セキュリティ : Cisco Identity Services Engine

Microsoft Windows の ISE および NTP サーバ 同期障害解決して下さい

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 11 月 18 日) | フィードバック

概要

この資料は Microsoft Windows サーバでインストールされている他の Linuxベース サーバ Network Time Protocol (NTP) サーバとおよび Cisco Identity Services Engine が(ISE)同期しないとき直面する問題を記述したものです。 この問題へのソリューションはまた提供されます。

ミカル Garcarz、Serhii Kucherenko、および Anastasiya Volkova によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco ISE CLI 設定

  • NTP についての基本的な知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Microsoft Windows Server バージョン 2012

  • Cisco ISE ソフトウェア バージョン 1.3 およびそれ以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

問題

NTP として Microsoft Windows サーバを使用するために ISE CLI を設定した後同期しません。 Microsoft Windows サーバ 2012 デフォルト ドメイン コントローラ設定は使用されます(デフォルト NTP 設定)。 ISE はローカル ソースがまだ使用されることを報告します:

ise14/admin# show ntp
Configured NTP Servers:
10.62.145.72

synchronised to local net at stratum 11
time correct to within 11 ms
polling server every 1024 s

remote refid st t when poll reach delay offset jitter
==============================================================================
*127.127.1.0 .LOCL. 10 l 9 64 377 0.000 0.000 0.000
10.62.145.72 .LOCL. 1 u 226 1024 377 0.896 -3.998 4.130

* Current time source, + Candidate , x False ticker

Warning: Output results may conflict during periods of changing synchronization.

パラメータ(到達可能性、遅延、オフセットおよびジッタ)すべては正しいようではなくそこに CLI (NTP 同期失敗)からの問題を解決する方法にです。 問題の確認に関しては、ルート レベルに行き、ntpd デーモンを詳細については問い合わせるために NTPQ ツールを使用して下さい:

[root@ise14]# ntpq

ntpq> associations

ind assID status conf reach auth condition last_event cnt
===========================================================
1 53519 9614 yes yes none sys.peer reachable 1
2 53520 9014 yes yes none reject reachable 1

示されているように、示される 2 人のアソシエーションがあります。 53520 アソシエーションは拒否されるとしてマークされます。 そのアソシエーションのためのいくつかの追加詳細はここにあります:

ntpq> mrv 53520 53520
assID=53520 status=9014 reach, conf, 1 event, event_reach,
srcadr=10.62.145.72, srcport=123, dstadr=10.62.145.42, dstport=123,
leap=00, stratum=1, precision=-6, rootdelay=0.000,
rootdispersion=10032.150, refid=LOCL, reach=377, unreach=0, hmode=3,
pmode=4, hpoll=10, ppoll=10, flash=400 peer_dist, keyid=0, ttl=0,
offset=-32.465, delay=0.898, dispersion=30.345, jitter=4.519,
reftime=d96b0358.fe7c815a Tue, Aug 4 2015 11:24:40.994,
org=d96b08ed.829514cf Tue, Aug 4 2015 11:48:29.510,
rec=d96b08ed.8b022d8d Tue, Aug 4 2015 11:48:29.543,
xmt=d96b08ed.8ac74cca Tue, Aug 4 2015 11:48:29.542,
filtdelay= 0.90 1.20 0.95 0.93 0.87 0.89 1.19 0.93,
filtoffset= -32.47 -27.95 -26.50 -34.32 -27.74 -18.14 -22.54 -23.79,
filtdisp= 15.63 30.97 46.32 61.68 77.05 92.44 107.82 115.48

どの同期がのために失敗するかこれが前もって設定された NTP サーバであることを確認することは可能性のあるです(10.62.145.72)。 また、ルート分散パラメータは大きいです(10,000 ms の上で)。 Microsoft Windows サーバからのこのパラメータを確認するためにこの情報を使用して下さい:

C:\Users\Administrator> w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 1 (primary reference - syncd by radio clock)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0000000s
Root Dispersion: 10.0000000s
ReferenceId: 0x4C4F434C (source name: "LOCL")
Last Successful Sync Time: 04/08/2015 11:15:32
Source: Local CMOS Clock
Poll Interval: 6 (64s)

パケットキャプチャは 1秒の受諾可能なルート分散との要求を ISE から送信 される示します:

 

10 秒より大きいルート分散があるサーバからの応答はここにあります、:

その結果、ISE が要求を廃棄し、現地時間 ソースと続きますこれは受け入れられません。

ルート分散は同期 サブネットのルートでプライマリ基準ソースに関連して最大エラーを示す数です。 それは各 NTP サーバによって増加します。 デフォルトで自身の現地時間 ソースが使用されるだけ、Microsoft サーバセット 10 秒への値(それが時間の確かな筋ではないことを)示すため。 Microsoft NTP サーバが外部 NTP で設定されるとき、この値はサーバから得られ、問題はありません。

解決策

マイクロソフトのドキュメンテーションによって、レジストリの LocalRootDispersion 値を設定することは可能性のあるです。 登録値を設定するためにこれらのステップを完了して下さい:

  1. PowerShell から NTP サービスを停止して下さい:
    PS C:\Users\Administrator> Stop-Service w32time
  2. 0 に登録値を設定 して下さい:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
  3. サービスを再起動します。
    PS C:\Users\Administrator> Start-Service w32time
  4. New 値ことを確認して下さい(0)報告されます:
    C:\Users\Administrator> w32tm /query /status
    Leap Indicator: 0(no warning)
    Stratum: 1 (primary reference - syncd by radio clock)
    Precision: -6 (15.625ms per tick)
    Root Delay: 0.0000000s
    Root Dispersion: 0.0000000s
    ReferenceId: 0x4C4F434C (source name: "LOCL")
    Last Successful Sync Time: 04/08/2015 11:15:32
    Source: Local CMOS Clock
    Poll Interval: 6 (64s)

Now レポートが低い(48 ms)値もし ISE NTPQ ツール:

ntpq> mrv 53520 53520
assID=8400 status=9614 reach, conf, sel_sys.peer, 1 event, event_reach,
srcadr=10.62.145.72, srcport=123, dstadr=10.62.145.42, dstport=123,
leap=00, stratum=1, precision=-6, rootdelay=0.000,
rootdispersion=48.431, refid=LOCL, reach=377, unreach=0, hmode=3,
pmode=4, hpoll=7, ppoll=7, flash=00 ok, keyid=0, ttl=0, offset=8.206,
delay=0.514, dispersion=21.595, jitter=3.456,
reftime=d96b0c49.2c834d26 Tue, Aug 4 2015 12:02:49.173,
org=d96b175c.d472ead9 Tue, Aug 4 2015 12:50:04.829,
rec=d96b175c.d2bf9803 Tue, Aug 4 2015 12:50:04.823,
xmt=d96b175c.d284b95f Tue, Aug 4 2015 12:50:04.822,
filtdelay= 0.90 0.86 0.51 0.87 0.80 0.82 0.85 0.88,
filtoffset= 7.09 5.23 8.21 6.78 2.73 8.43 1.93 9.67,
filtdisp= 15.63 17.56 19.48 21.39 23.32 25.24 27.18 29.08

これは予想通り発生することを同期が可能にします:

ntpq> associations
ind assID status conf reach auth condition last_event cnt
===========================================================
1 53519 9014 yes yes none reject reachable 1
2 53520 9614 yes yes none sys.peer reachable 1

また CLI からのこの情報を確認できます:

ise14/admin# show ntp
Configured NTP Servers:
10.62.145.72

synchronised to NTP server (10.62.145.72) at stratum 2
time correct to within 80 ms
polling server every 128 s

remote refid st t when poll reach delay offset jitter
==============================================================================
127.127.1.0 .LOCL. 10 l 15 64 377 0.000 0.000 0.000
*10.62.145.72 .LOCL. 1 u 26 128 377 0.514 8.206 3.456

* Current time source, + Candidate , x False ticker

Warning: Output results may conflict during periods of changing synchronization.

追加問題

より古い Microsoft Windows サーバ バージョンのいくつかは異なるデフォルト NTP 設定があるかもしれません。 Cisco はこれらの設定が ISE によって正しく、受諾可能であるかどうか確かめることを推奨します。 これらのレジストリ 設定を確認して下さい:

  • NTP サーバをイネーブルに設定するために 1Enabled フラグ値を変更して下さい:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders
    \NTPServer\Enabled
  • サーバタイプを変更するために NTPタイプ レジストリエントリを設定 して下さい:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
  • 信頼できる時刻源を示すために 5アナウンス フラグ レジストリエントリを設定 して下さい:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
    \AnnounceFlags

VMware 問題

NTP 同期に関する問題は VMware バグID 2075424 によって引き起こされるかもしれません(ESXi ホストは NTP サーバと時間を同期しません)。

問題はこれらのパッチで解決されます:

  • VMware ESXi 5.5 アップデート 1

  • VMware ESXi 5.1 パッチ 4

  • VMware ESXi 5.0 パッチ 8

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 119371