NTP校时服务器架设的重要性(京准)
NTP校时服务器架设的重要性(京准)
京准电子科技官V——ahjzsz
卫♥ ahjzsz
概述:电脑时间走时不准是出了名的。它一般是以廉价的振荡电路或石英钟为基础,每天的误差可达数秒,经过一段时间的累积就会出现较大的误差。随着不断增加的分散式计算和我们对网络的依赖性的加强,不准确的电脑时间对于网络结构以及其中的应用程序的安全性会产生较大的影响,尤其是那些对没有实现网络同步而导致的问题比较敏感的网络指令或应用程序。
1、网络指令
要得到最佳的网络表现(performance),就得向系统提供时间同步信息。千万不要等到出了问题才认识到时间同步的重要性。如果没有时间同步,网络指令是无法正常运行的。
时间同步直接影响网络指令的领域有:
--记录文件安全、审查和监控
--网络错误检查和复原
--文件时间戳
--目录服务
--存取安全与确认
--分散式计算
--预设操作
--真实世界时间值
2、记录文件安全、审查和监控
服务器记录文件以及其后的报告中的数据来评估组织的活动,包括防火墙和VPN安全相关的活动,带宽的使用,以及其他各种各样的记录、管理、确认、授权和会计职能。由于服务器记录的是来自不同主机的信息,因此时间的准确性显得非常必要,否则的话就可能出现不同的事件顺序和故障排除的根源问题,使得与时间有关的一切数据都变得毫无意义。即使是在路由器里,像路由器配置改变、接口状态、调制解调器事件、安全警报、环境条件、CPU处理过载等主要的配置事件和系统错误信息,都要有准确的时间戳,这些数据才有意义。
比如微软应用中心的监控程序,它在同步和监控过程中就用到了时间值。磁簇中不同步的时间会导致矛盾的行为。执行计算数据的时间转换就是其中毅力,它使我们得到的值看上去与实际值有偏差。
在Sun Microsystem的词簇mode里,进行中的时间同步对记录文件的准确性更为重要,因为管理员无法修改一个正在运行的词簇节点上的时间。而且管理员也不应该用date,rdate,ntpdate之类的命令来修改词簇时间。这些命令的运行会导致词簇时间的突然改变并因此出现错误。
很多企业都曾经受到过公众广泛关注的denial of service的袭击。网络安全专家利用原本用于检查root-cause网络事件的RMON记录来实施网络犯罪。
3、网络错误诊断和修复
大多数IT组织都以它们保持full flow网络指令的能力来衡量其好坏。停机时间的严格限制是服务器质量最常用的衡量标准之一。所有IT部门对此都非常敏感。在出现错误的时候,准确的 网络时间对于错误的诊断和修复起着非常关键的作用。
为了进行错误诊断,连接破坏、缓冲溢位、数据包丢失和其他的关键网络事件都会由服务器、路由器、开关及专用仪器中的RMON进行捕捉、记录和报告。要是root-cause造成网络坍塌。那么系统将会列出一份关于RMON事件的报告。这些事件都带有RMON代理程序给他们加上的时间戳,并以时间为索引。如果时间是同步的,那么各事件的顺序就可以很方便的排出来,root-cause也就很容易确定了。如果没有实现网络时间同步,root-cause 将很难确定,并会一直持续下去。
4、文件时间戳
任何文件系统的完整性都在很大程度上依赖于文件自身的名称和日期。独立的文件更会详细的记录创立日期、上次读取时间、上次存档时间和上次修改时间。在分散的文件共享系统中,网络文件共享服务器(NFS)维护主要文件以供远程客户机使用。NFS是独立于网络时间的。当接受到两份名称相同的文件时,NFS只认可最新的一份。如果客户机给一份远程读取的文件所加的时间戳早于文件登录到NFS上的时间,那么客户机文件连同所做的一切修改都会被删除。
5、目录服务
网络时间同步是网络设计和搭建的重要组成部分。多个网络目录服务系统相互交换信息之后,要根据时间戳对目录服务数据库的修改时间进行调整使其一致。群组软件应用中的目录和合作也要用到准确的时间。没有时间同步的网络,对时间敏感的系统和应用就无法正常进行。在WindowsNT网络中,所有的NT服务器和客户机都与一个作为共同标准的时间源同步。相似的,Novell目录服务(NDS)也是利用时间戳来确认事件发生的顺序并记录真实世界时间值。
6、存取安全和确认
Windows 2000是最新,也是最典型的网络时间同步的例子。在Windows 2000中,预设确认协议在authentication ticket generation process中要用到工作站时间,因此同步的事件是一个很关键的因素。Windows 2000中包含了一个W32 Time 时间服务工具,它的作用是确保一个组织中的所有Windows 2000用户都采用统一的时间。时间服务采用的是可以控制使用权和防止回圈的阶层式关系来保证共同时间的使用。所有的客户机桌面和成员服务器都指定他们自己的确认网域控制器为时间搭档。在往上直到初级网域控制器(PDC)的整个阶层结构中都是如此。而PDC则于某个可靠的时间源同步,比如专门的网络时间服务器。要是没有可用的时间服务器,不同网域控制器的时间差别超出了Kerberos的允许范围,那么两台网域控制器之间的确认/登录就无法实现,还会出现错误信息。
7、分散计算
IBM在他们的分散计算环境(DCE)中认识到了时间同步的重要性。DCE是一系列的服务,这些服务共同作用,可以为升级和分散应用提供一个高水平、连贯的环境。DCE的四种主要服务分别是:远程程序呼叫,目录服务、安全服务和分散时间服务。分散时间服务要解决的是在一个分散系统中不同主机的时间同步问题。在客户机和服务器组成的集合中,主机的系统时钟与安全服务器主机的时钟的差别不能大于5分钟。如果大于5分钟就会导致确认错误,客户机的配置也会fail.
8、预定指令
Cron Scripts和Crontab是命令列表,这些命令大多用于计算机操作系统或应用服务器并在指定时间执行。由于这类指令多用于数据备份,因此它们的预设执行时间都是在深夜,在一天的交易结束以后。为了使命令在我们想要的时间运行,一台单机与时间源必须同步。在多台主机同时执行独立Cron文件的情况下,主机的时间同步更显得重要,这样多个预定操作才可能相互协调进行。
9、真实世界时间值
操作一个使用真实世界时间值的网络是无法用别的什么东西来替代的。我们可以在时间不正确的情况下运行一个网络,但这种方式是不可取的。局域网与其他更大的网络相互连接,它们之间唯一共同的东西就是准确的时间。真实世界时间是以UTC为基础的,它是格林威治日平时采用的最新的标准时间。在UTC基础上运行的网络有着共同的实践基础。UTC时间来自于一个精确、安全、可靠的时间源,然后经由各种操作系统转换为当地时间。正是由于有了共同的时间参考,网络管理员才可以获取与时间有关的信息,从而保证网络的正常运行,避免各种问题的出现。
10、应用
很多计算机应用程序都使用时间戳作为一个关键要素,给那些精确设计好的数据增加了非凡的意义。共享数据库、广告和商务系统、信息获取、电子邮件以及大量其他的应用都相当依赖于不同程度的精确度和准确的时间辍。时间戳的应用领域是非常广泛的,其中的常见应用在很大程度上要靠网络时间同步来提供时间信息。
时间同步直接影响应用的关键领域有:
--工程进度控制
--软件开发
--电子邮件
--法律法规的需求
--用户名和密码
11、交易处理
交易处理中的时间同步并不是一个新问题。在六十年代, IBM 即认识到时间同步在高价值交易中的重要性。 IBM 的" redbook "中提到:"在数据处理中,时间和日期准确性的要求是长期的。当单一系统被多重或双重系统代替后,这就要求系统时钟既有准确性,又有兼容性。"
现在,我们用网络完成各种各样的交易。在这个网络系统中,会使用多种不同型号和功能的服务器和工作站。应用时间戳要求有一秒的限制。时间戳回答了交易何时发生这样的问题,也就是购买命令何时发出,电话何时接通和挂断等。
我们需要把交易时间戳精确到毫秒的十位级,是因为我们需要确定交易发生的正确顺序,特别是大量交易几乎同时发生时。由于电脑交易都是自动和迅速完成的,用于确定系统时间的时间必须少于最少的交易时间――确定时间大约需要 5-20 毫秒。
12、软件发展
程序设计是一个设计组的分散任务。这个设计组可以在不同的服务器上编码,而且有时需要跨地区工作。最终,所有编码都要编入一个程序中。"编文件"( MAKE )功能或某种"版本控制系统"可用于对来自分散服务器的软件进行管理。当源文件被修改后,时间戳可以用来决定哪个文件需要被重建。当网络文件系统生成了某种目录后,而服务器和客户对现在时间有不同的认识时?quot;编文件"功能不能重建某些源文件,也不能编写基于最新信息的可操作文件。有许多这样的报告:当工程师往源编码文件输入"修改"( FIX )命令时,在最终编写文件的过程中只有"修改"这个命令被省略了。而它给公司带来了极大的难堪和浪费。这种错误是很难检查出的。在使用过程中,编程人员第一个反映是咒骂软件虫。然后,设计组将花费大量的时间检查出软件虫是由于含有丢失文件的基础部分被修改引起的,而这种修改就是因为缺乏服务器时间同步。
13、电子邮件
电子邮件正迅速成为书面交流的标准形式。IDC的一项调查表明,到2000年底的时候,全世界平均每天发送的电子邮件数量达到了100亿。预计到2005年,世界上每天发送电子邮件的数量将超过这一数字的3倍,达到惊人的350亿。每一封通过网络传输的电子邮件都附带了发信时的时间辍。时间戳的错误将造成收信端的混乱,也会引起人们对邮件系统的可信度的质疑。
14、法规要求
根据某些法律和规章的要求,网络时间必须是准确、可追踪的。NASD要求它的成员按照NIST的UTC时间给股票交易加上时间戳,这个时间戳必须精确到三秒以内。这一要求对于时间同步具有相当大的挑战性,因为NASD在全美有着5500会员和超过82000个分支机构。在商业交易发生时,同步的、可追踪的时间有利于进行确认,宣布交易生效。其它法律、医药、电信方面的应用也要求把可追踪的时间标准作为他们的网络操作原则之一。
15、用户名与密码
2000年,美国通过了电子签名法案。这项法案规定,计算机与他们的host组织之间有着契约上的义务。一台计算机或者某人掌握了正确的用户名和密码,他就可以进行交易,而在ID和口令撤消之后系统就会拒绝存取。
总结
在true time我们从客户的经历中了解到了网络时间同步的重要性。每天我们都在帮助客户维持必要的网络职责,以使他们的公司顺利运转,这些顾客认识到了很多的网络操作和运用都依赖于稳定的网络时间同步来发挥作用,同时它也使得可能出现的问题更易解决。
我们坚定地相信在建立一个高质量的网络时间同步系统方面的优势不仅在现在,而且在将来都能带来收益。