Wiki source code of RBG NTP Infrastruktur
Last modified by Thomas Walter Erbesdobler on 2023/07/05 18:02
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | {{toc/}} | ||
| 2 | |||
| 3 | Die Rechnerbetriebsgruppe betreibt zwei Zeitserver mit dem Network Time Protocol - NTP für die Fakultäten Mathematik und Informatik, diese sind: | ||
| 4 | * ntp1.in.tum.de | ||
| 5 | * ntp2.in.tum.de | ||
| 6 | |||
| 7 | = Architektur = | ||
| 8 | |||
| 9 | ntp1 und ntp2 sind Stratum 3 Server. | ||
| 10 | |||
| 11 | Diese sind untereinander und mit zwei weiteren Stratum 2 Zeitservern (auch bei der RBG gehostet) in einem Peerverband. Die beiden Stratum 2 Zeitserver wiederum sind Clients von jeweils drei Stratum 1 Servern, welche sich im DFN (diverse andere Universitäten, LRZ) befinden. Diese Stratum 1 Server erhalten ihre Zeit aus GPS-Empfängern, DCF77-Empfängern, Atomuhren und anderen Quellen. | ||
| 12 | |||
| 13 | Auf den RBG-Zeitservern läuft der NTP-Verkehr über separate Netzwerkkarten, um Delay und Jitter zu minimieren. | ||
| 14 | |||
| 15 | Im Oktober 2016 waren beispielhaft folgende Zeitserver als Stratum 1 angebunden: | ||
| 16 | |||
| 17 | * Erster Stratum-2 Server: | ||
| 18 | ** ##[[ntp1.lrz.de>>https://www.lrz.de/services/netzdienste/ntp/]]## | ||
| 19 | ** ##ntp1.rrze.uni-erlangen.de## | ||
| 20 | ** ##DNSs1.Uni-Marburg.DE## | ||
| 21 | * Zweiter Stratum-2 Server: | ||
| 22 | ** ##[[rustime01.rus.uni-stuttgart.de>>http://www.tik.uni-stuttgart.de/dienste/zugang/netznahe_dienste/zeitdienst/]]## | ||
| 23 | ** ##ntps1-0.eecsit.tu-berlin.de## | ||
| 24 | ** ##ptbtime2.ptb.de## | ||
| 25 | |||
| 26 | Die Architektur wird im folgenden Bild veranschaulicht: | ||
| 27 | |||
| 28 | [[image:ntpdiagram.jpg|| width="720" height="540" alt=""]] | ||
| 29 | |||
| 30 | = Verwendung = | ||
| 31 | |||
| 32 | Die NTP-Server werden per DHCP Option 42 vom RBG-DHCP angeboten. | ||
| 33 | |||
| 34 | Server der RBG verwenden standardmäßig ntpd (oder systemd-timesyncd für systemd-Systeme) mit folgender Konfiguration in ##/etc/ntpd.conf##, die für alle Server benutzt werden kann: | ||
| 35 | |||
| 36 | {{code language="none"}} | ||
| 37 | tinker panic 0 | ||
| 38 | |||
| 39 | server ntp1.informatik.tu-muenchen.de | ||
| 40 | server ntp2.informatik.tu-muenchen.de | ||
| 41 | |||
| 42 | restrict default kod nomodify notrap nopeer noquery | ||
| 43 | restrict -6 default kod nomodify notrap nopeer noquery | ||
| 44 | |||
| 45 | restrict 127.0.0.1 | ||
| 46 | restrict ::1 | ||
| 47 | |||
| 48 | restrict 131.159.254.0 mask 255.255.254.0 | ||
| 49 | |||
| 50 | driftfile /var/lib/ntp/ntp.drift | ||
| 51 | {{/code}} | ||
| 52 | |||
| 53 | Aufgrund der Anfälligkeit des NTP-Protokolls für [[Reflection-Attacken>>https://en.wikipedia.org/wiki/Denial-of-service_attack#Amplification]] ist NTP-Verkehr ins Internet beschränkt. Um trotzdem NTP-Service für bestimmte Geräte, bei denen kein NTP-Server eingestellt werden kann, bereitzustellen, werden einige externe Zeitserver-Adressen im Informatiknetz gespooft: | ||
| 54 | |||
| 55 | {{code language="none"}} | ||
| 56 | time.apple.com CNAME ntp1.informatik.tu-muenchen.de. | ||
| 57 | time.euro.apple.com CNAME ntp1.informatik.tu-muenchen.de. | ||
| 58 | time.asia.apple.com CNAME ntp1.informatik.tu-muenchen.de. | ||
| 59 | time.windows.com CNAME ntp1.informatik.tu-muenchen.de. | ||
| 60 | {{/code}} |