NTP broken with 7.1?

Okay, so I killed the HTTP proxy and the SOCKS5 proxy and NTP started working again. No reboot, no nothing.

It looks like there is a fundamental problem with the packet processing (that interferes with other functions of the Astaro server) that for me is worse in 7.1 vs. 7.011.

Even a moderate load on Astaro will cause issues in other services. Also if the CPU spikes due to 'admin-reporter.' hogging one CPU to the tune of 90-100% then there are other problems. 

It is like Astaro is running a denial of service attack on itself [:S]

So the lesson here is to image the Astaro box before doing a firmware upgrade. For me, 7.1 is a downgrade.

Something does seem to be amiss with NTP or its interaction with the hardware clock. I have 2 older IBM 8310 PCs, one running SuSE 9 (with NTP running) and one with Astaro 7.1 (setup with an NTP source) and I have swapped the hardware between the 2 and the problem follows the Astaro. They are both setup to access the same external Internet NTP source.

The Astaro box kept semi-locking up, the Webadmin didn't want to load, you couldn't get a console login to work, I couldn't get a PPTP connection to complete but NAT functions allowing OWA access and email was passing through. I am not using the HTTP proxy, just the SMTP proxy. When I would restart the system and look at any reports there would be a large gap in time like the system had quit logging.

What I discovered was that the system was jumping back in time and I assume that NTP couldn't handle it. I have removed all NTP Server entries and the lockup problem is gone but last night the system jumped back 13 hours (I'm using US Eastern time if that helps solve the problem). Remember, this same hardware did not have the problem with the SuSE NTP so it has something to do with the Astaro. It may have something to do with the IBM 8310 and Astaro becvause I have other hardware that doesn not have the problem but I've tried BIOS updates with no change to the problem.

I also know that the system doesn't lose time, I check during the day, it jumps back by hours, the min. remain correct. I can't say it always happens at night but that is when I catch it because I won't have an Executive Report in the morning and when I connect to the system I discover it is because the system time hasn't reached the end of the previous day yet.

I hope all this deatil helps.

Maybe a timezone problem? How many hours is it jumping? Are you using EDT (GMT -5)?

Barry

I'm having occasional NTP failures on my LAN, with ASL 7.101 as the time server.

I noticed the clock on my PC (Win XP) was off by over 2 minutes... tried to get the time settings window to do an 'update now', and it failed (timed out).

Fired up WireShark, and tried again, but this time it worked.

Are there any logs on ASL for the NTP service?

These errors are logged in the Windows Event Log:
The time service has not been able to synchronize the system time for 49152 seconds because none of the time providers has been able to provide a usable time stamp. The system clock is unsynchronized.

I have 45 W32TIME messages logged, 15 are successes, the other 30 are errors... this is NOT GOOD!

Barry

Still getting lots of NTP errors on the WinXP clients.

This doesn't bode well for us upgrading our firewall at work, as one of the compelling features was the NTP server (for PCI compliance).

Barry

This doesn't bode well for us upgrading our firewall at work, as one of the compelling features was the NTP server (for PCI compliance).

Barry

got any cisco gear around in that network? you can use that as ntp server...

Nope, not at our CoLo.

Barry

Could it have something to do with the server that Astaro is syncing with?

IMO, one major limitation of the Astaro NTP daemon is that it only lets you specify a single host to synchronize with. Any real NTP server will have at least 2 NTP servers to synchronize with and preferably 3-4.

Astaro is set to sync from pool.ntp.org, which is not a single host.
I can't find an ntp log on Astaro, but the clock is correct.

Barry

Astaro is set to sync from pool.ntp.org, which is not a single host.

While pool.ntp.org is not a single host, if you are using it to synchronize your NTP server, you are only using a single host. Astaro will not let you use a DNS host group record (or other group record) as the synchronization target for the NTP server (which is the topic of one of my annoyances with V7)

Even if the ntpd used pool.ntp.org (the hostname) instead of the first returned A record from the DNS server, ntpd also only uses the first returned A record. It does not periodically re-lookup the IP address.

If you wanted to use pool.ntp.org as your synchronization source, you should use 0.pool.ntp.org, 1.pool.ntp.org and 2.pool.ntp.org instead which will return 3 distinct sets of IP addresses.

Ideally, you would use one of the pools which returns servers geographically close to you since these will likely be "closer" to you on the network - the "closer" a time server is to you on the network, the more reliable that time server will be. Not to mention, more efficient since you don't have to send/receive packets half-way around the world and back.

BTW, if Astaro is using pool.ntp.org as a default setting, they are violating the projects terms of service. Astaro should apply for a vendor specific zone.

There is a ton of information on how to best use (and join!) pool.ntp.org on their website.