Ntp.service status inactive (dead)

Hallo,

unter folgender Version:

root@server:~# dpkg -l | grep linuxmuster
ii  linuxmuster-base7     7.0.44-0ubuntu0  
ii  linuxmuster-linbo-common7   2.3.53-0 

ist nach jedem reboot der ntp.service inactive (dead) wie eine Abfrage mit systemctl status ntp zeigt.
Wir müssen nach jedem Neustart des Servers ein restart:
systemctl restart ntp
absetzen, dann läuft er erst wieder.

Obwohl der Dienst enabled ist, wie im folgenden zu sehen:

root@server:~# systemctl status ntp
● ntp.service - Network Time Service
   Loaded: loaded (/lib/systemd/system/ntp.service; enabled; vendor preset: enabled)
   Active: inactive (dead)

Grüße,
gerd

Hallo Gerd,

root@server:~# dpkg -l | grep linuxmuster ii linuxmuster-base7
7.0.44-0ubuntu0 ii linuxmuster-linbo-common7 2.3.53-0 |

ist nach jedem reboot der ntp.service inactive (dead) wie eine Abfrage
mit |systemctl status ntp| zeigt.
Wir müssen nach jedem Neustart des Servers ein restart:

systemctl restart ntp|
absetzen, dann läuft er erst wieder.

Obwohl der Dienst |enabled| ist, wie im folgenden zu sehen:

root@server:~# systemctl status ntp ● ntp.service - Network Time
Service Loaded: loaded (/lib/systemd/system/ntp.service; enabled; vendor
preset: enabled) Active: inactive (dead)|

Danke für den Hinweis: mein ntp war auch „dead“ …
Hab ihn gestartet.

LG

Holger

Hallo an alle anderen mit der v7!

Bitte überprüfen und Status hier melden. Eventuell handelt es sich um einen generellen Bug.

Danke.

Beste Grüße

Thorsten

…bei mir auch dead…läuft nach restart. Ich suche nachher mal in den bootmeldungen. Das ist bestimmt ein Timeoutproblem…mal sehen.

Gruß Dominik

bestätigt!
gruß,
h.

same here.

Gruß,
Jochen

Hi,

habe das mal verfolgt und eigentlich ist klar, warum der ntp nicht läuft.
Ubuntu bringt einen eigenen Zeitdaemon (systemd-timesyncd.service) mit und der Service ist enabled und läuft. Im ntp.service steht, dass er genau mit diesem timesyncd.service conflicted, d.h. ntp startet eigentlich nicht, so lange der andere Service läuft. Ntp wird eigentlich auf einem Ubuntu-Server nicht gebraucht, der Dienst kommt aber über Abhängigkeiten von samba mit.

Genaueres zum timesyncd-Daemon findet man z.B. hier: https://wiki.ubuntuusers.de/systemd/timesyncd/

Ich habe den ntp.service jetzt mal disabled, da die Zeitsync über den timesyncd-Daemon ja funktioniert.

Fazit: Den nicht laufenden ntp-Prozess kann man ignorieren…ich würde sogar dingend Abstand davon nehmen, den zwangsweise zu aktivieren, da sich da zwei Zeitdienste ins Gehege kommen. Allerdings würde ich dem timesyncd-Dienst noch sagen, dass er die Opnsense als primären Zeitserver nutzen soll…das macht man in der /etc/systemd/timesyncd.conf.

Was meint ihr zu den Erkenntnissen? Liege ich falsch?

Gruß

Dominik

Vorsicht Vorsicht!
der Standard-NTP Dienst systemd-timesyncd.service läuft wohl gegenwärtig allgemein auf aktuellen Linux-Installationen.
Spätestens seit SAMBA 4 geht es bei NTP nicht mehr nur um korrekte Zeit. Innerhalb von Windowss Domänen sind nur entsprechend zertifizierte NTP-Server erlaubt.
Hier müssen wir also genau hinschauen, wie das umgesetzt wurde und ob das so umgesetzt wurde wie das SAMBA 4 und eine Windows Domäne benötgit…
siehe
By default domain joined Windows clients synchronize their clock via NT5DS with AD-DC’s.
Im zweiten Abschnit oben.
(Wir setzten dabei auf „chrony“ bei eigenen SAMBA 4 Domänen)

Hier sollten unbedingt die v7 Entwickler mitteilen, wie der NTP unter v7 und SAMBA 4 umgesetzt werden soll.
Der Zeitserver ist zu wichtig, als dass der eine so der nächste das anders tut…
ALSO: WIE SOLL ES SEIN?

Grüße,
Gerd

Hallo Dominik,

super: danke fürs nachschauen.

Was meint ihr zu den Erkenntnissen? Liege ich falsch?

ich denke du liegst richtig.
Ich kam auf ähnliches als ich mich mit dem timesync auf dem ubuntu
Client beschäftigt hatte…

Ich nehm den ntp Dienst raus und kontrolleir oder der timesync die
OPNsense als Server eingetragen hat.

LG

Holger

sorry, aber NEIN!
Denn du bekommst so auf den ersten Blick die richtig Zeit…
Drei Tage später stellt sich bei allen Windows AD Clients raus, dass hier die Zeit nicht stimmt, dann wird da wieder rum gedocktort
Bitte nicht …
Der Zeitserver muss exakt definiert sein UND sollte überall das gleiche Setup haben.
Das bedeutet für mich, dass hier „authenticated time synchronisation with NT5DS“ vom DC umgesetzt werden sollte. Ist das jetzt der Fall?

Natürlich kann ich das für „meine“ Domäne umsetzen, dass es funktioniert, das halte ich aber nicht für Zielführend.
Schön wäre es, wenn jetzt einer der „SAMBA Leute“ sagen könnte, wie sie sich das vorstellen…

Grüße,
gerd

Hi,

jetzt habe ich mir beide conf angesehen:

/etc/systemd/timesyncd.conf 
/etc/ntp.conf

In der Tat ist hier weder noch die signierte Zeitsynchronisation eingerichtet.
Das ist …
Soll dieses eigentlich richtige Feature bei allen aktuellen (Client) Systemen, die darauf bestehen, abgeschaltet werden?
Sicher nicht…
Hier fehlt was…

Ich versuch das mal für ntpd umzusetzen und melde mich dann.

Grüße,
gerd

Hallo,

Hier sollten unbedingt die v7 Entwickler mitteilen, wie der NTP unter v7
und SAMBA 4 umgesetzt werden soll.
Der Zeitserver ist zu wichtig, als dass der eine so der nächste das
anders tut…
ALSO: WIE SOLL ES SEIN?

ich hab die Entwickler verständigt.

Offensichtlich hast du da mehr Ahnung als ich

Ich hab jetzt trotzdem mal dem timesyncd die Firewall als NTP Server
mitgegeben durch Eintrag in der /etc/systemd/timesyncd.conf

Da steht bei mir jetzt:

[Time]
NTP=firewall.bzpf.lan
#FallbackNTP=ntp.ubuntu.com
#RootDistanceMaxSec=5
#PollIntervalMinSec=32
#PollIntervalMaxSec=2048

Danach:

systemctl restart systemd-timesyncd

und zum Kontrollieren:

systemctl status systemd-timesyncd

Da steht nun:

root@server:~# systemctl status systemd-timesyncd
● systemd-timesyncd.service - Network Time Synchronization
   Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service;
enabled; vendo
   Active: active (running) since Tue 2019-12-03 14:13:05 CET; 8s ago
     Docs: man:systemd-timesyncd.service(8)
 Main PID: 6168 (systemd-timesyn)
   Status: "Synchronized to time server 10.16.1.254:123
(firewall.bzpf.lan)."
    Tasks: 2 (limit: 4915)
   CGroup: /system.slice/systemd-timesyncd.service
           └─6168 /lib/systemd/systemd-timesyncd

LG

Holger

Status von timesyncd anzeigen:
timedatectl status

Deaktivieren des timesyncd.service

timedatectl set-ntp 0
## oder
systemctl status systemd-timesyncd.service
systemctl stop systemd-timesyncd.service
systemctl disable systemd-timesyncd.service 
systemctl status systemd-timesyncd.service

Verzeichnis des NTP Signierungs-Sockets:
ll /var/lib/samba/ntp_signd/

Damit der NTP Dienst darauf zugreifen kann, müssen hier die Rechte geändert werden:

root@server:~# chgrp ntp  /var/lib/samba/ntp_signd/
root@server:~# chmod g+rx /var/lib/samba/ntp_signd/
root@server:~# ll /var/lib/samba/ntp_signd/
total 8,0K
drwxr-x--- 2 root ntp  4,0K Dez  2 21:59 .
drwxr-xr-x 8 root root 4,0K Dez  2 21:59 ..
srwxrwxrwx 1 root root    0 Dez  2 21:59 socket

folgende zusätzliche Zeile muss in die /etc/ntp.conf

ntpsigndsocket /var/lib/samba/ntp_signd/

NTP Restart:

systemctl restart ntp.service
systemctl status ntp.service

ich habe noch die Zeitserver ersetzt durch:

server  0.de.pool.ntp.org 
server  1.de.pool.ntp.org
server  2.de.pool.ntp.org
server  3.de.pool.ntp.org

Jetzt sollte der NTP Dienst AD konform alle aktuellen -auch Window 10- Clients mit der Uhr versorgen…

Nach diesen Änderungen läuft der ntp.service
UND zwar auch wieder nach einem reboot

Befehle zum Testen der Synchronisierung auf einem Windows 10 Prof.
Client in dieser Domäne:

PS C:\Windows\system32> w32tm /resync
Befehl zum erneuten Synchronisieren wird an den lokalen Computer gesendet.
Der Befehl wurde erfolgreich ausgeführt.

PS C:\Windows\system32> w32tm /query /status
Sprungindikator: 0(keine Warnung)
Stratum: 4 (Sekundärreferenz - synchr. über (S)NTP)
Präzision: -23 (119.209ns pro Tick)
Stammverzögerung: 0.0256009s
Stammabweichung: 7.7816893s
Referenz-ID: 0x0A100001 (Quell-IP:  10.16.0.1)
Letzte erfolgr. Synchronisierungszeit: 03.12.2019 16:24:23
Quelle: server.bs-wiz.llan,0x9
Abrufintervall: 6 (64s)

PS C:\Windows\system32> date
Dienstag, 3. Dezember 2019 16:24:46

PS C:\Windows\system32> w32tm /monitor
server.bs-wiz.llan *** PDC ***[10.16.0.1:123]:
    ICMP: 0ms Verzögerung
    NTP: +0.0000000s Offset von server.bs-wiz.llan
        RefID: ntp.fra.de.as206479.net [185.120.22.12]
        Stratum: 3
[Warnung]
Die Reversenamenauflösung ist die beste Möglichkeit. Sie ist ggf. nicht
korrekt, da sich das Ref-ID-Feld in Zeitpaketen im Bereich von
NTP-Implementierungen unterscheidet und ggf. keine IP-Adressen verwendet.
PS C:\Windows\system32>

EDIT:
Jetzt habe ich zusätzlich noch umgestellt auf nur IPv4, da zZ bei uns IPv6 unschöne Fehlermeldungen bringt. Dazu muss folgende Zeile in Datei:

root@server:~# cat /etc/default/ntp
NTPD_OPTS=' -g'
## gaendert werden in:
NTPD_OPTS=' -4 -g'

Die Ausgabe von systemctl status ntp.service zeigt beide Optionen -4 -g an
und im Logfile /var/log/ntp steht anschliessend nach Dienst restart nichts mehr mit IPv6

Die gesamte /etc/ntp.conf ohne Kommentare und ohne IPv6 Einträge sieht jetzt bei mir folgendermassen aus:

 cat /etc/ntp.conf |  grep "^[^#]"

driftfile /var/lib/ntp/ntp.drift
logfile   /var/log/ntp
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
server 0.de.pool.ntp.org 
server 1.de.pool.ntp.org
server 2.de.pool.ntp.org
server 3.de.pool.ntp.org
restrict -4 default kod notrap nomodify nopeer noquery limited
restrict 127.0.0.1
restrict 0.de.pool.ntp.org notrap nomodify noquery
restrict 1.de.pool.ntp.org notrap nomodify noquery
restrict 2.de.pool.ntp.org notrap nomodify noquery
restrict 3.de.pool.ntp.org notrap nomodify noquery
restrict source notrap nomodify noquery
ntpsigndsocket /var/lib/samba/ntp_signd/

Hallo Gerd,

super

Ich setz das um, wenn sich die Entwickler gemeldet haben.

LG
Holger

Hallo Holger,

ja, bin mal gespannt, was die sagen

Grüße,
gerd

Blöde Frage (ich fürchte, ich bin blind): Der Timeserver ist schon der lmn7-Server und nicht die OPNSense?

Gruß
Roland

ja, klar, gemeint ist der Schulserver und darauf der systemd-timesyncd.service und der zZ gleichzeigt aktive ntp.service

Grüße,
gerd

Super, Gerd!
Ich frage mich nur gerade, ob das jetzt (bzw sobald die Entwickler ihr OK gegeben haben) alle einzeln auf ihren Servern umsetzen oder ob das per Update geschehen kann (auch damit es sicher bei allen einheitlich eingestellt ist!)?

Schönen Gruß
Michael

Danke, Gerd!
Ist ja logisch, da am Win10-PC, nachdem er in der Domäne aufgenommen ist, kein Internetzeitserver mehr eingestellt werden kann. Die holt er sich vom AD-Controller und das ist ja der Schulserver.

Gruß
Roland

Hi Gerd,

danke für die Recherche und die Wissensweitergabe, hoffentlich stimmt das so und wird durch ein update automatisch eingespielt.

… scheint als habe der olle Lenard mal wieder nur halbe Brötchen gebacken. (hab ich schon gesagt, dass ich systemd nicht leiden kann?)

noch eine Frage: auf den clients gibts ja auch „chrony“. Ich habe das noch nicht kapiert, warum der genau sein muss, auch auf denen gibt es ja timesyncd und potentiell kann man ntp als client einrichten.

VG, Tobias