<div dir="ltr">Matt,<div><br></div><div>Thank you for your quick response.  The config on both of my primaries is:</div><div><br></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><font face="monospace">driftfile /var/lib/ntpsec/ntp.drift</font></div><div><font face="monospace">leapfile /usr/share/zoneinfo/leap-seconds.list</font></div><div><font face="monospace">statistics loopstats peerstats clockstats</font></div><div><font face="monospace">filegen loopstats file loopstats type day enable</font></div><div><font face="monospace">filegen peerstats file peerstats type day enable</font></div><div><font face="monospace">filegen clockstats file clockstats type day enable</font></div><div><font face="monospace">tos maxclock 11</font></div><div><font face="monospace">tos minclock 4 minsane 3</font></div><div><font face="monospace">server <a href="http://utcnist2.colorado.edu">utcnist2.colorado.edu</a></font></div><div><font face="monospace">server <a href="http://bonehed.lcs.mit.edu">bonehed.lcs.mit.edu</a></font></div><div><font face="monospace">server <a href="http://time.nc7j.com">time.nc7j.com</a></font></div><div><font face="monospace">server <a href="http://tick.uh.edu">tick.uh.edu</a></font></div><div><font face="monospace">restrict default kod nomodify nopeer noquery limited</font></div><div><font face="monospace">restrict 127.0.0.1</font></div><div><font face="monospace">restrict ::1</font></div></blockquote><div><br></div><div>On my secondaries, I have:</div><div><br></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><font face="monospace">driftfile /var/lib/ntpsec/ntp.drift</font></div><div><font face="monospace">leapfile /usr/share/zoneinfo/leap-seconds.list</font></div><div><font face="monospace">statistics loopstats peerstats clockstats</font></div><div><font face="monospace">filegen loopstats file loopstats type day enable</font></div><div><font face="monospace">filegen peerstats file peerstats type day enable</font></div><div><font face="monospace">filegen clockstats file clockstats type day enable</font></div><div><font face="monospace">tos maxclock 11</font></div><div><font face="monospace">tos minclock 4 minsane 3</font></div><div><font face="monospace">pool <a href="http://ntp-core.cs.binghamton.edu">ntp-core.cs.binghamton.edu</a> iburst</font></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><font face="monospace">server primary1.x.x.x iburst</font></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><font face="monospace">server primary2.x.x.x iburst</font></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><font face="monospace">restrict default kod nomodify nopeer noquery limited</font></div><div><font face="monospace">restrict 127.0.0.1</font></div><div><font face="monospace">restrict ::1</font></div></blockquote><div><br></div><div>(In the secondary config, the names shown for the primaries have been obscured, but primaries and secondaries are all in the same DNS domain and same network segment.)</div><div><br></div><div>Thanks.</div><div><br></div><div>-Dave</div><div><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>--</div><div>Dave Hall<br>Binghamton University<br><a href="mailto:kdhall@binghamton.edu" target="_blank">kdhall@binghamton.edu</a><br>607-760-2328 (Cell)<br>607-777-4641 (Office)<br></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jul 22, 2024 at 11:38 AM Matt Selsky <<a href="mailto:Matthew.Selsky@twosigma.com">Matthew.Selsky@twosigma.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, Jul 22, 2024 at 10:17:21AM -0400, Dave Hall via users wrote:<br>
<br>
>    I have until recently had a two-tier NTP configuration running on an<br>
>    internal subnet with 2 'primary' servers configured to connect to external<br>
>    stratum 1 services, and 4 secondary servers syncing with the primaries. <br>
>    All other systems ('clients') in the subnet are configured to sync with<br>
>    the 4 secondary servers.  In 'ntpq -c pe' the 2 primary servers show as<br>
>    stratum 2.  <br>
>    WIth the upgrade to Debian 12, NTP is replaced by NTPSEC, and this no<br>
>    longer works:  The 4 secondary servers come up as stratum 16, causing all<br>
>    of the 'client' to become unsynced. <br>
>    In studying the documentation and with many experiments, I have not found<br>
>    a way to get past this.  Not that I have not configured any SSL<br>
>    certificates anywhere, the assumption being that my network segment is<br>
>    isolated enough that I should not need this.  Further, all of my systems<br>
>    are willing to sync with the 2 'primaries' even though they are still<br>
>    running the same old ntp.conf.<br>
>    So how do I get my secondaries to be something other than stratum 16, and<br>
>    where is this documented?<br>
<br>
Hi Dave,<br>
<br>
Can you please share your ntp.conf from both your primary and secondaries?<br>
<br>
Thanks,<br>
-Matt<br>
</blockquote></div>