[fox_m]

Всем привет.

 

На данный момент NTP сервер настроен на Cisco роутере, от которого синхронизируются внутренние клиенты. Роутер, в свою очередь синхронизируется с публичными NTP. Неудобство в том, что если на CIsco указать доменное имя внешнего NTP, она резолвит его в ip и так записывает в конфиг. Соответственно, если ip сменится, то могут возникнуть проблемы. Вот и думаю, перенести NTP на обычный сервак, там можно явно доменное имя задать. Кто как поступает?

[andryas]

На чём угодно. Но железо желательно проверить на точность хода.

У меня первичный на штатном ntpd фряхи, вторичные вообще на микротиковских роутерах.

[fox_m]

3 минуты назад, andryas сказал:

На чём угодно. Но железо желательно проверить на точность хода.

У меня первичный на штатном ntpd фряхи, вторичные вообще на микротиковских роутерах.

На VMware (ESXi) имеет смысл? У нас 90 серверов на ESXi. Железный сложно найти

[andryas]

8 minutes ago, fox_m said:

На VMware (ESXi) имеет смысл? У нас 90 серверов на ESXi. Железный сложно найти

 

Естественно, служба пустяковая по ресурсам.

[snvoronkov]

38 минут назад, fox_m сказал:

На VMware (ESXi) имеет смысл? У нас 90 серверов на ESXi. Железный сложно найти

Имею мнение, что не надо так делать. Тут вот такой вот как-раз сервачек бутнули по питанию. Часики уплыли на 15 минут. :-( Что-то там с синхронизацией аппаратных часов в ней не алё.

 

Зы: Первичные для сети - фря с openntpd (задолбали дыры isc-шного) + ждун для коммутаторов/роутеров.

[fox_m]

34 минуты назад, snvoronkov сказал:

Имею мнение, что не надо так делать. Тут вот такой вот как-раз сервачек бутнули по питанию. Часики уплыли на 15 минут. :-( Что-то там с синхронизацией аппаратных часов в ней не алё.

 

Зы: Первичные для сети - фря с openntpd (задолбали дыры isc-шного) + ждун для коммутаторов/роутеров.

Что за ждун такой,)

[snvoronkov]

4 минуты назад, fox_m сказал:

Что за ждун такой,)

Джун, конечно. :-) Обычный такой. MX80.

 

(Вроде, гребаный спелчекер вырубил, но после ребута планшета опять прорвался, курва!)

[fox_m]

12 минут назад, snvoronkov сказал:

Джун, конечно. :-) Обычный такой. MX80.

 

(Вроде, гребаный спелчекер вырубил, но после ребута планшета опять прорвался, курва!)

Кстати, на джунипере можно задать доменные имена для ntp? Мой Cisco ASR сразу преобразует их в ipшники, зараза.

Edited May 4, 2018 by fox_m

[snvoronkov]

6 минут назад, fox_m сказал:

Кстати, на джунипере можно задать доменные имена для ntp? Мой Cisco ASR сразу преобразует их в ipшники, зараза.

Я не пробовал. Обхожусь пачкой ip извесных источников времени в РФ. И изредка спрошаю "ntpq -pn" насчет синхронизации и доступности.

[taf_321]

Заведите где-нибудь малинку под любым доступным линухом, подрубите к ней какой-нибудь недорогой китайский GPS-приемник, и будет у вас в сети честный Stratum1. Для надежности сразу два таких поставьте и везде в настройках указывайте их оба. Даже без заморачивания с PPS получается хорошая точность порядка сотен нс.

 

12 часов назад, fox_m сказал:

На VMware (ESXi) имеет смысл? У нас 90 серверов на ESXi. Железный сложно найти

Крайне неудачная мысль. Любые манипуляции с виртуалкой сбивают ее внутренние часы относительно внешнего мира. Возможно это и покажется не страшным, а возможно от этого бахнет что-то очень важное (сам наблюдал развалившийся кластер CEPH у которого ноды по времени синхронизировались на ntp в виртуалке).

[Ivan_83]

В 04.05.2018 в 20:11, andryas сказал:

У меня первичный на штатном ntpd фряхи

 

В 04.05.2018 в 20:58, snvoronkov сказал:

Зы: Первичные для сети - фря с openntpd (задолбали дыры isc-шного) + ждун для коммутаторов/роутеров.

+1

ntpd от ISC просто затрахал.

1. Дыры. Раз в год там находят от одной до десятка дыр. Уже 10 лет.

2. Это говно ломается и коряво документировано.

 

OpenNTPd просто поставил и забыл. Конфиг на пару строчек, просто и понятно, ничего лишнего.

 

Можно ещё какуюнить GPS железку купить, и использовать её как источник времени, всё с тем же OpenNTPd или поделием от ISC.

[taf_321]

8 часов назад, Ivan_83 сказал:

ntpd от ISC просто затрахал.

Хм... разве ntp.org это ISC-шная деляна?

8 часов назад, Ivan_83 сказал:

1. Дыры. Раз в год там находят от одной до десятка дыр. Уже 10 лет.

2. Это говно ломается и коряво документировано.

По дырам, никто не заставляет выставлять свой NTP-сервер на всеобщее обозрение, его вообще в приватных адресах поднять желательно. А вот по документации...

8 часов назад, Ivan_83 сказал:

Можно ещё какуюнить GPS железку купить, и использовать её как источник времени, всё с тем же OpenNTPd

..так изначально и не смог скрестить OpenNTPd + GPS via USB. До того, как понадобилось точное время независимое от интернета, использовал его, но с появлением GPS пршлось переползать на сервер от ntp.org, где данный момент в документации описан и показан.

 

Кстати, для операторов связи, кому требутеся точное синхронизированное время я вообще не вижу смысла использования внешних публичных NTP-серверов. Цена поднятия своего Stratum1 с синхрой от спутника сейчас в районе 10 тыс рублей (ок, 20 тыс, ибо надо резервирование).

[YuryD]

 А зачем мне спутник ? Хватает того, что время в логах не сильно бы разбегалось, ну и коммутаторы его бы брали. У меня есть место и немного электро для питания древней киско1750, она и служит для моей инфраструктуры часиками. Клиентам такой услуги не предлагаю. ntp-серверы прописаны давно ручками по ip, с разрешением от их хозяев. Ну и крутой стратум мне не нужен.

[taf_321]

1 час назад, YuryD сказал:

 А зачем мне спутник ?

Хотя бы потому, что работа завязанных на время компонент не зависит от наличия-отсутствия внешних каналов. Да, пока "чтобы логи не разбегались", потом еще для чего-нибудь более требовательного приспичит.

 

Кстати, после поднятия локального NTP от спутника обнаружил, что раздаваемое по pool.ntp.org имеет отношение к точному весьма и весьма отдаленно. Первое время источниками были и спутник и сетевое время с pool.ntp.org. Почти у трети предложенных серверов время разбежки со спутником доходит до пяти минут.  Были уникумы с 15-20 минутной разницей. Почему ЭТО отдается людям и заявляется минимум Stratum 3 тайна великая есть.

[YuryD]

41 минуту назад, taf_321 сказал:

Были уникумы с 15-20 минутной разницей. Почему ЭТО отдается людям и заявляется минимум Stratum 3 тайна великая есть.

 Если бы мне кто рассказал, откуда винда время берёт. С опсосами - понятно. У меня всё похоже на точное время, древняя киска берёт с древних серверов, коммутаторы от неё с удовольствуем тоже берут. На верхний стратум не претендую.

 И что мне мешает посмотреть ntp status и ntp-соседей ?

[alibek]

1 час назад, taf_321 сказал:

pool.ntp.org.

Так надо региональный пул брать, будет точнее, не более нескольких секунд.

[taf_321]

1 час назад, alibek сказал:

Так надо региональный пул брать, будет точнее, не более нескольких секунд.

Брал и смотрел. Сервера времени там подняты зачастую "по приколу". Откуда сами берут время - ХЗ, из, где-то полусотни перебранных серверов только один сказал что у него источником служит железка с PPS, но он был один и пинг больше секунды.

[YuryD]

 Ну вот древнее, но время даёт. Понятно что один из них - дохлый, но дисперсия и офсет в норме при таком делее.

 Пора кстати сервера почистить...

 

Lorraine#sho ntp ass

      address         ref clock     st  when  poll reach  delay  offset    disp
 ~91.226.136.136   0.0.0.0          16     -  1024    0     0.0    0.00  16000.
*~88.147.254.232   88.147.254.229    2    33   128  377    45.9   -0.49     6.0
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

 

[sol]

А чем досточтимых донов не устроили сервера ВНИИФТРИ ?

 

 

[YuryD]

18 минут назад, sol сказал:

А чем досточтимых донов не устроили сервера ВНИИФТРИ ?

 

 

 IP в студию, с удовольствием возьму.

[sol]

Их там цельная инфраструктура. Географически распределённая.

Лучше поглядеть на сайте, он он у меня не открывается отчего-то.

 

У меня вот:

server ntp1.vniiftri.ru iburst
server ntp2.vniiftri.ru iburst
server ntp3.vniiftri.ru iburst
server ntp4.vniiftri.ru iburst
server ntp21.vniiftri.ru iburst
server ntp1.niiftri.irkutsk.ru iburst
server ntp2.niiftri.irkutsk.ru iburst
server vniiftri2.khv.ru iburst
server vniiftri.khv.ru iburst

 

[Ivan_83]

11 часов назад, YuryD сказал:

Если бы мне кто рассказал, откуда винда время берёт.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers]
"1"="time.windows.com"
"2"="time.nist.gov"
"3"="time-a.nist.gov"
"4"="time-b.nist.gov"
"5"="time-nw.nist.gov"

 

 

5 часов назад, sol сказал:

Их там цельная инфраструктура. Географически распределённая.

Ещё есть:

servers            ntp.ubuntu.com
servers            0.freebsd.pool.ntp.org

 

[Ivan_83]

6 часов назад, sol сказал:

Лучше поглядеть на сайте, он он у меня не открывается отчего-то.

 

У меня вот:

Закапывай, почти ничего не работает:

 

89.109.251.21 from pool ntp1.vniiftri.ru
    1 10  3   30s   32s        -0.094ms     0.179ms     0.107ms
89.109.251.22 from pool ntp2.vniiftri.ru
    1 10  3   25s   30s        -0.089ms     0.131ms     0.034ms
89.109.251.23 from pool ntp3.vniiftri.ru
    1  2  - 2794s 3135s             ---- peer not valid ----
89.109.251.24 from pool ntp4.vniiftri.ru
    1  2  - 2922s 3263s             ---- peer not valid ----
89.109.251.25 from pool ntp21.vniiftri.ru
    1  2  - 2889s 3230s             ---- peer not valid ----
46.254.241.74 from pool ntp1.niiftri.irkutsk.ru
    1  2  - 2876s 3217s             ---- peer not valid ----
46.254.241.75 from pool ntp2.niiftri.irkutsk.ru
    1  2  - 2696s 3037s             ---- peer not valid ----
212.19.17.26 from pool vniiftri2.khv.ru
    1  2  - 2771s 3112s             ---- peer not valid ----
212.19.6.218 from pool vniiftri.khv.ru
    1  2  - 2747s 3088s             ---- peer not valid ----

 

[sol]

Не согласен:

[root@ns1 ~]# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
-ntp3.vniiftri.r .MRS.            1 u  907 1024  377    4.868    0.368   0.865
+ntp4.vniiftri.r .IRIG.           1 u  607 1024  377    4.328   -0.056   0.267
+smtp.vniiftri.r 89.109.251.21    2 u  885 1024  377    4.385    0.008   0.137
-ntp1.niiftri.ir .MRS.            1 u   41 1024  377   70.320   -3.845   0.105
-ntp2.niiftri.ir .MRS.            1 u  769 1024  377   71.025   -6.306   0.589
-212.19.17.26    .PPS.            1 u  558 1024  377   98.576   -0.939   0.564
-vniiftri.khv.ru .PPS.            1 u  514 1024  377   96.185    0.185   0.260
-ntp1.vniiftri.r .MRS.            1 u  586 1024  377    4.909    0.451   0.097
*ntp2.vniiftri.r .MRS.            1 u  710 1024  377    4.103   -0.066   0.258

 

[Ivan_83]

хз, сейчас и у меня ожили.

Амерские колбасит

129.6.15.28 from pool time.nist.gov
    1  2  -  248s  300s             ---- peer not valid ----
2610:20:6f15:15::27 from pool time.nist.gov
    1  9  1    6s   33s         0.455ms   121.531ms     0.895ms
129.6.15.28 from pool time-a.nist.gov
    1  2  -  254s  300s             ---- peer not valid ----
129.6.15.29 from pool time-b.nist.gov
    1  2  -  250s  300s             ---- peer not valid ----
131.107.13.100 from pool time-nw.nist.gov
    1  2  -  241s  300s             ---- peer not valid ----