RBG NTP Infrastruktur

Last modified by Thomas Walter Erbesdobler on 2023/07/05 18:02

Die Rechnerbetriebsgruppe betreibt zwei Zeitserver mit dem Network Time Protocol - NTP für die Fakultäten Mathematik und Informatik, diese sind:

  • ntp1.in.tum.de
  • ntp2.in.tum.de

Architektur

ntp1 und ntp2 sind Stratum 3 Server.

Diese sind untereinander und mit zwei weiteren Stratum 2 Zeitservern (auch bei der RBG gehostet) in einem Peerverband. Die beiden Stratum 2 Zeitserver wiederum sind Clients von jeweils drei Stratum 1 Servern, welche sich im DFN (diverse andere Universitäten, LRZ) befinden. Diese Stratum 1 Server erhalten ihre Zeit aus GPS-Empfängern, DCF77-Empfängern, Atomuhren und anderen Quellen.

Auf den RBG-Zeitservern läuft der NTP-Verkehr über separate Netzwerkkarten, um Delay und Jitter zu minimieren.

Im Oktober 2016 waren beispielhaft folgende Zeitserver als Stratum 1 angebunden:

Die Architektur wird im folgenden Bild veranschaulicht:

Verwendung

Die NTP-Server werden per DHCP Option 42 vom RBG-DHCP angeboten.

Server der RBG verwenden standardmäßig ntpd (oder systemd-timesyncd für systemd-Systeme) mit folgender Konfiguration in /etc/ntpd.conf, die für alle Server benutzt werden kann:

tinker panic 0

server ntp1.informatik.tu-muenchen.de
server ntp2.informatik.tu-muenchen.de

restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery

restrict 127.0.0.1
restrict ::1

restrict 131.159.254.0 mask 255.255.254.0

driftfile /var/lib/ntp/ntp.drift

Aufgrund der Anfälligkeit des NTP-Protokolls für Reflection-Attacken ist NTP-Verkehr ins Internet beschränkt. Um trotzdem NTP-Service für bestimmte Geräte, bei denen kein NTP-Server eingestellt werden kann, bereitzustellen, werden einige externe Zeitserver-Adressen im Informatiknetz gespooft:

time.apple.com CNAME ntp1.informatik.tu-muenchen.de.
time.euro.apple.com CNAME ntp1.informatik.tu-muenchen.de.
time.asia.apple.com CNAME ntp1.informatik.tu-muenchen.de.
time.windows.com CNAME ntp1.informatik.tu-muenchen.de.