суббота, 22 октября 2011 г.

памятка ntp


Памятка:

если есть одна машина, которой надо синхронизировать время с внешним источником, а затем раздавать это время всем остальным ВМ и хостам виртуальной инфраструктуры.
1) Для NTP сервера (Windows server) – Настройка точного времени в домене Windows 2003 / 2008 / 2008 R2.
2) Для Windows клиентов NTP
net time /setsntp:{адрес сервера ntp} && net stop w32time && net start w32time && w32tm /resync 
(если эти сервера в AD, то данные действия не требуются, настройка синхронизации временем будет автоматом)

15 комментариев:

  1. Михаил, Вы добавьте, что это всё для машин вне домена. Доменные машины должны с DC синхронизироваться, что они и делают by default.

    PS Лично я встречался с конфигурацией, где это правило нарушили, а потом получили проблемы.

    ОтветитьУдалить
  2. А что насчёт синхронизации посредством VMware tools?

    Вроде бы утверждалось, что по крайней мере в пятёрке это едва ли не самый предпочтительный способ...

    ОтветитьУдалить
  3. вроде как в пятерке он стал неплох..но вряд ли он стал лучше чем ntp :-)

    потом, самим серверам ESXi тоже нужен ntp.

    ОтветитьУдалить
  4. ESXi, разумеется (кстати, надо бы при случае проверить, принимает ли ESXi DHCP option ntp-servers)

    но вот я встречал упоминания, что следует избегать *одновременной* установки NTP и синхронизации с гипервизором, потому что высока вероятность осцилляции временных счётчиков ядра гостевой системы

    вообще, timekeeping в виртуализации -- одно из самых тонких, чтобы не сказать больных, мест.

    ОтветитьУдалить
  5. dmarck, а откуда хосты возьмут точное время?

    "Если у вас только одни часы, вы точно знаете, который час; а если у вас двое часов, вы никогда не узнаете точного времени."
    Ли Сигалл.

    ОтветитьУдалить
  6. chmv, а они сферические в вакууме стоят? как минимум, у них есть (возможно, резервированный) дефолт роутер (cisco, *NIX box, DD-Wrt, чёрт в ступе ;). Странно на нём не держать NTP, благо это нынче умеют все.

    ОтветитьУдалить
  7. одновременно то не надо, это да.

    но вроде тут никто этого и не утверждал :-)

    ОтветитьУдалить
  8. dmarck, была тут у меня ситуация... Как раз с этой галкой. DC получал время по этой галке с хоста. А вот хост... А хост в какой-то момент "поломался", и время не получал. И через три года после такой "настройки" случился аврал, когда никто не мог понять, почему авторизация в некоторые места не проходит.

    С тех пор правило, ntp сервер один, синхронизируется по правилам включения в пул ntp серверов ( http://www.pool.ntp.org/ru/join/configuration.html ), и все берут время с него. Ну кроме членов AD, которые с DC берут.

    ОтветитьУдалить
  9. собственно, КМК, бОльшая часть проблем возникает из-за того, что NTP подкручивает в ядре ОС скорость хождения timekeeper (tsc, acpi, hpet), а все они под гипервизорами так или иначе страдают

    К нынешнему времени основную массу затыков вроде как решили, но то, что это "Путь Истинного Воина, Опытного в Беге по Граблям"[tm] ;-) следует помнить

    ОтветитьУдалить
  10. chmv, ну, у нас в лавке есть специальная запись ntp.rinet.ru, отдающая 3 RR, каждый из которых ведёт на сервер, синхронизирующийся с *разным* комплектом Stratum 1; и все синхронизируются с ними.

    Но мы-то ISP, нам в этом проще несколько...

    ОтветитьУдалить
  11. "с *разным* комплектом Stratum 1"

    Что я там про несколько часов писал? :(

    ОтветитьУдалить
  12. chmv, мнэээ, Stratum1 на то и создан, чтобы сходимость по Ляпунову обеспечивать. И знать размер доверительного интервала, не?

    2^-19 для не-свежеперезагруженного хоста -- норма

    ОтветитьУдалить
  13. dmarck, наша дискуссия вышла за пределы блога Михаила. Да и Вы мне сейчас ответили/спросили ну совсем не про ту проблему, на которую я Вам показать хотел. В Ваших рассуждениях Вы подразумеваете тот факт, что stratum 1 сервера надежны. В Ваших рассуждениях всё будет без проблем работать в нормальных условиях. Но не дай Бог катастрофа или война, и я не уверен, что все ваши три s2 сервера будут отдавать одинаковое время. А если там еще преобладают GPS источники (пофиг, с PPS или без), то в случае военных действий владельца GPS, там вообще бардак можно получить. Я понятно изложил принцип "двух часов"? Плохо не то, что s1 серверов много, а то, что Вы, в одной инфраструктуре, используете три разных набора, в результате получая трое разных часов.

    ОтветитьУдалить
  14. Да, действительно, мы отдалились.

    Напоследок: если один сервер будет отдавать неправильное время, Вы этого можете не заметить. А вот если инфраструктура станет нестабильной -- заметите. Что до источников, то у нас так (сортировка по количеству):

    14 .GPS.
    8 .PPS.
    4 .USNO.
    2 .INIT.
    2 .CTD.
    2 .ACTS.
    1 .WWV.
    1 .CDMA.
    1 .0x7f.

    Как видим, все они на слуычай военных действий, мягко говоря, непригодны ;)

    ОтветитьУдалить