Come posso aggiornare facilmente l'elenco peer di ntpd?

Ho una rete di server Solaris / Linux che hanno configurato NTTP per utilizzare un singolo server interno di strato 2 tramite un alias DNS / CNAME. Questo server è inattivo da qualche tempo e gli orologi dei server client non sono sincronizzati.

Poiché abbiamo un altro server interno di strato 1 (PPS), il DNS CNAME è stato modificato per puntare al nuovo server (che è attivo).

Ma usando ntpq -pposso vedere che i server client stanno ancora puntando al vecchio server. Sembra che non stiano risolvendo di nuovo il nome del peer, quindi non ottengono il nuovo IP del server.

Se riavvio (x) ntpd, creerà dei salti temporali. Vorrei che ntpd avrebbe aggiornato la sua lista di peer / configurazione e sincronizzato senza problemi con il nuovo server.

— Benoît
fonte

Risposte:

ntpdcpuò farlo per te, in particolare i comandi addpeere unconfig.
Fondamentalmente aggiorna il tuo file di configurazione, quindi usa ntpdcper aggiungere i nuovi peer e rimuovere ("annullare la configurazione") quelli vecchi ( dopo che ntpd accetta i nuovi peer come candidati sani per la sincronizzazione!)

Dovresti anche considerare l'utilizzo di un dispositivo ridondante (router con HSRP o macchine unix con failover HA / CARP / ecc.) Come sorgente NTP o la configurazione di più peer - Non vuoi che i tuoi orologi diventino pazzi solo perché uno time server ha un problema ...

— voretaq7
fonte

Grazie. Ma sarebbe meglio se ntpd aggiornasse / risolvesse il suo elenco di server invece di attenersi all'un IP che ha risolto all'avvio.

— Benoît,

Su alcuni server ho ricevuto il "permesso negato", quindi eseguo ntpdate -uB <server> e quando eseguo la sincronizzazione ho riavviato ntpd.

— Benoît,

Ci sono un sacco di problemi con la ri-risoluzione dei server su base periodica (le persone che utilizzano pool.ntp.org potrebbero ottenere server con tempi notevolmente diversi, cosa fai se il DNS si rompe, cosa fai se il DNS viene dirottato e invia a un falso ticker, ecc ...) - NTP non è l'unica cosa che si comporta in questo modo (i nomi host nelle regole del firewall portano allo stesso tipo di problema) :-)

— voretaq7

Questo non funziona per me: addpeer o adderver chiedono un “Keyid:” e rifiutano di lavorare per vuoto o 0, e chiedono una “Password MD5:” altrimenti e poi dicono “*** Autorizzazione negata”.

— mirabilos,

Se detti server sono configurati tramite DHCP (quali sono, per una facile rinumerazione, giusto? :)) allora puoi aggiornare il server DHCP per inviare l'opzione 42 con il nuovo indirizzo del server. Dovrebbero tutti riacquistare i loro contratti di locazione (e essere aggiornati) a un certo punto, giusto?

— pjz
fonte