Dispositivo de seguridad adaptante FAQ: ¿Por qué el ASA no puede sincronizar con el Servidor Windows configurado como servidor NTP?

Introducción

Este documento describe la razón por la que el ASA no sincroniza el tiempo con el servidor del Network Time Protocol (NTP), qué causas el valor predeterminado de la dispersión a ser más que el segundo, y qué se puede hacer para resolver este problema.

¿Por qué el ASA no puede sincronizar con el Servidor Windows configurado como servidor NTP?

El dispositivo de seguridad adaptante (ASA) no hace tiempo de sincronización con el servidor del Network Time Protocol (NTP) cuando el servidor NTP envía un valor de la dispersión más que el segundo. Éste es el valor predeterminado de la dispersión de un Microsoft Windows server cuando está utilizada como servidor NTP. ¿Cómo se resuelve este problema?

NTP: rcv packet from 172.23.226.161 to 172.23.246.71 on management:
leap 0, mode 4, version 3, stratum 2, ppoll 64 
rtdel 0800 (31.250), rtdsp ae343 (10887.741), refid C6976401 (198.151.100.1) 

El ASA requiere un valor de la dispersión menos de 1000 milisegundos (segundo) para sincronizar su reloj vía el NTP. El Servidor Windows señala un valor de la dispersión que sea demasiado alto para que el ASA sincronice, así que usted debe ajustar al Servidor Windows para acomodar este requisito. Usted puede hacer esto cuando usted realiza un cambio de registro en el servidor. Consulte los documentos del theseMicrosoft para más información: Entrada de LocalClockDispersion. 

Si el Servidor Windows que actúa pues un servidor NTP no es también controlador de dominio (DC), la configuración del registro de AnnounceFlags pudo necesitar ser cambiado a 0x5 (0x01 + 0x04). Consulte el documento siguiente de Microsoft para más inforomation:
Config \ entrada de AnnounceFlags. 

La implementación de Microsoft se comporta diferentemente que la mayoría de los servidores NTP y pudo causar los problemas similares al que está descrito previamente. La implementación del Microsoft Windows server NTP envía los paquetes con un valor de la dispersión de la raíz que sea inusualmente grande comparado a algunos otros servidores NTP. Esta salida se basa apagado del paquete NTP del debug en un ASA que intente sincronizar a un Servidor Windows sin ajustar:

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
 leap 0, mode 4, version 3, stratum 2, ppoll 64
 rtdel 0800 (31.250), rtdsp 7dcc3 (7862.350), refid C6976401 (198.151.100.1)
 ref ccd5ee4e.4cd51570 (22:23:58.300 EDT Mon Apr 24 2013)
 org ccd5ee61.f71e22bd (22:24:17.965 EDT Mon Apr 24 2013)
 rec ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
 xmt ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
 inp ccd5ee61.f8744957 (22:24:17.970 EDT Mon Apr 24 2013)
NTP: 172.16.1.3 reachable

 
El valor que está de interés es: rtdsp 7dcc3 (7862.350).  La dispersión indica el error en relación con su fuente de referencia en los milisegundos.  La implementación ASA del NTP declara una fuente horaria como inválida si ese valor de la dispersión de la raíz en el paquete es más grande de 1,000.

Aquí está la salida de los debugs de una respuesta recibida de un servidor NTP que sincronice sin el problema. Note que la dispersión de la raíz es mucho más baja.

NTP: rcv packet from 172.18.108.15 to 172.18.254.61 on outside:
  leap 0, mode 4, version 3, stratum 1, ppoll 64
  rtdel 0000 (0.000), rtdsp 000f (0.229), refid C6976401 (198.151.100.1)
  ref ccd5fc03.000becc0 (23:22:27.000 EDT Mon Apr 24 2013)
  org ccd5fc09.7705ecf8 (23:22:33.464 EDT Mon Apr 24 2013)
  rec ccd5fc09.778d15a1 (23:22:33.466 EDT Mon Apr 24 2013)
  xmt ccd5fc09.778e1e93 (23:22:33.467 EDT Mon Apr 24 2013)
  inp ccd5fc09.778eb534 (23:22:33.467 EDT Mon Apr 24 2013)

Si usted cambia el registro del servidor de acuerdo con los artículos de Microsoft referidos anterior, usted reduce el valor de la dispersión de la raíz a un nivel aceptable, pero solamente si el reloj local se utiliza como la referencia de tiempo.  Fije LocalClockDispersion hasta el "0" para reducir la dispersión de la raíz perceptiblemente.

Aquí está otro debug del paquete de la respuesta NTP del Servidor Windows después de que usted cambie los valores de registro:

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
  leap 0, mode 4, version 3, stratum 1, ppoll 128
  rtdel 0000 (0.000), rtdsp 0ede (58.075), refid C6976401 (198.151.100.1)
  ref ccd60291.af53f7ce (23:50:25.684 EDT Mon Apr 24 2013)
  org ccd610e5.efecb657 (00:51:33.937 EDT Tue Apr 25 2013)
  rec ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
  xmt ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
  inp ccd610e5.f07b651d (00:51:33.939 EDT Tue Apr 25 2013)

Un valor de la dispersión de la raíz que es más alto que el estrato 1 todavía se envía y se observa en la segunda salida, solamente él es menos de 1,000, y validado por el ASA.