notrust:客户端除非通过认证,否则指定的网段为不信任网段 #ntp4.2之后的版本,已经默认没有这个参数,如果你添加了,会报错的。
对应默认配置项:
restrict default kod nomodify notrap nopeer noquery #默认对所有client拒绝所有的操作
restrict -6 default kod nomodify notrap nopeer noquery
restrict 127.0.0.1 #允许本机地址的一切操作
restrict -6 ::1
3)server参数:设定上级时间服务器(非常重要的参数,内网ntp服务器和客户端都需要配置)
格式: server IP地址或域名 [prefer]
用途:IP地址或域名即为该NTP服务器指定的上级NTP服务器。当指定多个NTP服务器时,使用prefer参数的服务器优先级最高,如果都没有使用prefer参数,那么服务器的优先级则按从上到下的顺序依次由高到低。在指定上层服务器后,至少15min才会与上层NTP服务器进行时间校对。
默认配置项:
server 0.rhel.pool.ntp.org iburst
server 1.rhel.pool.ntp.org iburst
server 2.rhel.pool.ntp.org iburst
server 3.rhel.pool.ntp.org iburst
在实际操作中我的修改只有两点,分别为: restrict和server。如下图
4)ntp服务默认只会同步系统时间。若是希望ntp也同时能修改机器的硬件时间,则需要将硬件时间的修改加入配置文件:在/etc/sysconfig/ntpd文件中,添加SYNC_HWCLOCK=yes
5)除此之外,还有一个文件:/etc/ntp/step-tickers
在我的实际操作中,内网ntp服务器189没有修改这个文件的也没有问题,但是内网的ntp客户端如148和149都配置了,不配置的话148、149无法与189进行时间同步,出现的情况为:148、149等ntp客户端的ntpd服务虽然启动了,但是不会与189的ntp服务器进行同步,查看客户端ntp状态时会一直显示下图所示的状态
网上关于step-tickers文件的解释是:当ntpd服务启动时,会自动与该文件中记录的上层NTP服务进行时间校对。
关于ntp.conf and step-tickers区别:
step-tickers is used by ntpdate where as ntp.conf is the configuration file for the ntpd daemon. ntpdate is initially run to set the clock before ntpd to make sure time is within 1000 sec. ntp will not run if the time difference between the server and client by more then 1000 sec ( or there about). The start up script will read step-tickers for servers to be polled by ntpdate.
默认情况下,我们配置的NTP服务器不会去时间源那里同步时间,所以必须修改/etc/ntp/step-tickers文件,加入我们的时间源,这样每次通过/etc/init.d/ntpd 来启动服务的时候就会自动更新时间了。
4、防火墙设置
配置完成之后,其实就可以启动服务了,但是在启动之前,我们先看一下防火墙设置。
NTP服务需要使用到UDP端口号123,在系统的防火墙(Iptables)启动的情况下,必须开放UDP端口号123。
使用/etc/init.d/iptables status命令查看防火墙状态。