Problèmes NTP

Fermé
sonya06 - 14 févr. 2005 à 09:38
[Dal] Messages postés 6196 Date d'inscription mercredi 15 septembre 2004 Statut Contributeur Dernière intervention 11 décembre 2024 - 16 févr. 2005 à 10:35
Bonjour Dal, Bonjour Epinard, Bonjour tout le monde !!!

à partir de mon client redhat, je fais
nmap -n -sU -p 123 IPduSERVEUR 


voici ce qu'il m'affiche:

Starting nmap V. 2.54BETA22 (www.insecure.org/nmap/ )
Interesting ports on (10.50.130.20):
Port State Service
123/udp open ntp

Nmap run completed -- 1 IP adress (1 host up) scanned in 4 seconds


sur le client (tous les services ntp sont bien présents d'après
which command
), je fais un ntpdate S005 (S005 est le nom de mon serveur de temps, le ping marche), et il m'affiche:

14 Feb 08:55:56 ntpdate[1274]: no server suitable for synchronization found


donc mon ntpdate ne marche pas apparemment. j'ai donc suivi ce qu'à dit Louis avec la procédure pour configurer ntp.conf, mettre l'ip du serveur dans step-tickers (merci louis), lancer chkconfig ntpd on.

je lance le démon (sans avoir lancé ntpdate puisqu'il marchait pas)
service ntpd start


et dans mon log (var/log/ntpd.log), il m'indique exactement la même chose tous les heures:

14 Feb 07:00:25 ntpd[956]: offset 0.000000 sec freq 0.000 ppm error 0.000015 poll 4


14 Feb 08:00:25 ntpd[956]: offset 0.000000 sec freq 0.000 ppm error 0.000015 poll 4


14 Feb 09:00:25 ntpd[956]: offset 0.000000 sec freq 0.000 ppm error 0.000015 poll 4



et quand je fais un ntptrace pour connaitre l'écart horaire avec le serveur de temps, je remarque que mon offset se retarde de plus en plus, et que le démon n'a pas l'air de se synchroniser. A chaque heure c'est le même message dans mon log et l'heure du client se retarde de plus en plus jusqu'à atteindre plusieurs minutes de retard en même pas une journée. je croyais qu'un démon travaille régulièrement et en permanence en gros toutes les heures. pourriez-vous m'aider s'il vous plait, je vous en serai très reconnaissante !!

merci 1000 fois
A voir également:

10 réponses

ntpdate ne marchait pas, mais maintenant j'utilise ntpdate -u S005 (bien que je ne sais pas à quoi ça correspond) et il marche.

voici le contenu de mon fichier ntp.conf:

logfile all
logfile /var/log/ntpd.log
server S005
driftfile /etc/ntp/drift
multicastclient
braodcastdelay 0.008
authenticate no


mon problème c'est que lorsque je fais un ntpq -p, j'ai ceci :

remote     refid    st  t    when    poll    reach   delay    offset    jitter 
========================================
S005     0.0.0.0   16  u   -            64     0      0.000   0.000  4000.00 





et là je vois qu'il n'y a pas d'etoile devant S005 alors qu'il devrait y en avoir un pour signifier que tous ce passe bien et qu'il est bien le serveur auquel je me synchronise. pourquoi n'ya t-il pas d'etoile et comment on fait pour qu'il y en ai un ?

merci
0
[Dal] Messages postés 6196 Date d'inscription mercredi 15 septembre 2004 Statut Contributeur Dernière intervention 11 décembre 2024 1 092
14 févr. 2005 à 14:34
Sonya,

Celà ressemble à un problème de firewall.

ntpdate peut être lancé pour utiliser un port "non-privilégié" avec l'option -u que tu as utilisée.

En revanche ntpd nécessite que le port UDP 123 ne soit pas bloqué et ce dans les 2 sens de communication sur tous les firewalls entre le client et le serveur ntpd.


Dal
0
oui mais là rien est bloqué entre les deux

"ntpdate peut être lancé pour utiliser un port "non-privilégié" avec l'option -u que tu as utilisée"
je comprend pas grand chose à cette phrase, toujours est-il que mon offset s'eloigne de plus en plus de 0, c'est aussi un problème de firewall ? et mon fichier ntp.conf, il est correct ?
0
[Dal] Messages postés 6196 Date d'inscription mercredi 15 septembre 2004 Statut Contributeur Dernière intervention 11 décembre 2024 1 092
14 févr. 2005 à 15:20
Les ports "non-privilégiés" sont les ports supérieurs à 1023.

Les ports en dessous de 1024 sont ceux sur lesquels tournent des services "importants" (tu as une liste des ports et des services correspondants au dessus et en dessous de cette limite dans ton fichier /etc/services).

Pour tester, ferme les firewall sur le serveur et sur le client (s'il est activé), et reteste (le démon ntp devrait synchroniser, pour aller plus vite essaye ntpdate sans l'option "-u", celà devrait marcher).

Remets les firewalls en marche en commençant par le serveur et reteste, puis le client et resteste.

Etant sous FreeBSD, je n'utilise pas IPTables. D'après ce que j'ai vu il semblerait que les règles à intégrer à IPTables doivent ressembler à çà :
/sbin/iptables -A INPUT -p udp --dport ntp -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport ntp -j ACCEPT

A vérifier donc... Ainsi le firewall laisse passer les paquets destinés au port 123 et provenant d'un port 123. Bien sûr, tu peux renforcer les restrictions en rajoutant des conditions pour que n'importe qui n'accède pas au service ntpd.


Dal
0
je viens de comprendre pourquoi ça marchait pas. mon linux se trouve sur un VmWare Workstation, et donc peut etre qu'il a des problèmes au niveau des paquets NTP ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
j'ai vu quelque part que vmware "casse" les paquets. c'est peut etre à cause de ça ?
0
[Dal] Messages postés 6196 Date d'inscription mercredi 15 septembre 2004 Statut Contributeur Dernière intervention 11 décembre 2024 1 092
15 févr. 2005 à 11:05
Salut Sonya,

Je ne connais pas vmware, désolé.

En faisant abstraction du fait que tu tournes sur wmware, pour moi, celà ressemble à un problème de firewall, étant donné que "ntpdate -u" fonctionne...

Mais là, je suppose qu'il peut y avoir une montagne d'autres explications possibles. Tu devrais chercher sur http://www.vmware.com/support/ les docs, faq, forums et newsgroups indiqués.

Je suppose aussi que si ton Windows sur lequel vmware est exécuté fait déjà tourner un service de synchronisation de temps, celà peut aussi occasionner des problèmes.


Dal
0
merci mais ma machine windows host n'est pas du tout raccordé à un service de synchro quelconque

tu pense que c'est un problème de firewall, mais j'ai demandé aux administrateurs et ils me disent qu'il n'y a pas de firewall bloqué.

autre problème que je n'arrive toujours pas à résoudre: toujours la même ligne log tous les heures:

15 Feb 09:00:25 ntpd[956]: offset 0.000000 sec freq 0.000 ppm error 0.000015 poll 4


15 Feb 10:00:25 ntpd[956]: offset 0.000000 sec freq 0.000 ppm error 0.000015 poll 4


15 Feb 11:00:25 ntpd[956]: offset 0.000000 sec freq 0.000 ppm error 0.000015 poll 4
0
epinard Messages postés 198 Date d'inscription mardi 7 décembre 2004 Statut Membre Dernière intervention 5 mars 2006 27
15 févr. 2005 à 13:51
Je ne connais pas wmWare. Comme c'est un émulateur ou une couche d'interface, je ne suis pas sûr que toutes les fonctions soient emulées.
j'ai vu quelque part que vmware "casse" les paquets :
les paquets du serveur de temps sont reçus par la pile IP de Windows qui ne sait peut être pas quoi en faire.

L'horloge de Linux peut-être celle de l'OS qui tourne en dessous.

Pour ta ligne [ntp] dans les logs, je n'ai pas grand chose dans les logs de NTP. sauf les démarrages du daemon.
0
merci

Pour ta ligne [ntp] dans les logs, je n'ai pas grand chose dans les logs de NTP. sauf les démarrages du daemon.

et connaitrais-tu pas l'interprétation de ces lignes ou ce qu'ils signifient ?

15 Feb 10:00:25 ntpd[956]: offset 0.000000 sec freq 0.000 ppm error 0.000015 poll 4
0
[Dal] Messages postés 6196 Date d'inscription mercredi 15 septembre 2004 Statut Contributeur Dernière intervention 11 décembre 2024 1 092
16 févr. 2005 à 10:35
Sonya,

La ligne de tes logs indique une "erreur 0.000015" semble-t-il, qui a probablement la même cause que l'échec de ntpdate sans l'option -u (si tu veux vraiment savoir, essaye de trouver la signification de cette erreur dans la doc ntpd, j'ai cherché rapidement mais rien trouvé sur les codes d'erreur... s'il n'y a rien dans la doc, il faut rtfs, bon courage :).

Apparemment tu n'as pas accès à l'administration du serveur sur lequel se trouve ton serveur de temps. Sais-tu si d'autres machines de ton réseau arrivent à se synchroniser avec le même serveur ? Comment ?

Comme je te l'ai dit la particularité de la synchronisation sur la machine cliente avec le démon ntpd est que la communication doit être ouverte pour le trafic UDP destiné au port 123 *et* provenant du port 123. Es-tu sûre et certaine que tes administrateurs n'auraient pas "oublié" d'autoriser le trafic *dans les deux sens* sur le serveur ?

En attendant, tu peux toujours te synchroniser avec "ntpdate -u", en mettant une tâche cron qui effectue cette synchronisation à des heures que tu peux définir.

Bien évidemment, pour que ta machine windows synchronise, il faudra que vmware soit systématiquement lancé... ce qui est, entre nous, un peu lourd, juste pour synchroniser une horloge.

Tu pourrais simplement utiliser un client Windows ntp pour le faire. Voir http://www.commentcamarche.net/forum/affich-1232431-CRON#17 pour une récente discussion sur le sujet.


Dal
0