【分享】NTP網(wǎng)絡時間服務器的功能原理是什么？

【分享】NTP網(wǎng)絡時間服務器的功能原理是什么？

【分享】NTP網(wǎng)絡時間服務器的功能原理是什么？

概述：電腦時間走時不準是出了名的。它一般是以廉價的振蕩電路或石英鐘為基礎，每天的誤差可達數(shù)秒，經(jīng)過一段時間的累積就會出現(xiàn)較大的誤差。隨著不斷增加的分散式計算和我們對網(wǎng)絡的依賴性的加強，不準確的電腦時間對于網(wǎng)絡結構以及其中的應用程序的安全性會產(chǎn)生較大的影響，尤其是那些對沒有實現(xiàn)網(wǎng)絡同步而導致的問題比較敏感的網(wǎng)絡指令或應用程序。
1、網(wǎng)絡指令
要得到最佳的網(wǎng)絡表現(xiàn)（performance）,就得向系統(tǒng)提供時間同步信息。千萬不要等到出了問題才認識到時間同步的重要性。如果沒有時間同步，網(wǎng)絡指令是無法正常運行的。
時間同步直接影響網(wǎng)絡指令的領域有：
--記錄文件安全、審查和監(jiān)控
--網(wǎng)絡錯誤檢查和復原
--文件時間戳
--目錄服務
--存取安全與確認
--分散式計算
--預設操作
--真實世界時間值
2、記錄文件安全、審查和監(jiān)控
服務器記錄文件以及其后的報告中的數(shù)據(jù)來評估組織的活動，包括防火墻和VPN安全相關的活動，帶寬的使用，以及其他各種各樣的記錄、管理、確認、授權和會計職能。由于服務器記錄的是來自不同主機的信息，因此時間的準確性顯得非常必要，否則的話就可能出現(xiàn)不同的事件順序和故障排除的根源問題，使得與時間有關的一切數(shù)據(jù)都變得毫無意義。即使是在路由器里，像路由器配置改變、接口狀態(tài)、調制解調器事件、安全警報、環(huán)境條件、CPU處理過載等主要的配置事件和系統(tǒng)錯誤信息，都要有準確的時間戳，這些數(shù)據(jù)才有意義。
比如微軟應用中心的監(jiān)控程序，它在同步和監(jiān)控過程中就用到了時間值。磁簇中不同步的時間會導致矛盾的行為。執(zhí)行計算數(shù)據(jù)的時間轉換就是其中毅力，它使我們得到的值看上去與實際值有偏差。
在Sun Microsystem的詞簇mode里，進行中的時間同步對記錄文件的準確性更為重要，因為管理員無法修改一個正在運行的詞簇節(jié)點上的時間。而且管理員也不應該用date,rdate,ntpdate之類的命令來修改詞簇時間。這些命令的運行會導致詞簇時間的突然改變并因此出現(xiàn)錯誤。
很多企業(yè)都曾經(jīng)受到過公眾廣泛關注的denial of service的襲擊。網(wǎng)絡安全專家利用原本用于檢查root-cause網(wǎng)絡事件的RMON記錄來實施網(wǎng)絡犯罪。
3、網(wǎng)絡錯誤診斷和修復
大多數(shù)IT組織都以它們保持full flow網(wǎng)絡指令的能力來衡量其好壞。停機時間的嚴格限制是服務器質量最常用的衡量標準之一。所有IT部門對此都非常敏感。在出現(xiàn)錯誤的時候，準確的 網(wǎng)絡時間對于錯誤的診斷和修復起著非常關鍵的作用。
為了進行錯誤診斷，連接破壞、緩沖溢位、數(shù)據(jù)包丟失和其他的關鍵網(wǎng)絡事件都會由服務器、路由器、開關及專用儀器中的RMON進行捕捉、記錄和報告。要是root-cause造成網(wǎng)絡坍塌。那么系統(tǒng)將會列出一份關于RMON事件的報告。這些事件都帶有RMON代理程序給他們加上的時間戳，并以時間為索引。如果時間是同步的，那么各事件的順序就可以很方便的排出來，root-cause也就很容易確定了。如果沒有實現(xiàn)網(wǎng)絡時間同步，root-cause 將很難確定，并會一直持續(xù)下去。
4、文件時間戳
任何文件系統(tǒng)的完整性都在很大程度上依賴于文件自身的名稱和日期。獨立的文件更會詳細的記錄創(chuàng)立日期、上次讀取時間、上次存檔時間和上次修改時間。在分散的文件共享系統(tǒng)中，網(wǎng)絡文件共享服務器（NFS）維護主要文件以供遠程客戶機使用。NFS是獨立于網(wǎng)絡時間的。當接受到兩份名稱相同的文件時，NFS只認可最新的一份。如果客戶機給一份遠程讀取的文件所加的時間戳早于文件登錄到NFS上的時間，那么客戶機文件連同所做的一切修改都會被刪除。
5、目錄服務
網(wǎng)絡時間同步是網(wǎng)絡設計和搭建的重要組成部分。多個網(wǎng)絡目錄服務系統(tǒng)相互交換信息之后，要根據(jù)時間戳對目錄服務數(shù)據(jù)庫的修改時間進行調整使其一致。群組軟件應用中的目錄和合作也要用到準確的時間。沒有時間同步的網(wǎng)絡，對時間敏感的系統(tǒng)和應用就無法正常進行。在WindowsNT網(wǎng)絡中，所有的NT服務器和客戶機都與一個作為共同標準的時間源同步。相似的，Novell目錄服務（NDS）也是利用時間戳來確認事件發(fā)生的順序并記錄真實世界時間值。
6、存取安全和確認
Windows 2000是最新，也是最典型的網(wǎng)絡時間同步的例子。在Windows 2000中，預設確認協(xié)議在authentication ticket generation process中要用到工作站時間，因此同步的事件是一個很關鍵的因素。Windows 2000中包含了一個W32 Time 時間服務工具，它的作用是確保一個組織中的所有Windows 2000用戶都采用統(tǒng)一的時間。時間服務采用的是可以控制使用權和防止回圈的階層式關系來保證共同時間的使用。所有的客戶機桌面和成員服務器都指定他們自己的確認網(wǎng)域控制器為時間搭檔。在往上直到初級網(wǎng)域控制器（PDC）的整個階層結構中都是如此。而PDC則于某個可靠的時間源同步，比如專門的網(wǎng)絡時間服務器。要是沒有可用的時間服務器，不同網(wǎng)域控制器的時間差別超出了Kerberos的允許范圍，那么兩臺網(wǎng)域控制器之間的確認/登錄就無法實現(xiàn)，還會出現(xiàn)錯誤信息。
7、分散計算
IBM在他們的分散計算環(huán)境（DCE）中認識到了時間同步的重要性。DCE是一系列的服務，這些服務共同作用，可以為升級和分散應用提供一個高水平、連貫的環(huán)境。DCE的四種主要服務分別是：遠程程序呼叫，目錄服務、安全服務和分散時間服務。分散時間服務要解決的是在一個分散系統(tǒng)中不同主機的時間同步問題。在客戶機和服務器組成的集合中，主機的系統(tǒng)時鐘與安全服務器主機的時鐘的差別不能大于5分鐘。如果大于5分鐘就會導致確認錯誤，客戶機的配置也會fail.
8、預定指令
Cron Scripts和Crontab是命令列表，這些命令大多用于計算機操作系統(tǒng)或應用服務器并在指定時間執(zhí)行。由于這類指令多用于數(shù)據(jù)備份，因此它們的預設執(zhí)行時間都是在深夜，在一天的交易結束以后。為了使命令在我們想要的時間運行，一臺單機與時間源必須同步。在多臺主機同時執(zhí)行獨立Cron文件的情況下，主機的時間同步更顯得重要，這樣多個預定操作才可能相互協(xié)調進行。
9、真實世界時間值
操作一個使用真實世界時間值的網(wǎng)絡是無法用別的什么東西來替代的。我們可以在時間不正確的情況下運行一個網(wǎng)絡，但這種方式是不可取的。局域網(wǎng)與其他更大的網(wǎng)絡相互連接，它們之間唯一共同的東西就是準確的時間。真實世界時間是以UTC為基礎的，它是格林威治日平時采用的最新的標準時間。在UTC基礎上運行的網(wǎng)絡有著共同的實踐基礎。UTC時間來自于一個精確、安全、可靠的時間源，然后經(jīng)由各種操作系統(tǒng)轉換為當?shù)貢r間。正是由于有了共同的時間參考，網(wǎng)絡管理員才可以獲取與時間有關的信息，從而保證網(wǎng)絡的正常運行，避免各種問題的出現(xiàn)。
10、應用
很多計算機應用程序都使用時間戳作為一個關鍵要素，給那些精確設計好的數(shù)據(jù)增加了非凡的意義。共享數(shù)據(jù)庫、廣告和商務系統(tǒng)、信息獲取、電子郵件以及大量其他的應用都相當依賴于不同程度的精確度和準確的時間輟。時間戳的應用領域是非常廣泛的，其中的常見應用在很大程度上要靠網(wǎng)絡時間同步來提供時間信息。
時間同步直接影響應用的關鍵領域有：
--工程進度控制
--軟件開發(fā)
--電子郵件
--法律法規(guī)的需求
--用戶名和密碼
11、交易處理
交易處理中的時間同步并不是一個新問題。在六十年代， IBM 即認識到時間同步在高價值交易中的重要性。 IBM 的" redbook "中提到："在數(shù)據(jù)處理中，時間和日期準確性的要求是長期的。當單一系統(tǒng)被多重或雙重系統(tǒng)代替后，這就要求系統(tǒng)時鐘既有準確性，又有兼容性。"
現(xiàn)在，我們用網(wǎng)絡完成各種各樣的交易。在這個網(wǎng)絡系統(tǒng)中，會使用多種不同型號和功能的服務器和工作站。應用時間戳要求有一秒的限制。時間戳回答了交易何時發(fā)生這樣的問題，也就是購買命令何時發(fā)出，電話何時接通和掛斷等。
我們需要把交易時間戳精確到毫秒的十位級，是因為我們需要確定交易發(fā)生的正確順序，特別是大量交易幾乎同時發(fā)生時。由于電腦交易都是自動和迅速完成的，用于確定系統(tǒng)時間的時間必須少于最少的交易時間――確定時間大約需要 5-20 毫秒。
12、軟件發(fā)展
程序設計是一個設計組的分散任務。這個設計組可以在不同的服務器上編碼，而且有時需要跨地區(qū)工作。最終，所有編碼都要編入一個程序中。"編文件"（ MAKE ）功能或某種"版本控制系統(tǒng)"可用于對來自分散服務器的軟件進行管理。當源文件被修改后，時間戳可以用來決定哪個文件需要被重建。當網(wǎng)絡文件系統(tǒng)生成了某種目錄后，而服務器和客戶對現(xiàn)在時間有不同的認識時?quot;編文件"功能不能重建某些源文件，也不能編寫基于最新信息的可操作文件。有許多這樣的報告：當工程師往源編碼文件輸入"修改"（ FIX ）命令時，在最終編寫文件的過程中只有"修改"這個命令被省略了。而它給公司帶來了極大的難堪和浪費。這種錯誤是很難檢查出的。在使用過程中，編程人員第一個反映是咒罵軟件蟲。然后，設計組將花費大量的時間檢查出軟件蟲是由于含有丟失文件的基礎部分被修改引起的，而這種修改就是因為缺乏服務器時間同步。
13、電子郵件
電子郵件正迅速成為書面交流的標準形式。IDC的一項調查表明，到2000年底的時候，全世界平均每天發(fā)送的電子郵件數(shù)量達到了100億。預計到2005年，世界上每天發(fā)送電子郵件的數(shù)量將超過這一數(shù)字的3倍，達到驚人的350億。每一封通過網(wǎng)絡傳輸?shù)碾娮余]件都附帶了發(fā)信時的時間輟。時間戳的錯誤將造成收信端的混亂，也會引起人們對郵件系統(tǒng)的可信度的質疑。
14、法規(guī)要求
根據(jù)某些法律和規(guī)章的要求，網(wǎng)絡時間必須是準確、可追蹤的。NASD要求它的成員按照NIST的UTC時間給股票交易加上時間戳，這個時間戳必須精確到三秒以內(nèi)。這一要求對于時間同步具有相當大的挑戰(zhàn)性，因為NASD在全美有著5500會員和超過82000個分支機構。在商業(yè)交易發(fā)生時，同步的、可追蹤的時間有利于進行確認，宣布交易生效。其它法律、醫(yī)藥、電信方面的應用也要求把可追蹤的時間標準作為他們的網(wǎng)絡操作原則之一。
15、用戶名與密碼
2000年，美國通過了電子簽名法案。這項法案規(guī)定，計算機與他們的host組織之間有著契約上的義務。一臺計算機或者某人掌握了正確的用戶名和密碼，他就可以進行交易，而在ID和口令撤消之后系統(tǒng)就會拒絕存取。

總結
在true time我們從客戶的經(jīng)歷中了解到了網(wǎng)絡時間同步的重要性。每天我們都在幫助客戶維持必要的網(wǎng)絡職責，以使他們的公司順利運轉，這些顧客認識到了很多的網(wǎng)絡操作和運用都依賴于穩(wěn)定的網(wǎng)絡時間同步來發(fā)揮作用，同時它也使得可能出現(xiàn)的問題更易解決。
我們堅定地相信在建立一個高質量的網(wǎng)絡時間同步系統(tǒng)方面的優(yōu)勢不僅在現(xiàn)在，而且在將來都能帶來收益。

審核編輯 黃宇