Solución:
Dependiendo de cuán crítico sea el mantenimiento del tiempo en su entorno, es posible que no desee que server1 sea un único punto de falla. Si tiene que desconectarlo para realizar tareas de mantenimiento o reparación durante un período de tiempo prolongado, sus pares dejarán de sincronizarse. Todo es cuesta abajo desde allí.
¿Por qué no tener server1, server2, server3, server4 todos sincronizados con 4 o 5 pares de Internet? Entonces, ¿su red interna puede hacer referencia a estos sistemas?
La sabiduría convencional dice que 3 es lo que necesita para el quórum, pero debe ser tolerante con que al menos uno se determine como falseticker o se desconecte.
Por favor mira; 5.3.3. Cantidad de servidor de tiempo ascendente
Además, mencionas rarezas y problemas con tu configuración actual. Sería útil ver el resultado de ntpq -p
para los hosts relevantes.
Si bien no es estrictamente cierto que 2 servidores no sirvan de nada, el borrador de las mejores prácticas actuales de RFC recomienda 4 como mínimo. El algoritmo de intersección de NTP no depende simplemente del quórum en el número de servidores, sino también en el calidad del momento en que regresan, y eso no se puede predecir. Entonces, cuanto más, mejor. No hay problema en tener hasta 10 servidores NTP ascendentes.
Como mencionó Aaron, los servidores 1-4 propuestos deben apuntar a servidores NTP ascendentes, y sus sistemas internos deben apuntar a los 4. Los servidores 1-4 también pueden emparejarse entre sí (en modo simétrico), pero eso no es estrictamente necesario.
Es importante comprender por qué no debe canalizar NTP a través de un solo servidor en ningún punto de su arquitectura: NTP requiere múltiples servidores para precisión, no solo redundancia (consulte los documentos de NTP para obtener una descripción de los algoritmos, que explica por qué). (Enchufe descarado: he escrito más sobre esto en otro lugar, incluidas sugerencias para la arquitectura).