NTP Server abfragen und Netzwerk prüfen

NTP nutzt UDP Port 123. Ein normaler TCP-Portcheck ist daher nicht ausreichend. AmMit ~~zuverlässigsten~~Debian-Standardtools ~~prüft~~kann man ~~NTP~~vor ~~mit~~allem ~~einer~~prüfen, ~~echten~~ob ~~NTP-Abfrage.~~die Zeitsynchronisierung des Systems funktioniert.

WasKeine mussZusatzpakete notwendig

Die folgenden Befehle verwenden Standardtools, die auf einem normalen Debian-System mit systemd vorhanden sind. Es wird nichts installiert ~~sein?~~und es wird kein sudo verwendet.

~~Für~~Wichtig: ~~eine~~Mit ~~einfache~~diesen ~~NTP-Abfrage~~Standardtools ~~empfiehlt~~kann ~~sich unter Debian 13:~~

apt update
apt install ntpsec-ntpdig

~~Danach steht~~man normalerweise ntpdigkeine ~~zur~~beliebigen ~~Verfügung.~~NTP-Server ~~Das~~direkt ~~ist~~einzeln abfragen. Man prüft stattdessen, ob der ~~passende~~lokale ~~Ersatz~~Zeitdienst ~~für~~erfolgreich ~~viele~~mit ~~alte~~einem sntp~~-Beispiele.~~

NTP-Server

~~Optional:~~

apt install ntpsec-ntpdate

~~Dann kann auch~~ ntpdate -q ~~verwendet werden.~~synchronisiert.

1. NTP-Server direkt abfragen

~~Beispiel mit öffentlichem NTP-Server:~~

ntpdig time.cloudflare.com

~~Weitere Beispiele:~~

ntpdig pool.ntp.org
ntpdig ptbtime1.ptb.de
ntpdig time.google.com

~~Internen NTP-Server testen:~~

ntpdig 192.168.10.10
ntpdig ntp.example.local

2. Alternative mit ntpdate

ntpdate -q time.cloudflare.com
ntpdate -q 192.168.10.10

~~Der Parameter~~ -q ~~fragt nur ab und setzt die Systemzeit nicht.~~

3. Zeitstatus des Systems prüfen

timedatectl status

Interessant sind vor allem:

System clock synchronized
NTP service
Time zone

Wenn System clock synchronized: yes angezeigt wird, funktioniert die Zeitsynchronisierung grundsätzlich. Wenn dort no steht, kommt aktuell keine erfolgreiche Synchronisierung zustande.

4.2. FallsNTP-Synchronisierung chronygenauer verwendet wirdprüfen

chronyctimedatectl -N tracking
chronyc -N sources -vtimesync-status

~~Bei~~Dieser ReachBefehl ~~größer~~zeigt, ~~als~~mit 0welchem ~~kommen~~Zeitserver ~~grundsätzlich~~das System synchronisiert und ob Antworten vom NTP-Server ~~zurück.~~kommen.

Typische interessante Angaben sind:

Server oder Server Address

Stratum

Poll Interval

Packet Count

Offset

Wenn Reachein ~~dauerhaft~~Server, 0Stratum-Wert ~~bleibt,~~und Paketinformationen angezeigt werden, kommen ~~keine verwertbaren~~ NTP-Antworten an. Wenn keine Serverdaten oder Fehler angezeigt werden, ist NTP möglicherweise nicht aktiv oder UDP Port 123 wird blockiert.

3. Maschinenlesbare Ausgabe prüfen

timedatectl show-timesync --all

Diese Ausgabe ist nützlich, wenn man gezielt Werte prüfen oder dokumentieren möchte.

Interessant sind zum Beispiel:

ServerName=

ServerAddress=

RootDistanceMaxUSec=

PollIntervalUSec=

NTPMessage=

4. Prüfen, ob systemd-timesyncd läuft

systemctl is-active systemd-timesyncd.service

Mögliche Ausgaben:

Ausgabe	Bedeutung
`active`	Der Zeitdienst läuft.
`inactive`	Der Zeitdienst läuft aktuell nicht.
`failed`	Der Zeitdienst ist fehlgeschlagen.
`unknown`	Der Dienst ist nicht vorhanden oder nicht bekannt.

5. DNS separat prüfen

getent ahosts pool.ntp.org

Wenn hier IP-Adressen angezeigt werden, funktioniert die Namensauflösung. Wenn keine IP-Adresse zurückkommt, liegt das Problem wahrscheinlich bei DNS und nicht direkt bei NTP.

6. Netzwerkroute prüfen

ip route get 1.1.1.1

Damit kann geprüft werden, ob das System grundsätzlich eine Route ins Netzwerk oder Internet hat. Das prüft aber nicht direkt NTP, sondern nur die allgemeine Erreichbarkeit über die Routing-Tabelle.

Warum nicht curl oder wget?

curl und wget eignen sich nicht für echte NTP-Abfragen. Beide sind für HTTP, HTTPS, FTP und ähnliche URL-basierte Protokolle gedacht. NTP läuft aber über UDP Port 123.

Man kann mit curl oder wget höchstens prüfen, ob HTTP/HTTPS und DNS grundsätzlich funktionieren:

curl -I https://www.debian.org
wget --spider https://www.debian.org

Diese Tests sagen aber nichts Sicheres darüber aus, ob NTP über UDP Port 123 erlaubt ist.

Ergebnis bewerten

Ergebnis	Bedeutung
~~Antwort~~`System mitclock Zeitsynchronized: / Offset / Stratumyes`	~~NTP-Abfragen~~Die ~~funktionieren.~~Systemzeit wird erfolgreich synchronisiert.
~~Timeout~~`timedatectl timesync-status` zeigt Serverdaten	~~UDP~~NTP-Antworten ~~Port~~kommen ~~123~~grundsätzlich ~~wird wahrscheinlich blockiert oder der Server antwortet nicht.~~an.
~~Name~~`System orclock synchronized: no`	Aktuell keine erfolgreiche Zeitsynchronisierung.
`systemd-timesyncd.service` ~~not~~ist ~~known~~`inactive` oder `failed`	Der lokale Zeitdienst läuft nicht korrekt.
`getent ahosts` liefert keine IP-Adresse	DNS-Auflösung funktioniert nicht.
~~No response / no suitable server~~	~~Server nicht erreichbar, NTP blockiert oder kein gültiger NTP-Server.~~

Kurzfazit

Mit Debian-Standardtools prüft man NTP am besten über timedatectl status, timedatectl timesync-status und timedatectl show-timesync --all. Wenn dort ein aktiver Server und erfolgreiche Synchronisierung angezeigt werden, funktionieren NTP-Abfragen aus dem Netzwerk grundsätzlich.

Für eine direkte Einzelabfrage gegen beliebige NTP-Server braucht man ein zusätzliches NTP-Werkzeug wie ntpdig. Ohne solche Zusatztools ist nur die Prüfung über den vorhandenen System-Zeitdienst möglich.