投稿日:2005年05月16日 作成鷹の巣

No.18947 NTPサーバーの起動に失敗しているようです。



NTPサーバーの起動に失敗しているようです。

No.18947 投稿時間:2005年05月16日(Mon) 21:34 投稿者名:Linux初心者 URL:

初めて投稿させて頂きます。
環境は以下の通りです。
NTT Bフレッツ DDNS利用。
OS:LedHatLinux9 ルータCorega BAR Pro2
現在、NTPサーバーを稼働させたいと思いますが、
失敗しているようです。
システム起動時の画面でNTPD[FAILED]となってしまいます。

ntp.confの内容です。
どのように記述すればいいのかがわからなかったので、
ネット上のものをそのまま使っています。

# Prohibit general access to this service.
restrict default ignore

# Permit all access over the loopback interface. This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 210.173.160.27
restrict 210.173.160.57
restrict 210.173.160.87
restrict 127.0.0.1


# -- CLIENT NETWORK -------
# Permit systems on this network to synchronize with this
# time service. Do not permit those systems to modify the
# configuration of this service. Also, do not use those
# systems as peers for synchronization.
# restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap
restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap


# --- OUR TIMESERVERS -----
# or remove the default restrict line
# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.

# restrict mytrustedtimeserverip mask 255.255.255.255 nomodify notrap noquery
# server mytrustedtimeserverip
server 210.173.160.27
server 210.173.160.57
server 210.173.160.87

初心者なもので質問の仕方がおかしいかもしれませんが、
原因がわかる方は教えて下さい。
宜しくお願いします。


ログをみる事を習慣にするとよいです。

No.18948 投稿時間:2005年05月16日(Mon) 22:09 投稿者名:ふぁらだ URL:

> 原因がわかる方は教えて下さい。
> 宜しくお願いします。

まずこの様な場合ログをみる事を習慣にするとよいです。
/var/log/messages
です

現在は ntp.ring.gr.jp を推奨しているようです。
/etc/ntp.conf は
server ntp.ring.gr.jp
の1行だけでntpd は動きます。

確認は ntpq -p です


再起動してみました。

No.18950 投稿時間:2005年05月17日(Tue) 00:28 投稿者名:Linux初心者 URL:

> > 原因がわかる方は教えて下さい。
> > 宜しくお願いします。
>
> まずこの様な場合ログをみる事を習慣にするとよいです。
> /var/log/messages
> です
>
> 現在は ntp.ring.gr.jp を推奨しているようです。
> /etc/ntp.conf は
> server ntp.ring.gr.jp
> の1行だけでntpd は動きます。
>
> 確認は ntpq -p です

早々のご回答有難うございます。
ntp.confにserver ntp.ring.gr.jpだけを書いて、
再起動してみました。
ntpdを停止中: [ OK ]
ntpd:時間サーバと同期中: [失敗]
ntpdを起動中: [ OK ]
/var/log/messagesはこのようになっていました。
May 17 00:13:24 mochimochi ntpd[2250]: ntpd exiting on signal 15
May 17 00:13:24 mochimochi 5月 17 00:13:24 ntpd: ntpd停止 succeeded
May 17 00:13:33 mochimochi ntpdate[3518]: no server suitable for synchronization found
May 17 00:13:33 mochimochi 5月 17 00:13:33 ntpd: failed
May 17 00:13:33 mochimochi ntpd[3522]: ntpd 4.1.1c-rc1@1.836 Thu Feb 13 12:17:19 EST 2003 (1)
May 17 00:13:33 mochimochi ntpd[3522]: precision = 16 usec
May 17 00:13:33 mochimochi ntpd[3522]: kernel time discipline status 0040
May 17 00:13:33 mochimochi 5月 17 00:13:33 ntpd: ntpd起動 succeeded

ntpq -pでは、
remote refid st t when poll reach delay offset jitter
==============================================================================
core.ring.gr.jp 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
となっていました。
宜しくお願いします。


ntpdate がエラーしています。

No.18953 投稿時間:2005年05月17日(Tue) 07:02 投稿者名:ふぁらだ URL:

> 早々のご回答有難うございます。
> ntp.confにserver ntp.ring.gr.jpだけを書いて、
> 再起動してみました。
> ntpdを停止中: [ OK ]
> ntpd:時間サーバと同期中: [失敗]
> ntpdを起動中: [ OK ]
> /var/log/messagesはこのようになっていました。
> May 17 00:13:24 mochimochi ntpd[2250]: ntpd exiting on signal 15
> May 17 00:13:24 mochimochi 5月 17 00:13:24 ntpd: ntpd停止 succeeded
> May 17 00:13:33 mochimochi ntpdate[3518]: no server suitable for synchronization found
> May 17 00:13:33 mochimochi 5月 17 00:13:33 ntpd: failed
> May 17 00:13:33 mochimochi ntpd[3522]: ntpd 4.1.1c-rc1@1.836 Thu Feb 13 12:17:19 EST 2003 (1)
> May 17 00:13:33 mochimochi ntpd[3522]: precision = 16 usec
> May 17 00:13:33 mochimochi ntpd[3522]: kernel time discipline status 0040
> May 17 00:13:33 mochimochi 5月 17 00:13:33 ntpd: ntpd起動 succeeded
>
> ntpq -pでは、
> remote refid st t when poll reach delay offset jitter
> ==============================================================================
> core.ring.gr.jp 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
> となっていました。
> 宜しくお願いします。

最後の ntpq -p でちゃんと出ていますので ntpd は動作しています。
10分程度で頭に*が付いて delay や offset など出ると思います。

気になるのはログの3行目 ntpdate がエラーしています。
そこでのサーバーはどこに記述するのか知りませんので原因はとりあえず不明
おおむね時刻があっていればntpdateは動作させる必要はないので特に問題にはなりません。


蛇足

No.18954 投稿時間:2005年05月17日(Tue) 13:05 投稿者名:stranger URL:

> > 気になるのはログの3行目 ntpdate がエラーしています。
> そこでのサーバーはどこに記述するのか知りませんので原因はとりあえず不明
> おおむね時刻があっていればntpdateは動作させる必要はないので特に問題にはなりません。

蛇足ですが
redhat9のntpd起動スクリプトの一部

iptablesでポートを開いて
/etc/ntp/step-tickersが存在し、timeserverが既述されていれば
最初にntpdateを実行し、次にntpdデーモンを起動します

if [ -n "$FWACTIVE" -a "$FIREWALL_MODS" != "no" ]; then
for server in $tickers $timeservers; do
echo -n $"$prog: Opening firewall for input from $server port 123"
iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s $server/32 \
--sport 123 -d 0/0 --dport 123 -j ACCEPT \
&& success || failure
echo
done
fi

if [ -z "$tickers" ]; then
tickers=$timeservers
fi

if [ -s "$ntpstep" -o -n "$dostep" ]; then
# Synchronize with servers if step-tickers exists
# or the -x option is used
echo -n $"$prog: Synchronizing with time server: "
/usr/sbin/ntpdate -s -b -p 8 $tickers
RETVAL=$?
[ $RETVAL -eq 0 ] && success || failure
echo
if [ $RETVAL -ne 0 ]; then
OPTIONS="$OPTIONS -g"
fi
else
# -g can replace the grep for time servers
# as it permits ntpd to violate its 1000s limit once.
OPTIONS="$OPTIONS -g"
fi
# Start daemons.
echo -n $"Starting $prog: "
daemon ntpd $OPTIONS


これは同期に失敗していることなのでしょうか?

No.18956 投稿時間:2005年05月17日(Tue) 22:51 投稿者名:Linux初心者 URL:

> > > 気になるのはログの3行目 ntpdate がエラーしています。
> > そこでのサーバーはどこに記述するのか知りませんので原因はとりあえず不明
> > おおむね時刻があっていればntpdateは動作させる必要はないので特に問題にはなりません。
>
> 蛇足ですが
> redhat9のntpd起動スクリプトの一部
>
> iptablesでポートを開いて
> /etc/ntp/step-tickersが存在し、timeserverが既述されていれば
> 最初にntpdateを実行し、次にntpdデーモンを起動します
>
> if [ -n "$FWACTIVE" -a "$FIREWALL_MODS" != "no" ]; then
> for server in $tickers $timeservers; do
> echo -n $"$prog: Opening firewall for input from $server port 123"
> iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s $server/32 \
> --sport 123 -d 0/0 --dport 123 -j ACCEPT \
> && success || failure
> echo
> done
> fi
>
> if [ -z "$tickers" ]; then
> tickers=$timeservers
> fi
>
> if [ -s "$ntpstep" -o -n "$dostep" ]; then
> # Synchronize with servers if step-tickers exists
> # or the -x option is used
> echo -n $"$prog: Synchronizing with time server: "
> /usr/sbin/ntpdate -s -b -p 8 $tickers
> RETVAL=$?
> [ $RETVAL -eq 0 ] && success || failure
> echo
> if [ $RETVAL -ne 0 ]; then
> OPTIONS="$OPTIONS -g"
> fi
> else
> # -g can replace the grep for time servers
> # as it permits ntpd to violate its 1000s limit once.
> OPTIONS="$OPTIONS -g"
> fi
> # Start daemons.
> echo -n $"Starting $prog: "
> daemon ntpd $OPTIONS

ふぁらださんどうもです。
delay offsetともに数値は0のままで変更がなく、アスタリスクも表示されないようです。
これは同期に失敗していることなのでしょうか?
strangerさんコメント有難うございます。
iptablesとは何でしょうか?

宜しくお願いします。


どこかでUDP123ポートを止めていないか念のため見てください。

No.18957 投稿時間:2005年05月17日(Tue) 23:10 投稿者名:ふぁらだ URL:

> delay offsetともに数値は0のままで変更がなく、アスタリスクも表示されないようです。
> これは同期に失敗していることなのでしょうか?

ここまでOKで動かないなんて聞いた事がありません。
ntpd を止めて
ntpdate ntp.ring.gr.jp
とやって時刻が修正されますか?

when や reach はすぐに動くはずですが。
どこかでUDP123ポートを止めていないか念のため見てください。


UDP123ポートを止めているかどうかを調べる方法がわかりません。

No.18961 投稿時間:2005年05月18日(Wed) 07:06 投稿者名:Linux初心者 URL:

> > delay offsetともに数値は0のままで変更がなく、アスタリスクも表示されないようです。
> > これは同期に失敗していることなのでしょうか?
>
> ここまでOKで動かないなんて聞いた事がありません。
> ntpd を止めて
> ntpdate ntp.ring.gr.jp
> とやって時刻が修正されますか?
>
> when や reach はすぐに動くはずですが。
> どこかでUDP123ポートを止めていないか念のため見てください。

ふぁらださん、返事を有難うございます。
#ntpdate ntp.ring.gr.jp
18 May 06:51:31 ntpdate[8272]: the NTP socket is in use, exiting
と表示されます。
済みませんUDP123ポートを止めているかどうかを調べる方法がわかりません。
宜しくお願いします。


iptablesが起動しているなら port 123 を開けること。

No.18960 投稿時間:2005年05月18日(Wed) 06:52 投稿者名:stranger URL:


> > > > if [ -n "$FWACTIVE" -a "$FIREWALL_MODS" != "no" ]; then
> > for server in $tickers $timeservers; do
> > echo -n $"$prog: Opening firewall for input from $server port 123"
> > iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s $server/32 \
> > --sport 123 -d 0/0 --dport 123 -j ACCEPT \

> iptablesとは何でしょうか?
> > 宜しくお願いします。
redhat9で使用するfirewallです
iptablesが起動しているなら port 123 を開けること
ルータの設定でもport 123 は開いていますよね


ルータの方は開けてあります。

No.18962 投稿時間:2005年05月18日(Wed) 07:20 投稿者名:Linux初心者 URL:

>
> > > > > if [ -n "$FWACTIVE" -a "$FIREWALL_MODS" != "no" ]; then
> > > for server in $tickers $timeservers; do
> > > echo -n $"$prog: Opening firewall for input from $server port 123"
> > > iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s $server/32 \
> > > --sport 123 -d 0/0 --dport 123 -j ACCEPT \
>
> > iptablesとは何でしょうか?
> > > 宜しくお願いします。
> redhat9で使用するfirewallです
> iptablesが起動しているなら port 123 を開けること
> ルータの設定でもport 123 は開いていますよね

strangerさん、返事を有難うございます。
iptablesの起動しているかの確認方法がわからないのと123ポートを開ける方法もわかりません。
ルータの方は開けてあります。
宜しくお願いします。


ふぁらださんの指摘を実行してみましょう。

No.18964 投稿時間:2005年05月18日(Wed) 10:46 投稿者名:stranger URL:

> > > > > > > > if [ -n "$FWACTIVE" -a "$FIREWALL_MODS" != "no" ]; then
> > > > for server in $tickers $timeservers; do
> > > > echo -n $"$prog: Opening firewall for input from $server port 123"
> > > > iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s $server/32 \
> > > > --sport 123 -d 0/0 --dport 123 -j ACCEPT \
> > > > > iptablesとは何でしょうか?
> > > > 宜しくお願いします。
> > redhat9で使用するfirewallです
> > iptablesが起動しているなら port 123 を開けること
> > ルータの設定でもport 123 は開いていますよね
> > strangerさん、返事を有難うございます。
> iptablesの起動しているかの確認方法がわからないのと123ポートを開ける方法もわかりません。
> ルータの方は開けてあります。
> 宜しくお願いします。
ふぁらださんの指摘を実行してみてください
> ntpd を止めて
> ntpdate ntp.ring.gr.jp

ntpdとntpdateは両立しません
root(管理者)になって

service ntpd stop
ntpdate ntp.ring.gr.jp

iptables -L -n

netで検索すれば使い方など多くのサイトにあたります
そういう努力もしましょう


もう一台のRedHatLinux7.2機ではうまくいきます。

No.18980 投稿時間:2005年05月19日(Thu) 09:42 投稿者名:Linux初心者 URL:

> > > > > > > > > if [ -n "$FWACTIVE" -a "$FIREWALL_MODS" != "no" ]; then
> > > > > for server in $tickers $timeservers; do
> > > > > echo -n $"$prog: Opening firewall for input from $server port 123"
> > > > > iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s $server/32 \
> > > > > --sport 123 -d 0/0 --dport 123 -j ACCEPT \
> > > > > > iptablesとは何でしょうか?
> > > > > 宜しくお願いします。
> > > redhat9で使用するfirewallです
> > > iptablesが起動しているなら port 123 を開けること
> > > ルータの設定でもport 123 は開いていますよね
> > > strangerさん、返事を有難うございます。
> > iptablesの起動しているかの確認方法がわからないのと123ポートを開ける方法もわかりません。
> > ルータの方は開けてあります。
> > 宜しくお願いします。
> ふぁらださんの指摘を実行してみてください
> > ntpd を止めて
> > ntpdate ntp.ring.gr.jp

>
> ntpdとntpdateは両立しません
> root(管理者)になって
>
> service ntpd stop
> ntpdate ntp.ring.gr.jp
>
> iptables -L -n
>
> netで検索すれば使い方など多くのサイトにあたります
> そういう努力もしましょう

ふぁらださん、strangerさん、こんにちは。
度々のアドバイスを有難うございます。
昨日、ネットでいろいろ調べてみましたが、原因を突き止めることが出来ませんでした。
もう一台のRedHatLinux7.2機ではうまくいきます。
# /etc/rc.d/init.d/ntpd stop
ntpdを停止中: [OK]
# ntpdate ntp.ring.gr.jp
19 May 08:53:51 ntpdate[12006]: no server suitable for synchronization found
# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
宜しくお願いします。


NTPサーバーの起動に失敗しているようです。

No.18971 投稿時間:2005年05月18日(Wed) 21:52 投稿者名:カズ URL:

> ntp.confの内容です。
> どのように記述すればいいのかがわからなかったので、
> ネット上のものをそのまま使っています。
>
> # Prohibit general access to this service.
> restrict default ignore

restrict default ignoreをコメントアウトしてみては?


restrictを調べて適切に再設定してみてください。

No.18972 投稿時間:2005年05月18日(Wed) 22:10 投稿者名:カズ URL:

> > ntp.confの内容です。
> > どのように記述すればいいのかがわからなかったので、
> > ネット上のものをそのまま使っています。
> >
> > # Prohibit general access to this service.
> > restrict default ignore
>
> restrict default ignoreをコメントアウトしてみては?

動いたらもう一度コメントをはずしてrestrictを調べて適切に再設定してみてください。
動かなければ。。。次いってみよ~ :p


同期に失敗してしまうようです。

No.18981 投稿時間:2005年05月19日(Thu) 10:32 投稿者名:Linux初心者 URL:

> > > ntp.confの内容です。
> > > どのように記述すればいいのかがわからなかったので、
> > > ネット上のものをそのまま使っています。
> > >
> > > # Prohibit general access to this service.
> > > restrict default ignore
> >
> > restrict default ignoreをコメントアウトしてみては?
>
> 動いたらもう一度コメントをはずしてrestrictを調べて適切に再設定してみてください。
> 動かなければ。。。次いってみよ~ :p

カズさん、アドバイスを有難うございます。
早速試してみましたが、
# /etc/rc.d/init.d/ntpd reload
ntpdを停止中: [ OK ]
ntpd:時間サーバと同期中: [失敗]
ntpdを起動中: [ OK ]
やはり、同期に失敗してしまうようです。


起動スクリプトに1行書けば、ntp.confが正しければすっきり起動します。

No.18973 投稿時間:2005年05月18日(Wed) 22:43 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

No.18906のProftpdのスレ主さんですか? もしそうなら、あちらはどうなったのでしょうか?尻切れトンボですか?
この件も皆さんのレスが伝わっていなさそうですね。
1.ntpdは動作している機器の時刻と実際の時刻(外部NTPサーバから取得した時刻)があまり違うと同期できない。
2.従って、ntpd起動前にntpdateコマンドで外部NTPサーバを使ってサーバ機の時計を修正すると間違いない。
3. ntpdateコマンドはntpd起動中には使用できないので、ntpdを止めて時刻修正し、その後、起動すれば良い。
と皆さんは言っているのですが・・・。
因みにredhatなら、起動スクリプトでstrangerさんが示したような動作をするので、30行目あたりに下記の1行(awk ・・・)を追加しておけば、/etc/ntp.confファイルを読んで"server"で記述されたCMOSクロックを除く外部NTPサーバを見つけて、/etc/ntp/step-tickersに書いてから走り始めるので、最初にntpdateしてそれからntpdが起動するので、すんなり動作します。上記を操作を自動化したものです。ご参考まで。

----- /etc/init.d/ntpd ----
30行目あたり
RETVAL=0
prog="ntpd"
awk '/^server/ {print $2}' $ntpconf | grep -v '127.127.1.0' > $ntpstep

-------- ntp.conf --------------
restrict default ignore

restrict 127.0.0.1

# クライアントのネットワーク
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

restrict 210.173.160.27 mask 255.255.255.255 nomodify notrap noquery
restrict 210.173.160.57 mask 255.255.255.255 nomodify notrap noquery
restrict 210.173.160.87 mask 255.255.255.255 nomodify notrap noquery
server 210.173.160.27
server 210.173.160.57
server 210.173.160.87

server 127.127.1.0 # local clock
fudge 127.127.1.0 stratum 10

driftfile /etc/ntp/drift
broadcastdelay 0.008
authenticate yes

keys /etc/ntp/keys


もしかしたら

No.18974 投稿時間:2005年05月18日(Wed) 23:11 投稿者名:泉谷 URL:

もしかしたらインターネットにつながってないのでは。
telnet sakaguch.com 25
で接続できますか。


大丈夫だと思います。

No.18982 投稿時間:2005年05月19日(Thu) 10:43 投稿者名:Linux初心者 URL:

> もしかしたらインターネットにつながってないのでは。
> telnet sakaguch.com 25
> で接続できますか。

泉谷さん、アドバイスを有難うございます。
現在、WEBサーバを稼働させていて、外部からも正常にアクセスできるので大丈夫だと思います。


原因不明です。

No.18983 投稿時間:2005年05月19日(Thu) 10:51 投稿者名:Linux初心者 URL:

> No.18906のProftpdのスレ主さんですか? もしそうなら、あちらはどうなったのでしょうか?尻切れトンボですか?
> この件も皆さんのレスが伝わっていなさそうですね。
> 1.ntpdは動作している機器の時刻と実際の時刻(外部NTPサーバから取得した時刻)があまり違うと同期できない。
> 2.従って、ntpd起動前にntpdateコマンドで外部NTPサーバを使ってサーバ機の時計を修正すると間違いない。
> 3. ntpdateコマンドはntpd起動中には使用できないので、ntpdを止めて時刻修正し、その後、起動すれば良い。
> と皆さんは言っているのですが・・・。
> 因みにredhatなら、起動スクリプトでstrangerさんが示したような動作をするので、30行目あたりに下記の1行(awk ・・・)を追加しておけば、/etc/ntp.confファイルを読んで"server"で記述されたCMOSクロックを除く外部NTPサーバを見つけて、/etc/ntp/step-tickersに書いてから走り始めるので、最初にntpdateしてそれからntpdが起動するので、すんなり動作します。上記を操作を自動化したものです。ご参考まで。
>
> ----- /etc/init.d/ntpd ----
> 30行目あたり
> RETVAL=0
> prog="ntpd"
> awk '/^server/ {print $2}' $ntpconf | grep -v '127.127.1.0' > $ntpstep
>
> -------- ntp.conf --------------
> restrict default ignore
>
> restrict 127.0.0.1
>
> # クライアントのネットワーク
> restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
>
> restrict 210.173.160.27 mask 255.255.255.255 nomodify notrap noquery
> restrict 210.173.160.57 mask 255.255.255.255 nomodify notrap noquery
> restrict 210.173.160.87 mask 255.255.255.255 nomodify notrap noquery
> server 210.173.160.27
> server 210.173.160.57
> server 210.173.160.87
>
> server 127.127.1.0 # local clock
> fudge 127.127.1.0 stratum 10
>
> driftfile /etc/ntp/drift
> broadcastdelay 0.008
> authenticate yes
>
> keys /etc/ntp/keys

おやじさん、わかりやすい解説を有難うございます。
同じHNの方がいらっしゃいますね。
# ntpdate ntp.ring.gr.jp
19 May 10:42:54 ntpdate[12353]: no server suitable for synchronization found
ntpdateの段階で何故だかうまくいっていないようです。
別のLedHatLinux7.2マシンでは正常に動きます。
まったく原因不明です。
宜しくお願いします。


恐らくファイヤウォール(iptables)の設定と思います。

No.18988 投稿時間:2005年05月19日(Thu) 18:09 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

> # ntpdate ntp.ring.gr.jp
> 19 May 10:42:54 ntpdate[12353]: no server suitable for synchronization found
> ntpdateの段階で何故だかうまくいっていないようです。
> 別のLedHatLinux7.2マシンでは正常に動きます。
> まったく原因不明です。

現象からすると、恐らくファイヤウォール(iptables)の設定と思います。ntpdの起動スクリプトが開放しているのは、serverで指定したホストから入ってくるソース・ディストネーションとも123番のUDPパケットだけで、ntpdが外部同期する時のことを想定したものだけです。
ntpdateコマンド実行時の通信は、サーバ機からみてディストネーションが123番のUDPですがソースポートは任意のポート番号の通信です。従って、iptablesの設定が厳しくなっていると(ex. セキュリティレベル高)、起動スクリプトでの設定では通過できず、ntpdateで外部サーバにアクセスした帰りのパケットが遮断されてしまい、上記のような現象が発生します。
テストですが、元々mfeedのサーバを設定されているようですから、まず、

# ntpdate 210.173.160.27

で駄目(no server suitable for synchronization found)なことを確認し、

# iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s 210.173.160.27/32 --sport 123 -d 127.0.0.1/32 -j ACCEPT

と210.173.160.27/32のホストからのソースが123番でlocalhost向けのudpはディストネーションポートは問わず通過させるという設定をいれ、再度、

# ntpdate 210.173.160.27

してみてください。恐らくこれで時刻設定ができると思います。
これでOKならファイヤウォールを同じように開けるか起動スクリプト中で開ければいいのですが、セキュリティレベルを中にするだけでも通過できるようになります。


早速試してみました。

No.18991 投稿時間:2005年05月19日(Thu) 20:49 投稿者名:Linux初心者 URL:

> > # ntpdate ntp.ring.gr.jp
> > 19 May 10:42:54 ntpdate[12353]: no server suitable for synchronization found
> > ntpdateの段階で何故だかうまくいっていないようです。
> > 別のLedHatLinux7.2マシンでは正常に動きます。
> > まったく原因不明です。
>
> 現象からすると、恐らくファイヤウォール(iptables)の設定と思います。ntpdの起動スクリプトが開放しているのは、serverで指定したホストから入ってくるソース・ディストネーションとも123番のUDPパケットだけで、ntpdが外部同期する時のことを想定したものだけです。
> ntpdateコマンド実行時の通信は、サーバ機からみてディストネーションが123番のUDPですがソースポートは任意のポート番号の通信です。従って、iptablesの設定が厳しくなっていると(ex. セキュリティレベル高)、起動スクリプトでの設定では通過できず、ntpdateで外部サーバにアクセスした帰りのパケットが遮断されてしまい、上記のような現象が発生します。
> テストですが、元々mfeedのサーバを設定されているようですから、まず、
>
> # ntpdate 210.173.160.27
>
> で駄目(no server suitable for synchronization found)なことを確認し、
>
> # iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s 210.173.160.27/32 --sport 123 -d 127.0.0.1/32 -j ACCEPT
>
> と210.173.160.27/32のホストからのソースが123番でlocalhost向けのudpはディストネーションポートは問わず通過させるという設定をいれ、再度、
>
> # ntpdate 210.173.160.27
>
> してみてください。恐らくこれで時刻設定ができると思います。
> これでOKならファイヤウォールを同じように開けるか起動スクリプト中で開ければいいのですが、セキュリティレベルを中にするだけでも通過できるようになります。

おやじさん、どうもです。
度々詳細なアドバイスを有難うございます。
早速試してみました。
# iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s 210.173.160.27/32 --sport 123 -d 127.0.0.1/32 -j ACCEPT
iptables: No chain/target/match by that name
# ntpdate 210.173.160.27
19 May 20:43:00 ntpdate[13638]: no server suitable for synchronization found
上記のようになりました。
宜しくお願いします。


お手上げに近いですが、ルータのポートフォワーディングは大丈夫ですか?

No.18992 投稿時間:2005年05月19日(Thu) 21:21 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/

> おやじさん、どうもです。
> 度々詳細なアドバイスを有難うございます。
> 早速試してみました。
> # iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s 210.173.160.27/32 --sport 123 -d 127.0.0.1/32 -j ACCEPT
> iptables: No chain/target/match by that name
> # ntpdate 210.173.160.27
> 19 May 20:43:00 ntpdate[13638]: no server suitable for synchronization found
> 上記のようになりました。
> 宜しくお願いします。

No.18980を見落としていました。RH7.2がOKということと、iptablesは停止しているようですから、これ以上は、おやじにはわかりません。
現象としては、外部ntpサーバと通信できない状況なので、パケットフィルタされているしか考えられないのですが、RH7.2がOKとなるとルータのフィルタの線もないので、お手上げです。
と書いてふと思ったのですが、後唯一残っているのが、ルータのフィルタではなく、誤ってポートフォワーディングで外部が123番のUDPパケットが全てRH7.2機にフォワードされたりしていないですよね。RH7.2機でパケットキャプチャしながら、RH9機でntpdateしたらパケットが飛び込んできているなんてことは無いですよね。
これぐらいしか、おやじには原因は考えられません。


ルータ(CoregaBARPro2)のアクセスログです。

No.18994 投稿時間:2005年05月19日(Thu) 23:37 投稿者名:Linux初心者 URL:

> > おやじさん、どうもです。
> > 度々詳細なアドバイスを有難うございます。
> > 早速試してみました。
> > # iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s 210.173.160.27/32 --sport 123 -d 127.0.0.1/32 -j ACCEPT
> > iptables: No chain/target/match by that name
> > # ntpdate 210.173.160.27
> > 19 May 20:43:00 ntpdate[13638]: no server suitable for synchronization found
> > 上記のようになりました。
> > 宜しくお願いします。
>
> No.18980を見落としていました。RH7.2がOKということと、iptablesは停止しているようですから、これ以上は、おやじにはわかりません。
> 現象としては、外部ntpサーバと通信できない状況なので、パケットフィルタされているしか考えられないのですが、RH7.2がOKとなるとルータのフィルタの線もないので、お手上げです。
> と書いてふと思ったのですが、後唯一残っているのが、ルータのフィルタではなく、誤ってポートフォワーディングで外部が123番のUDPパケットが全てRH7.2機にフォワードされたりしていないですよね。RH7.2機でパケットキャプチャしながら、RH9機でntpdateしたらパケットが飛び込んできているなんてことは無いですよね。
> これぐらいしか、おやじには原因は考えられません。

おやじさん、何度も済みません。
役に立つかわかりませんが、
# ntpdate 210.173.160.27
を実行したときのルータ(CoregaBARPro2)のアクセスログです。
080 23:32:46 2005/05/19 Access From:WAN, IP=210.173.160.27 Protocol=UDP
宜しくお願いします。


ルータのバーチャルサーバの設定が同期ができない原因でした。

No.18995 投稿時間:2005年05月20日(Fri) 01:31 投稿者名:Linux初心者 URL:

> > > おやじさん、どうもです。
> > > 度々詳細なアドバイスを有難うございます。
> > > 早速試してみました。
> > > # iptables -I RH-Lokkit-0-50-INPUT -m udp -p udp -s 210.173.160.27/32 --sport 123 -d 127.0.0.1/32 -j ACCEPT
> > > iptables: No chain/target/match by that name
> > > # ntpdate 210.173.160.27
> > > 19 May 20:43:00 ntpdate[13638]: no server suitable for synchronization found
> > > 上記のようになりました。
> > > 宜しくお願いします。
> >
> > No.18980を見落としていました。RH7.2がOKということと、iptablesは停止しているようですから、これ以上は、おやじにはわかりません。
> > 現象としては、外部ntpサーバと通信できない状況なので、パケットフィルタされているしか考えられないのですが、RH7.2がOKとなるとルータのフィルタの線もないので、お手上げです。
> > と書いてふと思ったのですが、後唯一残っているのが、ルータのフィルタではなく、誤ってポートフォワーディングで外部が123番のUDPパケットが全てRH7.2機にフォワードされたりしていないですよね。RH7.2機でパケットキャプチャしながら、RH9機でntpdateしたらパケットが飛び込んできているなんてことは無いですよね。
> > これぐらいしか、おやじには原因は考えられません。
>
> おやじさん、何度も済みません。
> 役に立つかわかりませんが、
> # ntpdate 210.173.160.27
> を実行したときのルータ(CoregaBARPro2)のアクセスログです。
> 080 23:32:46 2005/05/19 Access From:WAN, IP=210.173.160.27 Protocol=UDP
> 宜しくお願いします。

おやじさん、そして皆様有難うございました。
ルータのバーチャルサーバの設定が同期ができない原因でした。
何もわからず123ポートを有効にしていたので、無効にしたらうまくいきました。
ご迷惑をおかけしました。
以下に結果を示します。
# /etc/rc.d/init.d/ntpd reload
ntpdを停止中: [ OK ]
ntpd:時間サーバと同期中: [ OK ]
ntpdを起動中: [ OK ]
# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
ntp1.jst.mfeed. fs-monntp2.mfee 2 u 14 64 1 25.995 1.174 0.031
ntp2.jst.mfeed. 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
ntp3.jst.mfeed. ote-ntp1.jpnap. 2 u 36 64 1 25.965 0.033 0.031
LOCAL(0) LOCAL(0) 10 l 33 64 1 0.000 0.000 0.031
# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
ntp1.jst.mfeed. fs-monntp2.mfee 2 u 44 64 3 25.935 9.329 8.155
ntp2.jst.mfeed. 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
ntp3.jst.mfeed. ote-ntp1.jpnap. 2 u 51 64 3 26.049 8.022 7.989
LOCAL(0) LOCAL(0) 10 l 36 64 3 0.000 0.000 0.031
# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
ntp1.jst.mfeed. fs-monntp2.mfee 2 u 58 64 3 25.935 9.329 8.155
ntp2.jst.mfeed. 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
ntp3.jst.mfeed. ote-ntp1.jpnap. 2 u - 64 7 26.014 16.315 8.293
LOCAL(0) LOCAL(0) 10 l 50 64 3 0.000 0.000 0.031
# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
+ntp1.jst.mfeed. 210.173.160.86 2 u 56 64 17 26.028 23.471 5.642
ntp2.jst.mfeed. ote-ntp1.jpnap. 2 u 62 64 3 26.144 20.832 10.514
*ntp3.jst.mfeed. ote-ntp1.jpnap. 2 u 23 64 37 46.179 2.441 22.334
LOCAL(0) LOCAL(0) 10 l 11 64 37 0.000 0.000 0.031
苦労しただけに、めちゃ感動です。
皆様、アドバイスをどうも有難うございました。
今度はメールサーバに挑戦しようと思います。
その時はまた宜しくお願いします。


目次掲示板過去ログ目次▲頁先頭