NTP校時伺服器架設的重要性(京準) NTP校時伺服器架設的重要性(京準) 京準電子科技官V——ahjzsz 衛♥ ahjzsz 概述:電腦時間走時不准是出了名的。它一般是以廉價的振蕩電路或石英鐘為基礎,每天的誤差可達數秒,經過一段時間的累積就會出現較大的誤差。隨著不斷增加的分散式計算和我們對網路的 ...
NTP校時伺服器架設的重要性(京準)
NTP校時伺服器架設的重要性(京準)
京準電子科技官V——ahjzsz
衛♥ ahjzsz
概述:電腦時間走時不准是出了名的。它一般是以廉價的振蕩電路或石英鐘為基礎,每天的誤差可達數秒,經過一段時間的累積就會出現較大的誤差。隨著不斷增加的分散式計算和我們對網路的依賴性的加強,不准確的電腦時間對於網路結構以及其中的應用程式的安全性會產生較大的影響,尤其是那些對沒有實現網路同步而導致的問題比較敏感的網路指令或應用程式。
1、網路指令
要得到最佳的網路表現(performance),就得向系統提供時間同步信息。千萬不要等到出了問題才認識到時間同步的重要性。如果沒有時間同步,網路指令是無法正常運行的。
時間同步直接影響網路指令的領域有:
--記錄文件安全、審查和監控
--網路錯誤檢查和複原
--文件時間戳
--目錄服務
--存取安全與確認
--分散式計算
--預設操作
--真實世界時間值
2、記錄文件安全、審查和監控
伺服器記錄文件以及其後的報告中的數據來評估組織的活動,包括防火牆和VPN安全相關的活動,帶寬的使用,以及其他各種各樣的記錄、管理、確認、授權和會計職能。由於伺服器記錄的是來自不同主機的信息,因此時間的準確性顯得非常必要,否則的話就可能出現不同的事件順序和故障排除的根源問題,使得與時間有關的一切數據都變得毫無意義。即使是在路由器里,像路由器配置改變、介面狀態、數據機事件、安全警報、環境條件、CPU處理過載等主要的配置事件和系統錯誤信息,都要有準確的時間戳,這些數據才有意義。
比如微軟應用中心的監控程式,它在同步和監控過程中就用到了時間值。磁簇中不同步的時間會導致矛盾的行為。執行計算數據的時間轉換就是其中毅力,它使我們得到的值看上去與實際值有偏差。
在Sun Microsystem的詞簇mode里,進行中的時間同步對記錄文件的準確性更為重要,因為管理員無法修改一個正在運行的詞簇節點上的時間。而且管理員也不應該用date,rdate,ntpdate之類的命令來修改詞簇時間。這些命令的運行會導致詞簇時間的突然改變並因此出現錯誤。
很多企業都曾經受到過公眾廣泛關註的denial of service的襲擊。網路安全專家利用原本用於檢查root-cause網路事件的RMON記錄來實施網路犯罪。
3、網路錯誤診斷和修複
大多數IT組織都以它們保持full flow網路指令的能力來衡量其好壞。停機時間的嚴格限制是伺服器質量最常用的衡量標準之一。所有IT部門對此都非常敏感。在出現錯誤的時候,準確的 網路時間對於錯誤的診斷和修複起著非常關鍵的作用。
為了進行錯誤診斷,連接破壞、緩衝溢位、數據包丟失和其他的關鍵網路事件都會由伺服器、路由器、開關及專用儀器中的RMON進行捕捉、記錄和報告。要是root-cause造成網路坍塌。那麼系統將會列出一份關於RMON事件的報告。這些事件都帶有RMON代理程式給他們加上的時間戳,並以時間為索引。如果時間是同步的,那麼各事件的順序就可以很方便的排出來,root-cause也就很容易確定了。如果沒有實現網路時間同步,root-cause 將很難確定,並會一直持續下去。
4、文件時間戳
任何文件系統的完整性都在很大程度上依賴於文件自身的名稱和日期。獨立的文件更會詳細的記錄創立日期、上次讀取時間、上次存檔時間和上次修改時間。在分散的文件共用系統中,網路文件共用伺服器(NFS)維護主要文件以供遠程客戶機使用。NFS是獨立於網路時間的。當接受到兩份名稱相同的文件時,NFS只認可最新的一份。如果客戶機給一份遠程讀取的文件所加的時間戳早於文件登錄到NFS上的時間,那麼客戶機文件連同所做的一切修改都會被刪除。
5、目錄服務
網路時間同步是網路設計和搭建的重要組成部分。多個網路目錄服務系統相互交換信息之後,要根據時間戳對目錄服務資料庫的修改時間進行調整使其一致。群組軟體應用中的目錄和合作也要用到準確的時間。沒有時間同步的網路,對時間敏感的系統和應用就無法正常進行。在WindowsNT網路中,所有的NT伺服器和客戶機都與一個作為共同標準的時間源同步。相似的,Novell目錄服務(NDS)也是利用時間戳來確認事件發生的順序並記錄真實世界時間值。
6、存取安全和確認
Windows 2000是最新,也是最典型的網路時間同步的例子。在Windows 2000中,預設確認協議在authentication ticket generation process中要用到工作站時間,因此同步的事件是一個很關鍵的因素。Windows 2000中包含了一個W32 Time 時間服務工具,它的作用是確保一個組織中的所有Windows 2000用戶都採用統一的時間。時間服務採用的是可以控制使用權和防止迴圈的階層式關係來保證共同時間的使用。所有的客戶機桌面和成員伺服器都指定他們自己的確認網域控制器為時間搭檔。在往上直到初級網域控制器(PDC)的整個階層結構中都是如此。而PDC則於某個可靠的時間源同步,比如專門的網路時間伺服器。要是沒有可用的時間伺服器,不同網域控制器的時間差別超出了Kerberos的允許範圍,那麼兩台網域控制器之間的確認/登錄就無法實現,還會出現錯誤信息。
7、分散計算
IBM在他們的分散計算環境(DCE)中認識到了時間同步的重要性。DCE是一系列的服務,這些服務共同作用,可以為升級和分散應用提供一個高水平、連貫的環境。DCE的四種主要服務分別是:遠程程式呼叫,目錄服務、安全服務和分散時間服務。分散時間服務要解決的是在一個分散系統中不同主機的時間同步問題。在客戶機和伺服器組成的集合中,主機的系統時鐘與安全伺服器主機的時鐘的差別不能大於5分鐘。如果大於5分鐘就會導致確認錯誤,客戶機的配置也會fail.
8、預定指令
Cron Scripts和Crontab是命令列表,這些命令大多用於電腦操作系統或應用伺服器併在指定時間執行。由於這類指令多用於數據備份,因此它們的預設執行時間都是在深夜,在一天的交易結束以後。為了使命令在我們想要的時間運行,一臺單機與時間源必須同步。在多台主機同時執行獨立Cron文件的情況下,主機的時間同步更顯得重要,這樣多個預定操作才可能相互協調進行。
9、真實世界時間值
操作一個使用真實世界時間值的網路是無法用別的什麼東西來替代的。我們可以在時間不正確的情況下運行一個網路,但這種方式是不可取的。區域網與其他更大的網路相互連接,它們之間唯一共同的東西就是準確的時間。真實世界時間是以UTC為基礎的,它是格林威治日平時採用的最新的標準時間。在UTC基礎上運行的網路有著共同的實踐基礎。UTC時間來自於一個精確、安全、可靠的時間源,然後經由各種操作系統轉換為當地時間。正是由於有了共同的時間參考,網路管理員才可以獲取與時間有關的信息,從而保證網路的正常運行,避免各種問題的出現。
10、應用
很多電腦應用程式都使用時間戳作為一個關鍵要素,給那些精確設計好的數據增加了非凡的意義。共用資料庫、廣告和商務系統、信息獲取、電子郵件以及大量其他的應用都相當依賴於不同程度的精確度和準確的時間輟。時間戳的應用領域是非常廣泛的,其中的常見應用在很大程度上要靠網路時間同步來提供時間信息。
時間同步直接影響應用的關鍵領域有:
--工程進度控制
--軟體開發
--電子郵件
--法律法規的需求
--用戶名和密碼
11、交易處理
交易處理中的時間同步並不是一個新問題。在六十年代, IBM 即認識到時間同步在高價值交易中的重要性。 IBM 的" redbook "中提到:"在數據處理中,時間和日期準確性的要求是長期的。當單一系統被多重或雙重系統代替後,這就要求系統時鐘既有準確性,又有相容性。"
現在,我們用網路完成各種各樣的交易。在這個網路系統中,會使用多種不同型號和功能的伺服器和工作站。應用時間戳要求有一秒的限制。時間戳回答了交易何時發生這樣的問題,也就是購買命令何時發出,電話何時接通和掛斷等。
我們需要把交易時間戳精確到毫秒的十位級,是因為我們需要確定交易發生的正確順序,特別是大量交易幾乎同時發生時。由於電腦交易都是自動和迅速完成的,用於確定系統時間的時間必須少於最少的交易時間――確定時間大約需要 5-20 毫秒。
12、軟體發展
程式設計是一個設計組的分散任務。這個設計組可以在不同的伺服器上編碼,而且有時需要跨地區工作。最終,所有編碼都要編入一個程式中。"編文件"( MAKE )功能或某種"版本控制系統"可用於對來自分散伺服器的軟體進行管理。當源文件被修改後,時間戳可以用來決定哪個文件需要被重建。當網路文件系統生成了某種目錄後,而伺服器和客戶對現在時間有不同的認識時?quot;編文件"功能不能重建某些源文件,也不能編寫基於最新信息的可操作文件。有許多這樣的報告:當工程師往源編碼文件輸入"修改"( FIX )命令時,在最終編寫文件的過程中只有"修改"這個命令被省略了。而它給公司帶來了極大的難堪和浪費。這種錯誤是很難檢查出的。在使用過程中,編程人員第一個反映是咒罵軟體蟲。然後,設計組將花費大量的時間檢查出軟體蟲是由於含有丟失文件的基礎部分被修改引起的,而這種修改就是因為缺乏伺服器時間同步。
13、電子郵件
電子郵件正迅速成為書面交流的標準形式。IDC的一項調查表明,到2000年底的時候,全世界平均每天發送的電子郵件數量達到了100億。預計到2005年,世界上每天發送電子郵件的數量將超過這一數字的3倍,達到驚人的350億。每一封通過網路傳輸的電子郵件都附帶了發信時的時間輟。時間戳的錯誤將造成收信端的混亂,也會引起人們對郵件系統的可信度的質疑。
14、法規要求
根據某些法律和規章的要求,網路時間必須是準確、可追蹤的。NASD要求它的成員按照NIST的UTC時間給股票交易加上時間戳,這個時間戳必須精確到三秒以內。這一要求對於時間同步具有相當大的挑戰性,因為NASD在全美有著5500會員和超過82000個分支機構。在商業交易發生時,同步的、可追蹤的時間有利於進行確認,宣佈交易生效。其它法律、醫葯、電信方面的應用也要求把可追蹤的時間標準作為他們的網路操作原則之一。
15、用戶名與密碼
2000年,美國通過了電子簽名法案。這項法案規定,電腦與他們的host組織之間有著契約上的義務。一臺電腦或者某人掌握了正確的用戶名和密碼,他就可以進行交易,而在ID和口令撤消之後系統就會拒絕存取。
總結
在true time我們從客戶的經歷中瞭解到了網路時間同步的重要性。每天我們都在幫助客戶維持必要的網路職責,以使他們的公司順利運轉,這些顧客認識到了很多的網路操作和運用都依賴於穩定的網路時間同步來發揮作用,同時它也使得可能出現的問題更易解決。
我們堅定地相信在建立一個高質量的網路時間同步系統方面的優勢不僅在現在,而且在將來都能帶來收益。
