Inhalt
- Warum pfSense als NTP-Server verwenden?
- Upstream-Server
- Hinzufügen der Serveradressen
- Zusätzliche Einstellungen
- Aktivieren des OpenNTPD-Dienstes
- Konfigurieren der DHCP-Einstellungen
- Konfigurieren des Windows-Zeitdienstes
- Meinberg NTP Client für Windows
- Linux-Clients konfigurieren
- NTP-Unterstützung auf anderen Geräten
Sam arbeitet als Netzwerkanalyst für eine algorithmische Handelsfirma. Er erhielt seinen Bachelor-Abschluss in Informationstechnologie von UMKC.
Haben Sie sich jemals gefragt, warum die Uhr auf Ihrem Computer im Laufe eines Jahres mehrere Minuten gewinnt oder verliert? Leider neigt die Genauigkeit moderner Hardware-Uhren dazu, stark zu variieren.
Die meisten Uhren, einschließlich der auf dem Motherboard Ihres Computers gefundenen, verwenden einen billigen Quarzoszillator, um die Zeit zu verfolgen. Änderungen der Temperatur und anderer Faktoren können dazu führen, dass sich die Schwingungsfrequenz im Laufe der Zeit ändert, was zu einer Taktdrift führt. Letztendlich können sich diese verlorenen Sekunden zu Minuten summieren.
Der einfachste Weg, um dieses Problem zu lösen, ist die Verwendung von NTP (Network Time Protocol), um die Uhren auf allen Computern, IP-Telefonen und anderen Netzwerkgeräten zu synchronisieren.
Warum pfSense als NTP-Server verwenden?
PfSense ist ein großartiger NTP-Server, da er einfach zu konfigurieren und zu verwalten ist. Wenn Sie pfSense bereits in Ihrem Netzwerk verwenden, gibt es keinen Grund, einen separaten Server einzurichten, nur um NTP zu verarbeiten.
PfSense 2.X. beinhaltet eine Installation von OpenNTPD, einer kostenlosen Implementierung des Network Time Protocol. Es geht einfach darum, die Server- und Client-Einstellungen zu konfigurieren.
Warum einen lokalen Zeitserver verwenden?
- Bandbreite sparen - NTP sendet nicht viele Pakete, aber stellen Sie sich vor, Sie hätten ein Netzwerk mit mehr als 500 Clients, die sich alle an öffentliche Zeitserver wenden.
- Hohe Verfügbarkeit - Durch Ausführen einer lokalen Zeitquelle können Clients die Uhrensynchronisation beibehalten, falls das Internet nicht verfügbar ist.
- Bessere Genauigkeit - Das NTP-Protokoll bietet eine viel bessere Genauigkeit, wenn die Latenz zum Zeitserver so gering wie möglich ist. Durch das Bilden einer Hierarchie wird sichergestellt, dass die Uhren auf allen lokalen Computern im Netzwerk sehr eng miteinander synchronisiert sind.
Upstream-Server
Der erste Schritt zum Konfigurieren von pfSense als Zeitserver besteht darin, einen oder mehrere Upstream-Server auf der Konfigurationsseite für das allgemeine Setup hinzuzufügen.
Durch die Verwendung öffentlicher Zeitserver können Sie die genaue Zeit an die Systeme in Ihrem lokalen Netzwerk verteilen. Andernfalls würden Sie einfach eine ungenaue Zeit basierend auf der Hardware-Uhr auf dem pfSense-Server verteilen.
Die andere Alternative besteht darin, eine hochpräzise Schicht-1-Uhr zu erwerben, die mithilfe von GPS oder CDMA mit der UTC-Zeit synchronisiert wird.
Hinzufügen der Serveradressen
Um die NTP-Server zu konfigurieren, melden Sie sich bei der Weboberfläche an und rufen Sie die allgemeine Setup-Seite im Systemmenü auf.
Geben Sie die Server-DNS-Namen oder IP-Adressen der NTP-Server in das Feld Zeitserver ein und trennen Sie mehrere Server durch ein Leerzeichen.
Damit NTP ordnungsgemäß funktioniert, sollten Sie mindestens drei verschiedene Server hinzufügen. Die Verwendung von weniger als drei Servern verhindert, dass NTPD einen Falseticker ordnungsgemäß erkennt, was im Grunde eine nicht vertrauenswürdige Zeitquelle ist.
Der pfSense-Anbieterpool besteht aus vier verschiedenen Serveradressen, und ich empfehle, alle vier hinzuzufügen.
Sie können auch andere öffentlich verfügbare Zeitserver verwenden, sofern Sie die Erlaubnis des Eigentümers haben. In den meisten Fällen sind die Poolserver die beste Wahl.
pfSense NTP Pool Server-Adressen |
---|
0.pfsense.pool.ntp.org |
1.pfsense.pool.ntp.org |
2.pfsense.pool.ntp.org |
3.pfsense.pool.ntp.org |
Zusätzliche Einstellungen
Die folgenden Einstellungen können auch auf der Seite mit den allgemeinen Einstellungen konfiguriert werden.
DNS-Server
Stellen Sie auf der Seite "Allgemeines Setup" sicher, dass Sie mindestens einen DNS-Server hinzugefügt haben. Ohne DNS kann OpenNTP die Adressen der Poolserver nicht auflösen.
Ich verwende OpenDNS-Server, weil sie schneller und zuverlässiger sind als die Nameserver von Roadrunner. Sie können Google Public DNS oder die von Ihrem Internetdienstanbieter bereitgestellten DNS-Server verwenden.
Zeitzone
Es ist auch eine gute Idee, die richtige Zeitzone aus dem Dropdown-Feld auf derselben Einstellungsseite auszuwählen. Wenn die Zeitzone nicht richtig eingestellt ist, sind die Protokollzeitstempel nicht genau, was das Durchlesen der Protokolle erschwert.
Aktivieren des OpenNTPD-Dienstes
Bevor pfSense mit der Bereitstellung von Zeit für Clients im Netzwerk beginnt, muss OpenNTPD aktiviert sein. Um den Dienst einzuschalten, klicken Sie im Dienstmenü der Weboberfläche auf OpenNTPD.
Aktivieren Sie das erste Kontrollkästchen auf der Seite, um den Dienst zu aktivieren.
Als nächstes müssen Sie die Schnittstelle auswählen, die OpenNTPD abhören soll. Dies ist im Allgemeinen die LAN-Schnittstelle.
Durch Auswahl der WAN-Schnittstelle wird der Dienst an die externe IP-Adresse gebunden, sodass öffentliche Clients für NTP-Anforderungen eine Verbindung zum lokalen System herstellen können.
Nach dem Klicken auf Speichern werden die Einstellungen übernommen und der NTP-Daemon wird automatisch gestartet.
Konfigurieren der DHCP-Einstellungen
Wenn pfSense als DHCP-Server für das lokale Netzwerk dient, empfiehlt es sich, die NTP-Serveradresse in die DHCP-Serverkonfiguration einzugeben.
Dadurch erhalten DHCP-Clients die Adresse des NTP-Servers (DHCP-Option 42), wenn sie eine IP-Adresse anfordern.
Nicht alle Clients unterstützen diese Option und ignorieren sie einfach. Windows fällt in diese Kategorie und muss die Adresse manuell oder über Gruppenrichtlinien konfigurieren.
Konfigurationsschritte
- Greifen Sie auf die Einstellungsseite zu, indem Sie im Menü "Dienste" auf "DHCP-Server" klicken.
- Klicken Sie auf die Schaltfläche NTP-Server.
- Geben Sie die LAN-IP des pfSense-Servers ein und klicken Sie auf Speichern. (Geben Sie hier nicht die öffentlichen Zeitserveradressen ein.)
Konfigurieren des Windows-Zeitdienstes
Der einfachste Weg, Windows-Computer für die Synchronisierung mit einem NTP-Server zu konfigurieren, ist die Verwendung des integrierten Windows-Zeitdienstes.
- Klicken Sie in der Taskleiste auf die Uhr und wählen Sie "Datums- und Uhrzeiteinstellungen ändern".
- Klicken Sie auf die Registerkarte Internetzeit und dann auf die Schaltfläche Einstellungen ändern.
- Stellen Sie sicher, dass das Kontrollkästchen "Mit einem Internet-Zeitserver synchronisieren" aktiviert ist.
- Geben Sie die LAN-IP-Adresse oder den internen DNS-Namen des pfSense-Systems in das Serverfeld ein.
- Klicken Sie auf "Jetzt aktualisieren", um zu testen, ob es ordnungsgemäß funktioniert.
Vorsichtsmaßnahmen
Der Windows-Zeitdienst bietet kein hohes Maß an Genauigkeit, und Microsoft erkennt diese Tatsache.
Der Dienst wurde entwickelt, um sicherzustellen, dass die Systemuhr innerhalb von 1-2 Sekunden vom Referenzserver bleibt.
Für eine genauere Zeitmessung mit Millisekundengenauigkeit wird empfohlen, einen Drittanbieter-Client zu installieren.
Meinberg entwickelt einen Open-Source-NTP-Client für Windows, der viel genauer ist als der Windows-Zeitdienst. Neben dem Client bieten sie auch ein Überwachungsprogramm namens NTP Time Server Monitor. Die Überwachungsanwendung kann detaillierte Statistiken bereitstellen, die den Versatz der lokalen Uhr und die Frequenz in PPM anzeigen. Satsignal.eu bietet eine großartige Anleitung, die den Installations- und Konfigurationsprozess des Meinberg NTP-Clients beschreibt. Die meisten Linux-Distributionen enthalten standardmäßig den NTP-Daemon. Bevor der Client gestartet werden kann, müssen Sie die Datei ntp.conf bearbeiten, die sich normalerweise in / etc. Befindet. Da die Schritte zum Konfigurieren und Aktivieren des Clients von Distribution zu Distribution unterschiedlich sind, empfehle ich, die Dokumentation zu Ihrer spezifischen Linux-Version zu konsultieren, um Anweisungen zum Konfigurieren des Clients zu erhalten.Meinberg NTP Client für Windows
Linux-Clients konfigurieren
NTP-Unterstützung auf anderen Geräten
Sie werden überrascht sein, dass es in Ihrem Netzwerk viele andere Geräte gibt, die das Netzwerkzeitprotokoll als Methode zum Synchronisieren ihrer Uhr unterstützen.
- IP-Telefone
- Verwaltete Switches
- Router
- Firewalls
- IP-Kameras
- Netzwerkfähige Fernseher, Blu-ray-Player und Receiver
- Digitale / analoge NTP-Wanduhren
Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.