.iso

服务器网络：DC1 DMZ

服务器 IP 地址：192.168.254.70/24

 

NTP 服务器场网络图：

第 1 部分：构建 NTP 服务器

第 1 步：预操作系统安装

1) EDGE FW SETTING（根据您的 FW 供应商执行类似的设置）：

为服务器创建新节点为 dmz_192.168.254.70_ntp1

 

2) 为来自 DMZ 的 NTP1 出口流量设置 NAT： 

（使用您的 FW 默认值）与网关相同/隐藏在网关后面 

 

3) 为 NTP1 出口设置防火墙策略：

允许 HTTP (TCP/80) – 用于更新和升级

允许 NTP (UDP/123) – 用于公共 NTP 请求

允许 DOMAIN (UDP/53) – 用于公共 DNS 请求

 

4) 为入口 NTP 请求设置防火墙策略：

允许 NTP (UDP/123) – 用于内部 (LAN/WAN) NTP 请求

 

第 2 步：安装 CentOS

CentOS 安装总结：

日期和时间：选择“美洲/洛杉矶”时区，选择“AM/FM”

键盘：（默认）

语言支持：（默认）

安装源：（默认）

软件选择：选择最小安装和兼容性库

安装目标：选中“我将配置分区”。然后点击“完成”

下一个屏幕：选择 LVM，然后单击“单击此处自动创建它们”。

下一个屏幕：没有调整，然后单击“完成”

下一个屏幕：查看它，然后单击“接受更改”

 

 

NETWORK & HOSTNAME：在 Hostname 框中输入 FQDN，然后单击“Configure...”，然后如下设置 IPv4。

将连接名称更改为 eth0（可选），或接受默认名称“ens32”

单击“保存...”，将以太网按钮“打开”，然后单击“完成”

点击“开始安装”

 

安装过程正在进行时，单击 ROOT PASSWORD 和 USER CREATION 以完成配置，如下所示。

 

根密码：你的密码

 

用户创建：管理员，勾选“使用户成为管理员”

 

安装完成，点击“重启”

 

由于它是最小安装，您只能登录到命令行。

 

网络配置：

网络配置文件位于/etc/sysconfig/network-scripts/ifcfg- ens32  （或-eth0 ）

使用#nmtui通过网络管理 TUI 编辑网络设置

使用 # nmcli快速查看或编辑网络设置

通过 vi、nmtui、nmcli 等对 ifcfg-ens32 文件进行更改后，运行 # service network restart 。

 

使用 # ip a sh或ipaddr列出所有网卡

使用 # ip link或ip –s link获取其他链接状态

 

 

第 3 步：操作系统后安装

获取最新更新：

运行#yum update

 

设置 NTP 服务：

 

1) 运行#yum install ntp安装NTP服务

2) 通过#vi /etc/ntp.conf编辑ntp.conf 文件

• 找到 pool.ntp.org 部分，然后更改为您所在区域的正确 NTP 服务器池区域（转到http://www.pool.ntp.org/zone/以查找您所在区域的 NTP 服务器池区域）
• NTP 服务器池建议使用“server time.nist.gov iburst”（http://tf.nist.gov/tf-cgi/servers.cgi）

time.nist.gov是所有服务器/多个位置的全球地址

• 添加限制 xxxx 网络掩码 255.255.xx nomodifynotrap以允许其他人访问此NTP。nomodifynotrap语句表明您的客户端不允许配置服务器或用作时间同步的对等方。

 

3) 在文件末尾添加日志文件 /var/log/ntp.log以排除或验证 NTP 服务，完成后应将其删除。

剪切和粘贴：

# 创建 NTP 日志用于故障排除

# 日志文件 /var/log/ntp.log

 

设置 CentOS 固件：

 

只允许最低要求的端口。默认情况下，端口 dhcpv6-client 和 ssh 是打开的。您必须添加 NTP 端口。

 

# firewall-cmd --add-service=ntp --permanent

#防火墙-cmd --reload

 

还运行下面的 firewall-cmd 来验证 

#防火墙-cmd --state

# firewall-cmd --zone=public --list-all

 

 

第 2 部分：测试 NTP 服务

第 1 步：检查 ntp 守护进程

更新 ntp.conf 后，您必须运行以下命令。

# systemctl 启动 ntpd

# systemctl 启用 ntpd

 

运行 # systemctl status ntpd以显示 NTP 状态

 

运行ntpq -p显示 NTP 查询

运行date -R以显示当前日期/时间

 

额外的：

为 Windows 域中的所有计算机配置时间同步

 

 

第 2 步：从 Windows 机器测试

1. 打开 Windows PowerShell（或命令提示符）
2. 在命令提示符窗口中，键入以下行，其中 peers 是以逗号分隔的适当时间源的 IP 地址列表，用引号括起来，然后按 ENTER：
   w32tm /config /manualpeerlist:< peers> /syncfromflags:MANUAL /reliable：是/更新

 

您选择的时间源取决于您的时区。例如，如果您的域控制器位于太平洋时区，则此行可能显示为：
w32tm /config /manualpeerlist:131.107.1.10 /syncfromflags:MANUAL /reliable:YES /update

 

 

 

3. 按输入。您应该会收到命令成功完成的消息。如果您遇到问题或类似的消息，如“发生以下错误：系统找不到指定的文件。(0x80070002)”，请参阅下面的疑难解答。

4. 要立即与外部时间服务器同步，请键入 w32tm /resync 并按 ENTER。您应该会收到命令成功完成的消息。

5. 运行 w32tm /query /peers 以确认对等体状态为活动。

 

键入退出并按 ENTER。

 

第 3 部分：故障排除

Windows NTP (w32tm) 配置故障排除：

 

CentOS NTP 非活动（死）故障排除

通常是因为停止了 ntpd。只需通过“systemctl start ntpd”重新启动 ntpd

运行“systemctl status ntpd”以确认服务处于活动状态（正在运行）