Безопасность : Платформа Cisco Identity Services Engine

Расследуйте ИСЕ и неудачи синхронизации сервера NTP на Microsoft Windows

16 января 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (18 ноября 2015) | Отзыв

Введение

Этот документ описывает проблему, с которой сталкиваются, когда Двигатель Cisco Identity Services (ИСЕ) и другие основанные на Linux серверы не синхронизирует с сервером Сетевого протокола времени (NTP), который установлен на Microsoft Windows Server. Решение этой проблемы также предоставлено.

Внесенный Михалом Гаркарзом, Серхии Кучеренко и Анастасией Волковой, Cisco инженеры TAC.

Предпосылки

Требования

Cisco рекомендует иметь знание этих тем:

  • Cisco ИСЕ конфигурация CLI

  • Элементарные знания о NTP

Используемые компоненты

Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:

  • Microsoft Windows Server Version 2012

  • Версии программного обеспечения Cisco ISE 1.3 и позже

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Проблема

После формирования ИСЕ CLI для использования Microsoft Windows Server в качестве NTP это не синхронизирует. Диспетчер области Microsoft Windows Server 2012 по умолчанию конфигурация используется (неплатеж конфигурация NTP). ИСЕ Сообщает, что все еще используется местный источник:

ise14/admin# show ntp
Configured NTP Servers:
10.62.145.72

synchronised to local net at stratum 11
time correct to within 11 ms
polling server every 1024 s

remote refid st t when poll reach delay offset jitter
==============================================================================
*127.127.1.0 .LOCL. 10 l 9 64 377 0.000 0.000 0.000
10.62.145.72 .LOCL. 1 u 226 1024 377 0.896 -3.998 4.130

* Current time source, + Candidate , x False ticker

Warning: Output results may conflict during periods of changing synchronization.

Все параметры (достижимость, задержка, погашение и колебание), кажется, правильны, и нет никакого способа расследовать проблему от CLI (неудача синхронизации NTP). Для подтверждения проблемы необходимо пойти в уровень корня и использовать инструмент NTPQ для сомнения ntpd демона для получения дополнительной информации:

[root@ise14]# ntpq

ntpq> associations

ind assID status conf reach auth condition last_event cnt
===========================================================
1 53519 9614 yes yes none sys.peer reachable 1
2 53520 9014 yes yes none reject reachable 1

Как показано существует две представленные ассоциации. 53520 ассоциаций отмечены, как отклонено. Вот некоторые дополнительные детали для той ассоциации:

ntpq> mrv 53520 53520
assID=53520 status=9014 reach, conf, 1 event, event_reach,
srcadr=10.62.145.72, srcport=123, dstadr=10.62.145.42, dstport=123,
leap=00, stratum=1, precision=-6, rootdelay=0.000,
rootdispersion=10032.150, refid=LOCL, reach=377, unreach=0, hmode=3,
pmode=4, hpoll=10, ppoll=10, flash=400 peer_dist, keyid=0, ttl=0,
offset=-32.465, delay=0.898, dispersion=30.345, jitter=4.519,
reftime=d96b0358.fe7c815a Tue, Aug 4 2015 11:24:40.994,
org=d96b08ed.829514cf Tue, Aug 4 2015 11:48:29.510,
rec=d96b08ed.8b022d8d Tue, Aug 4 2015 11:48:29.543,
xmt=d96b08ed.8ac74cca Tue, Aug 4 2015 11:48:29.542,
filtdelay= 0.90 1.20 0.95 0.93 0.87 0.89 1.19 0.93,
filtoffset= -32.47 -27.95 -26.50 -34.32 -27.74 -18.14 -22.54 -23.79,
filtdisp= 15.63 30.97 46.32 61.68 77.05 92.44 107.82 115.48

Возможно подтвердить, что это - ранее формируемый сервер NTP (10.62.145.72), для которого терпит неудачу синхронизация. Кроме того, параметр дисперсии корня является большим (выше 10,000 мс). Используйте эту информацию для подтверждения этого параметра от Microsoft Windows Server:

C:\Users\Administrator> w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 1 (primary reference - syncd by radio clock)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0000000s
Root Dispersion: 10.0000000s
ReferenceId: 0x4C4F434C (source name: "LOCL")
Last Successful Sync Time: 04/08/2015 11:15:32
Source: Local CMOS Clock
Poll Interval: 6 (64s)

Захваты пакета представляют запрос, который отправлен из ИСЕ с приемлемой дисперсией корня одной секунды:

 

Вот ответ от сервера, который имеет дисперсию корня, которая больше, чем десять секунд:

В результате это не принято, который заставляет ИСЕ пропускать запрос и продолжать источник местного времени.

Дисперсия корня является числом, которое указывает на максимальную ошибку относительно основного справочного источника в корне подсети синхронизации. Это увеличено каждым сервером NTP. По умолчанию сервер Microsoft устанавливает стоимость в десять секунд только, когда ее собственный источник местного времени используется (чтобы указать, что это не надежный источник времени). Когда сервер Microsoft NTP формируется с внешним NTP, это значение получено на сервер, и проблема не существует.

Решение

Согласно документации Microsoft, возможно формировать стоимость LocalRootDispersion в регистрации. Закончите эти шаги для формирования стоимости регистрации:

  1. Остановите обслуживание NTP от PowerShell:
    PS C:\Users\Administrator> Stop-Service w32time
  2. Установите стоимость регистрации в 0:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
  3. Перезапустите обслуживание:
    PS C:\Users\Administrator> Start-Service w32time
  4. Проверьте, что сообщают о новой стоимости (0):
    C:\Users\Administrator> w32tm /query /status
    Leap Indicator: 0(no warning)
    Stratum: 1 (primary reference - syncd by radio clock)
    Precision: -6 (15.625ms per tick)
    Root Delay: 0.0000000s
    Root Dispersion: 0.0000000s
    ReferenceId: 0x4C4F434C (source name: "LOCL")
    Last Successful Sync Time: 04/08/2015 11:15:32
    Source: Local CMOS Clock
    Poll Interval: 6 (64s)

ИСЕ инструмент NTPQ должен теперь сообщить о нижнем уровне (48 мс) стоимость:

ntpq> mrv 53520 53520
assID=8400 status=9614 reach, conf, sel_sys.peer, 1 event, event_reach,
srcadr=10.62.145.72, srcport=123, dstadr=10.62.145.42, dstport=123,
leap=00, stratum=1, precision=-6, rootdelay=0.000,
rootdispersion=48.431, refid=LOCL, reach=377, unreach=0, hmode=3,
pmode=4, hpoll=7, ppoll=7, flash=00 ok, keyid=0, ttl=0, offset=8.206,
delay=0.514, dispersion=21.595, jitter=3.456,
reftime=d96b0c49.2c834d26 Tue, Aug 4 2015 12:02:49.173,
org=d96b175c.d472ead9 Tue, Aug 4 2015 12:50:04.829,
rec=d96b175c.d2bf9803 Tue, Aug 4 2015 12:50:04.823,
xmt=d96b175c.d284b95f Tue, Aug 4 2015 12:50:04.822,
filtdelay= 0.90 0.86 0.51 0.87 0.80 0.82 0.85 0.88,
filtoffset= 7.09 5.23 8.21 6.78 2.73 8.43 1.93 9.67,
filtdisp= 15.63 17.56 19.48 21.39 23.32 25.24 27.18 29.08

Это позволяет синхронизации произойти как ожидалось:

ntpq> associations
ind assID status conf reach auth condition last_event cnt
===========================================================
1 53519 9014 yes yes none reject reachable 1
2 53520 9614 yes yes none sys.peer reachable 1

Можно также проверить эту информацию от CLI:

ise14/admin# show ntp
Configured NTP Servers:
10.62.145.72

synchronised to NTP server (10.62.145.72) at stratum 2
time correct to within 80 ms
polling server every 128 s

remote refid st t when poll reach delay offset jitter
==============================================================================
127.127.1.0 .LOCL. 10 l 15 64 377 0.000 0.000 0.000
*10.62.145.72 .LOCL. 1 u 26 128 377 0.514 8.206 3.456

* Current time source, + Candidate , x False ticker

Warning: Output results may conflict during periods of changing synchronization.

Дополнительные проблемы

Некоторые более старые версии Microsoft Windows Server могли бы иметь различный неплатеж параметры настройки NTP. Cisco рекомендует проверить, правильны ли эти параметры настройки и приемлемы ИСЕ. Проверьте эти параметры настройки регистрации:

  • Измените Позволенную стоимость флага на 1 для предоставления возможности сервера NTP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders
    \NTPServer\Enabled
  • Установите вход регистрации Типа в NTP для изменения типа сервера:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
  • Установите Объявить вход регистрации Флагов в 5 для указания на надежный источник времени:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
    \AnnounceFlags

Проблемы VMware

Проблемы синхронизации NTP могли бы быть вызваны ошибкой ID 2075424 VMware (хозяин ESXi не синхронизирует время с сервером NTP).

Вопрос решен в этих участках:

  • Обновление VMware ESXi 5.5 1

  • Участок VMware ESXi 5.1 4

  • Участок VMware ESXi 5.0 8

Соответствующая информация


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 119371