ja, klar, gemeint ist der Schulserver und darauf der systemd-timesyncd.service und der zZ gleichzeigt aktive ntp.service
Grüße,
gerd
Super, Gerd!
Ich frage mich nur gerade, ob das jetzt (bzw sobald die Entwickler ihr OK gegeben haben) alle einzeln auf ihren Servern umsetzen oder ob das per Update geschehen kann (auch damit es sicher bei allen einheitlich eingestellt ist!)? 
Schönen Gruß
Michael
Danke, Gerd!
Ist ja logisch, da am Win10-PC, nachdem er in der Domäne aufgenommen ist, kein Internetzeitserver mehr eingestellt werden kann. Die holt er sich vom AD-Controller und das ist ja der Schulserver.
Gruß
Roland
Hi Gerd,
danke für die Recherche und die Wissensweitergabe, hoffentlich stimmt das so und wird durch ein update automatisch eingespielt.
… scheint als habe der olle Lenard mal wieder nur halbe Brötchen gebacken. (hab ich schon gesagt, dass ich systemd nicht leiden kann?)
noch eine Frage: auf den clients gibts ja auch „chrony“. Ich habe das noch nicht kapiert, warum der genau sein muss, auch auf denen gibt es ja timesyncd und potentiell kann man ntp als client einrichten.
VG, Tobias
Hallo Tobias,
der timesyncd ist wohl jetzt so ein Standard NTP Dienst der auf den lokalen Maschinen perse für die richtige Zeit sorgt. chrony und ntp sind „mächtigere“ alternativen. Spätestens auf einem DC brauch man mehr… (Client - Server Kommunikation, zertifikate, usw.) will man dann noch Windows Clients unterhalten müssen auch dessen Standards unterstützt werden…
Das haben wir oben entsprechend umgesetzt
siehe auch: https://wiki.samba.org/index.php/Time_Synchronisation
Grüße,
gerd
Hi. Ich habe das Update gerade eingespielt und mit den von Gerd vorgeschlagenen Änderungen verglichen. Den Eintrag
finde ich aber nirgendwo … ist das nun ein Versehen oder ist der Eintrag nicht notwendig?
Danke,
Michael
Hi.
… also nach einem linuxmuster-distupgrade und einem Serverneutstart kann ich keine Änderung feststellen. Der Bugfix #78 hat nicht oder nicht vollständig geholfen – jedenfalls wird bei mir weiterhin gemeldet:
systemctl status ntp.service
● ntp.service - Network Time Service
Loaded: loaded (/lib/systemd/system/ntp.service; enabled; vendor preset: enabled)
Active: inactive (dead)
Docs: man:ntpd(8)
[root@server:~]$ systemctl status systemd-timesyncd.service
● systemd-timesyncd.service - Network Time Synchronization
Loaded: loaded (/lib/systemd/system/systemd-timesyncd.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2019-12-05 19:57:02 CET; 13min ago
Docs: man:systemd-timesyncd.service(8)
Main PID: 694 (systemd-timesyn)
Status: "Synchronized to time server 10.16.1.254:123 (10.16.1.254)."
Tasks: 2 (limit: 4915)
CGroup: /system.slice/systemd-timesyncd.service
└─694 /lib/systemd/systemd-timesyncd
Ich werde die von Gerd vorgeschlagenen zusätzlichen Änderungen nun mal per Hand eintragen…
Schönen Gruß,
Michael
Ok, nach den oben beschriebenen Änderungen startet der ntp-Server.
Eine Sache ist jetzt aber widersprüchlich:
Gerd hat bei sich die Server 0.de.pool.ntp.org usw hinzugefügt … das Bugfix hat meines Wissens den Eintrag pool 10.16.1.254 gemacht, oder? (Kann ich nicht mehr sicher sagen). Was ist nun richtig?
Hallo Michael,
den Buxfix kann ich erst nächste Woche testen, bin gerade bei Firmenmigration W7->W10 usw.
0.de.pool.ntp.org (0-3) ist ein allgemein empfohlener und öffentlich verfügbarer NTP Server Pool aus Deutschlad, einer von denen funktioniert immer .
10.16.1.254 ist ein lokaler Server, der kann nur funktionieren wenn im lokalen Netz exakt auf der IP selbst ein richtiger NTP läuft - keine gute Idee, wenn der so gepatcht würde…
Am Rande:
- Damit die öffentlichen NTP Server im Netz nicht völlig überlastet werden, gilt es als gute Praxis, dass man im LAN nur genau 1 (einen) NTP Server hat, der die öffentlichen abfragt, und zB nicht jeden der 500 Clients das selbst machen lässt
- Dass obige Zeile fehlt, kann nur zwei Dinge bedeuten:
A-der Patch tut nicht was er soll
B-ein anderer NTP-Dienst wird mit dem Patch so eingestellt, dass er das notwendige „authenticated time synchronisation with NT5DS“ für den DC umsetz. Dann sollte der überflüssige NTP wieder raus… ?
Grüße,
gerd
Hi Gerd.
Hier steht ja halbwegs, was geschehen sollte (und welche Files geändert werden)
Kann nun aber nicht mehr sehen, ob ntp oder timesyncd benutzt werden soll, es klingt aber alles nach ntp
Was die ntp.conf angeht: du hast Einträge Server… und nicht Pool … . Warum?
Schöne Grüße
Michael
Hallo,
- Damit die öffentlichen NTP Server im Netz nicht völlig überlastet
werden, gilt es als gute Praxis, dass man im LAN nur genau 1 (einen)
NTP Server hat, der die öffentlichen abfragt, und zB nicht jeden der
500 Clients das selbst machen lässt
deswegen ist die OPNsense unser NTP im Netz.
Die OPNSense wird dann an einen externen Pool gebunden.
Deswegen ist es schon richtig, meine ich, wenn der server die Firewall
fragt.
Weiterer Vorteil: man muß den NTP Port 123 nur für die Firewall frei
machen, nicht für das Netz (oder den Server).
LG
Holger
Moin!
Das ist so konzipiert, dass die FW die zentrale NTP-Instanz im LAN ist. Sie holt sich die Zeit von pool.ntp.org. Der Server holt sich die Zeit von der FW, die Clients holen sich die Zeit vom Server.
VG, Thomas
Hi Thomas,
ok, aber dann sag doch gleich noch dazu, ob der NTP Server laufen mus oder ob timesyncd ausreicht? Das ist weiterhin nicht ganz klar, meine ich??
Schönen Gruß,
Michael
Hallo Michael,
der ntp dienst muss auf dem Server laufen. Auf meinem Produktivsystem hat das nach dem Upgrade auch funktioniert. Das Paketskript aktiviert und startet den ntp service.
Evtl. musst du ihn neu starten, wenn er schon gestartet war.
VG, Thomas
Ok, habe es gerade nochmal kontrolliert. Heißt das nicht, dass der Eintrag
pool pool.ntp.org in der ntp.conf nach dem Bugfix deaktiviert sein müsste? War hier nicht der Fall. Am einfachsten wäre es, wenn du mal eine komplette /etc/ntp.conf hier postest, oder?
Schönen Gruß,
Michael
Hallo,
Um zu testen, dass der NTP-Server-Patch das notwendige „authenticated time synchronisation with NT5DS“ für den DC umsetzt, müsste man zuvor die /etc/ntp.conf wieder auf default stellen, auf jeden Fall die Zeile
ntpsigndsocket /var/lib/samba/ntp_signd/ vor dem Patch raus nehmen. Die Rechte des Verzeichnisses /var/lib/samba/ntp_signd/ müssten vor dem Einspielen wieder zurück auf root: chgrp root /var/lib/samba/ntp_signd/.
Nach dem Patchen ist zu prüfen,
[EDIT]:
-
ob die jeweils individuelle IP der Firewall eingestellt wird. oder ob die vorgegebene feste IP individuell anzupassen ist
-
ob der ntp.service wieder die benötigten Rechte auf
/var/lib/samba/ntp_signd/hat -
und die notwendige Zeile:
ntpsigndsocket /var/lib/samba/ntp_signd/eingetragen wurde -
dass der ntp.service in Datei:
/var/log/ntpseine Log-Einträge schreiben kann.
Siehe die Ausgabe von:
root@server:~# systemctl status ntp.service
● ntp.service - Network Time Service
Loaded: loaded (/lib/systemd/system/ntp.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2019-12-03 20:17:55 CET; 6 days ago
Docs: man:ntpd(8)
Process: 1286 ExecStart=/usr/lib/ntp/ntp-systemd-wrapper (code=exited, status=0/SUCCESS)
Main PID: 1294 (ntpd)
Tasks: 2 (limit: 4915)
CGroup: /system.slice/ntp.service
└─1294 /usr/sbin/ntpd -p /var/run/ntpd.pid -4 -g -u 113:119
Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.Die letzte Zeile kam bei mir, wenn Punkt 4 nicht erfüllt ist. Statt dessen muss da in etwa folgendes stehen:
Dez 10 21:06:14 server.bs-wiz.llan ntpd[19835]: switching logging to file /var/log/ntp[EDIT Ende]
Zum Schluss vor allem aktuelle Windowse checken - siehe Post 13.
Richtig?
Grüße,
gerd
Hi Gerd,
bei mir ist linuxmuster-base7 7.0.45-0ubuntu0 installiert und es wäre doch am einfachsten, ich wüsste jetzt, was in meiner /etc/ntp.conf drinstehen sollte.
Denn es hat sich gegenüber der 7.0.44 Version nur geändert, dass jetzt die IP drinsteht, statt „firewall“
22c22
< pool firewall
---
> pool 10.16.1.254Ich sehe nichts von ntpsigndsocket oder ähnlichem in meiner /etc/ntp.conf.
Ich kann allerdings bestätigen, dass der ntp-daemon läuft und dass - im Gegensatz zu vorher, der timesyncd als „inactive (dead)“ markiert ist. Ich wäre auch geneigt den zu disablen, aber das scheint ja nicht nötig zu sein, wenn der sich zurückzieht sobald ntp daher kommt.
VG, Tobias
Hi.
Ich kann nur wiederholen, dass der ntp-Service bei mir nach dem Update nicht lief (der ntpsignsocket wurde da auch nicht automatisch eingetragen) … ich musste die Einstellungen, die Gerd vorgeschlagen hatte, manuell durchführen.
Als Pool steht bei mir nun auch die IP der Firewall, alle anderen Serveradressen kann man sich (wenn ich das richtig verstehe) dann ja sparen?!
Aber eine ntp.conf so wie sie nach dem Upgrade sein soll, wäre schon gut … wer hat eine?
Schöne Grüße,
Michael
