1. При загрузке обязательно ntpdate -n _сервер_провайдера_

При этом скачком меняется время и система грузится с нормальным временем. Вместо сервера провайдера можно указать один из шаровых серверов stratum 2, взяв его из списка на ntp.org.

Почему скачком лучше? Не нужно ждать, однако... К тому же после подъема ntpd время будет все время хорошее.

2. В /etc/ntp.conf нужно:

а). указать не менее трех серверов

server 212.109.47.1
server 193.25.198.254
server 195.7.224.135

б). указать дрифтфайл и (при желании) логфайл

driftfile /etc/ntp.drift
logfile /var/log/ntp.log

в). прописать рестрикты примерно так:

restrict default ignore                    # По умолчанию никому ничего
restrict 127.0.0.1                         # В рамках роутера можно все
restrict 212.109.47.1 noquery notrap       # Сервера, с которыми сверяемся,
restrict 193.25.198.254 noquery notrap     # должны иметь возможность менять
restrict 195.7.224.135 noquery notrap      # наше время

# А наша сетка может только слушать...

restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap

Понятно, что адреса серверов и нашей сетки здесь для примера (точнее мои), нужно будет поправить под свои. В рестриктах - только адреса, никаких доменных имен.

Затем:

sudo touch /etc/ntp.drift
sudo chmod 400 /etc/ntp.conf /etc/ntp.drift

Смотрим, чтобы в /etc/rc.conf стояло:

ntpdate_enable="YES"
ntpdate_program="/usr/sbin/ntpdate"
ntpdate_flags="-u 212.109.47.1"
xntpd_enable="YES"
xntpd_program="/usr/sbin/ntpd"
xntpd_flags="-p /var/run/ntpd.pid"

И перестартуем ntpd

Зачем три сервера? Если будет меньше, у нас будет стратум 16 и внутренние машинки откажутся выставлять время по нам.

Зачем дрифтфайл? Исходя из этих же соображений.

Как проверить? Дать демону 10-15 минут (в зависимости от канала) "подумать".
Два дня убил, пока понял, что демон не торопится. Смотреть ntpq -c peers

С такими вот конфигами имею стратум 3, чего и вам желаю...