NTP Server abfragen und Netzwerk prüfen

NTP nutzt UDP Port 123. Ein normaler TCP-Portcheck ist daher nicht ausreichend. ~~Mit~~Wenn ~~Debian-Standardtools~~bestimmte ~~kann~~NTP-Server ~~man~~per ~~vor~~IP-Adresse ~~allem~~getestet ~~prüfen,~~werden obsollen, ~~die~~muss ~~Zeitsynchronisierung~~eine ~~des~~echte ~~Systems~~NTP-Anfrage ~~funktioniert.~~an diese IP gesendet werden.

Keine Zusatzpakete notwendig

~~Die~~Der ~~folgenden~~folgende ~~Befehle~~Test ~~verwenden~~benötigt ~~Standardtools,~~keine ~~die~~zusätzlichen NTP-Tools wie ntpdig, sntp oder ntpdate. Er verwendet nur python3, falls es auf ~~einem~~dem System vorhanden ist.

Auf normalen Debian-~~System~~Systemen ~~mit systemd vorhanden sind. Es wird nichts installiert und es wird kein~~ist sudopython3 ~~verwendet.~~

häufig

~~Wichtig:~~vorhanden. ~~Mit~~Auf ~~diesen~~sehr ~~Standardtools~~minimalen ~~kann~~Systemen ~~man~~ist ~~normalerweise~~das ~~keine~~aber ~~beliebigen~~nicht garantiert. Ohne python3 oder ein NTP-~~Server~~Tool ~~direkt~~ist ~~einzeln~~ein ~~abfragen.~~sauberer ~~Man prüft stattdessen, ob der lokale Zeitdienst erfolgreich mit einem~~direkter NTP-~~Server~~Test ~~synchronisiert.~~gegen beliebige IP-Adressen nicht sinnvoll möglich.

1. ZeitstatusEinzelne desNTP-IP Systemstesten

~~prüfen~~

Beispiel-IP anpassen:

timedatectlpython3 status

~~Interessant~~192.168.10.10 ~~sind~~<<'PY' ~~vor~~import ~~allem:~~

datetime

import

Systemipaddress clockimport synchronized

socket

NTPimport service

struct

Timeimport zone

sys

~~Wenn~~len(sys.argv) System!= clock2: synchronized:print("FEHLER: yesBitte ~~angezeigt~~genau ~~wird,~~eine ~~funktioniert~~IP-Adresse angeben.") sys.exit(2) host = sys.argv[1].strip() try: ipaddress.ip_address(host) except ValueError: print(f"FEHLER {host}: Keine gültige IP-Adresse.") sys.exit(2) packet = bytearray(48) packet[0] = 0x23 try: infos = socket.getaddrinfo(host, 123, type=socket.SOCK_DGRAM) family, socktype, proto, _, sockaddr = infos[0] with socket.socket(family, socktype, proto) as sock: sock.settimeout(3) sock.sendto(packet, sockaddr) data, addr = sock.recvfrom(512) if len(data) < 48: print(f"FEHLER {host}: Antwort zu kurz, keine gültige NTP-Antwort.") sys.exit(1) stratum = data[1] tx_seconds, tx_fraction = struct.unpack("!II", data[40:48]) unix_time = tx_seconds - 2208988800 + tx_fraction / 2**32 server_time = datetime.datetime.fromtimestamp(unix_time, datetime.timezone.utc) if stratum == 0: print(f"WARNUNG {host}: Antwort erhalten, aber Stratum 0. Server lehnt die ~~Zeitsynchronisierung~~Anfrage ~~grundsätzlich.~~möglicherweise ~~Wenn~~ab.") ~~dort~~else: noprint(f"OK {host}: NTP-Antwort erhalten, Stratum {stratum}, Serverzeit {server_time.isoformat()}") except socket.timeout: print(f"FEHLER {host}: Timeout. Keine NTP-Antwort über UDP Port 123.") sys.exit(1) except OSError as e: print(f"FEHLER {host}: Netzwerkfehler: {e}") sys.exit(1) PY ~~steht, kommt aktuell keine erfolgreiche Synchronisierung zustande.~~

2. Mehrere NTP-SynchronisierungIPs genauertesten

~~prüfen~~

Die IP-Adressen in der ersten Zeile anpassen:

timedatectlfor timesync-status

~~Dieser~~in ~~Befehl~~192.168.10.10 ~~zeigt,~~192.168.10.11 ~~mit~~192.168.10.12; ~~welchem~~do ~~Zeitserver~~python3 ~~das~~- ~~System~~"$ip" ~~synchronisiert~~<<'PY' ~~und~~import obdatetime ~~Antworten~~import ~~vom~~ipaddress ~~NTP-Server~~import ~~kommen.~~

socket

~~Typische~~import ~~interessante~~struct ~~Angaben~~import ~~sind:~~

sys

host

Server= ~~oder~~sys.argv[1].strip() Servertry: Address

ipaddress.ip_address(host)

Stratum

except

PollValueError: Interval

print(f"FEHLER

Packet{host}: Count

Keine

Offset

gültige

IP-Adresse.")

~~Wenn~~sys.exit(2) ~~ein~~packet ~~Server,~~= ~~Stratum-Wert~~bytearray(48) ~~und~~packet[0] ~~Paketinformationen~~= ~~angezeigt~~0x23 ~~werden,~~try: ~~kommen~~infos ~~NTP-Antworten~~= ~~an.~~socket.getaddrinfo(host, ~~Wenn~~123, type=socket.SOCK_DGRAM) family, socktype, proto, _, sockaddr = infos[0] with socket.socket(family, socktype, proto) as sock: sock.settimeout(3) sock.sendto(packet, sockaddr) data, addr = sock.recvfrom(512) if len(data) < 48: print(f"FEHLER {host}: Antwort zu kurz, keine ~~Serverdaten~~gültige ~~oder~~NTP-Antwort.") ~~Fehler~~sys.exit(1) ~~angezeigt~~stratum ~~werden,~~= ~~ist~~data[1] ~~NTP~~tx_seconds, tx_fraction = struct.unpack("!II", data[40:48]) unix_time = tx_seconds - 2208988800 + tx_fraction / 2**32 server_time = datetime.datetime.fromtimestamp(unix_time, datetime.timezone.utc) if stratum == 0: print(f"WARNUNG {host}: Antwort erhalten, aber Stratum 0. Server lehnt die Anfrage möglicherweise ~~nicht~~ab.") ~~aktiv~~else: ~~oder~~print(f"OK {host}: NTP-Antwort erhalten, Stratum {stratum}, Serverzeit {server_time.isoformat()}") except socket.timeout: print(f"FEHLER {host}: Timeout. Keine NTP-Antwort über UDP Port ~~123~~123.") ~~wird~~except ~~blockiert.~~

OSError as e: print(f"FEHLER {host}: Netzwerkfehler: {e}") PY done

3. Maschinenlesbare Ausgabe prüfen

timedatectl show-timesync --all

~~Diese Ausgabe ist nützlich, wenn man gezielt Werte prüfen oder dokumentieren möchte.~~

~~Interessant sind zum Beispiel:~~

ServerName=

ServerAddress=

RootDistanceMaxUSec=

PollIntervalUSec=

NTPMessage=

4. Prüfen, ob systemd-timesyncdPython läuftvorhanden ist

systemctlpython3 is-active systemd-timesyncd.service

~~Mögliche Ausgaben:~~

~~Ausgabe~~	~~Bedeutung~~
`active`	~~Der Zeitdienst läuft.~~
`inactive`	~~Der Zeitdienst läuft aktuell nicht.~~
`failed`	~~Der Zeitdienst ist fehlgeschlagen.~~
`unknown`	~~Der Dienst ist nicht vorhanden oder nicht bekannt.~~

5. DNS separat prüfen

getent ahosts pool.ntp.org--version

Wenn ~~hier~~eine ~~IP-Adressen~~Versionsnummer angezeigt ~~werden,~~wird, ~~funktioniert~~kann ~~die~~der ~~Namensauflösung.~~Test verwendet werden. Wenn ~~keine~~python3: IP-Adressecommand zurückkommt,not liegtfound ~~das~~erscheint, ~~Problem~~ist ~~wahrscheinlich~~Python ~~bei~~auf ~~DNS~~diesem ~~und~~System nicht ~~direkt bei NTP.~~

6. Netzwerkroute prüfen

ip route get 1.1.1.1

Damit kann geprüft werden, ob das System grundsätzlich eine Route ins Netzwerk oder Internet hat. Das prüft aber nicht direkt NTP, sondern nur die allgemeine Erreichbarkeit über die Routing-Tabelle.installiert.

Warum nicht curl oder wget?

curl und wget ~~eignen~~können ~~sich nicht für~~keine echte NTP-~~Abfragen.~~Abfrage ~~Beide sind für HTTP, HTTPS, FTP und ähnliche URL-basierte Protokolle gedacht.~~machen. NTP läuft ~~aber~~ über UDP Port 123., nicht über HTTP oder HTTPS.

~~Man kann mit~~Mit curl oder wget ~~höchstens~~kann man nur prüfen, ob HTTP/HTTPS ~~und DNS grundsätzlich funktionieren:~~funktioniert:

curl -I https://www.debian.org
wget --spider https://www.debian.org

~~Diese~~Das ~~Tests sagen~~sagt aber nichts Sicheres darüber aus, ob NTP über UDP Port 123 erlaubt ist. Denn natürlich kann Netzwerkdiagnose nicht einfach mal logisch sein.

Warum nicht nur Bash mit /dev/udp?

Bash kann zwar Daten an /dev/udp/IP/PORT senden, aber UDP hat keinen Verbindungsaufbau wie TCP. Nur weil ein UDP-Paket gesendet wurde, weiß man noch nicht, ob ein NTP-Server geantwortet hat.

Für einen brauchbaren Test muss eine echte NTP-Anfrage gesendet und die Antwort ausgewertet werden. Genau das macht der Python-Test oben.

Ergebnis bewerten

~~liefert~~gültige

Ergebnis	Bedeutung
`SystemOK clock... synchronized:NTP-Antwort yeserhalten`	Die ~~Systemzeit~~IP-Adresse ~~wird~~antwortet ~~erfolgreich~~auf ~~synchronisiert.~~NTP über UDP Port 123.
`timedatectlWARNUNG timesync-status... Stratum 0` ~~zeigt Serverdaten~~	~~NTP-Antworten~~Der ~~kommen~~Server ~~grundsätzlich~~hat ~~an.~~geantwortet, lehnt die Anfrage aber möglicherweise ab oder liefert keine nutzbare Zeit.
`System clock synchronized: noTimeout`	~~Aktuell~~Keine ~~keine~~Antwort ~~erfolgreiche~~erhalten. ~~Zeitsynchronisierung.~~UDP Port 123 wird möglicherweise blockiert oder der Server antwortet nicht.
`systemd-timesyncd.service` ~~ist~~ `inactive` ~~oder~~ `failedNetzwerkfehler`	~~Der~~Es ~~lokale~~gibt ~~Zeitdienst~~ein ~~läuft~~lokales ~~nicht~~Netzwerkproblem, ~~korrekt.~~Routingproblem oder ein Problem mit der Adresse.
`getentKeine ahostsgültige IP-Adresse`	Der angegebene Wert ist keine ~~IP-Adresse~~	~~DNS-Auflösung~~IPv4- ~~funktioniert~~oder ~~nicht.~~IPv6-Adresse.

Kurzfazit

~~Mit~~Wenn ~~Debian-Standardtools~~bestimmte ~~prüft~~IP-Adressen ~~man~~getestet ~~NTP~~werden amsollen, ~~besten über~~reicht timedatectl status, timedatectl timesync-status ~~und~~nicht timedatectlaus. show-timesync --all~~. Wenn dort ein aktiver Server und erfolgreiche Synchronisierung angezeigt werden, funktionieren NTP-Abfragen aus dem Netzwerk grundsätzlich.~~

Für ~~eine~~einen ~~direkte~~direkten ~~Einzelabfrage gegen beliebige NTP-Server~~Test braucht man entweder ein ~~zusätzliches~~ NTP-~~Werkzeug~~Tool wie ntpdig oder einen kleinen UDP-NTP-Test wie oben mit python3.

Ohne ~~solche~~python3, ~~Zusatztools~~ntpdig, sntp oder ntpdate ist ~~nur~~ein ~~die~~sauberer ~~Prüfung~~direkter ~~über~~NTP-Test ~~den~~gegen ~~vorhandenen~~beliebige ~~System-Zeitdienst~~IP-Adressen nicht realistisch möglich.