Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Ferramenta de segurança adaptável FAQ: Por que o ASA falha à sincronização com o Windows Server configurado como um servidor de NTP?

16 Agosto 2014 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (30 Julho 2014) | Feedback

Introdução

Este documento descreve a razão pela qual o ASA não sincroniza o tempo com o server do Network Time Protocol (NTP), que causas o valor da dispersão do padrão a ser mais do que o segundo, e o que pode ser feito para resolver este problema.

Contribuído por Magnus Mortenson, engenheiro de TAC da Cisco.

Por que o ASA falha à sincronização com o Windows Server configurado como um servidor de NTP?

A ferramenta de segurança adaptável (ASA) não faz tempo de sincronização com server do Network Time Protocol (NTP) quando o servidor de NTP envia um valor da dispersão de mais do que o segundo. Este é o valor da dispersão do padrão de um Microsoft Windows server quando usado como um servidor de NTP. Como esta edição é resolvida?

NTP: rcv packet from 172.23.226.161 to 172.23.246.71 on management:
leap 0, mode 4, version 3, stratum 2, ppoll 64
rtdel 0800 (31.250), rtdsp ae343 (10887.741), refid C6976401 (198.151.100.1)

O ASA exige um valor da dispersão menos de 1000 milissegundos (segundo) de sincronização seu pulso de disparo através do NTP. Windows Server relata um valor da dispersão que seja demasiado alto para o ASA à sincronização, assim que você deve ajustar Windows Server a fim acomodar esta exigência. Você pode fazer este quando você executa uma mudança de registro no server. Consulte documentos do theseMicrosoft para mais informação: Entrada de LocalClockDispersion


Se Windows Server que se opera porque um servidor de NTP não é igualmente um controlador de domínio (o DC), a configuração de registro de AnnounceFlags pôde precisar de ser mudado a 0x5 (0x01 + 0x04). Consulte o seguinte documento de Microsoft para mais inforomation:
Configuração \ entrada de AnnounceFlags


A aplicação de Microsoft comporta-se diferentemente do que a maioria de servidores de NTP e pôde causar as edições similares a essa descrita previamente. A aplicação do Microsoft Windows server NTP envia pacotes com um valor da dispersão da raiz que seja raramente grande comparado a alguns outros servidores de NTP. Esta saída é baseada fora de debuga o pacote NTP em um ASA que tente à sincronização a Windows Server unadjusted:

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
leap 0, mode 4, version 3, stratum 2, ppoll 64
rtdel 0800 (31.250), rtdsp 7dcc3 (7862.350), refid C6976401 (198.151.100.1)
ref ccd5ee4e.4cd51570 (22:23:58.300 EDT Mon Apr 24 2013)
org ccd5ee61.f71e22bd (22:24:17.965 EDT Mon Apr 24 2013)
rec ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
xmt ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
inp ccd5ee61.f8744957 (22:24:17.970 EDT Mon Apr 24 2013)
NTP: 172.16.1.3 reachable

 
O valor que é do interesse é: rtdsp 7dcc3 (7862.350).  A dispersão indica o erro relativo a sua fonte de referência nos milissegundos.  A aplicação do ASA do NTP declara um origem de tempo como inválido se esse valor da dispersão da raiz no pacote é maior de 1,000.

Está aqui o resultado do debug de uma resposta recebido de um servidor de NTP esse sincronizars sem edição. Observe que a dispersão da raiz é muito mais baixa.

NTP: rcv packet from 172.18.108.15 to 172.18.254.61 on outside:
leap 0, mode 4, version 3, stratum 1, ppoll 64
rtdel 0000 (0.000), rtdsp 000f (0.229), refid C6976401 (198.151.100.1)
ref ccd5fc03.000becc0 (23:22:27.000 EDT Mon Apr 24 2013)
org ccd5fc09.7705ecf8 (23:22:33.464 EDT Mon Apr 24 2013)
rec ccd5fc09.778d15a1 (23:22:33.466 EDT Mon Apr 24 2013)
xmt ccd5fc09.778e1e93 (23:22:33.467 EDT Mon Apr 24 2013)
inp ccd5fc09.778eb534 (23:22:33.467 EDT Mon Apr 24 2013)


Se você muda o registro do server de acordo com os artigos Microsoft providos mais cedo, você reduz o valor da dispersão da raiz a um nível aceitável, mas somente se o relógio local é usado como a referência de tempo.  Ajuste LocalClockDispersion a "0" a fim reduzir significativamente a dispersão da raiz.

Está aqui um outro pacote debuga da resposta de NTP de Windows Server depois que você muda os valores de registro:

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
leap 0, mode 4, version 3, stratum 1, ppoll 128
rtdel 0000 (0.000), rtdsp 0ede (58.075), refid C6976401 (198.151.100.1)
ref ccd60291.af53f7ce (23:50:25.684 EDT Mon Apr 24 2013)
org ccd610e5.efecb657 (00:51:33.937 EDT Tue Apr 25 2013)
rec ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
xmt ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
inp ccd610e5.f07b651d (00:51:33.939 EDT Tue Apr 25 2013)


Um valor da dispersão da raiz que seja mais alto do que o estrato 1 ainda é enviado e notado na segunda saída, mas é menos de 1,000, e aceitado pelo ASA.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118053