Preguntas frecuentes sobre Adaptive Security Appliance: ¿Por qué el ASA no puede sincronizarse con el servidor Windows configurado como servidor NTP?

Opciones de descarga

PDF (116.7 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (97.8 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (81.8 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:19 de agosto de 2014

ID del documento:118053

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

¿Por qué el ASA no puede sincronizarse con el servidor Windows configurado como servidor NTP?

Introducción

Este documento describe la razón por la que ASA no sincroniza el tiempo con el servidor del protocolo de tiempo de red (NTP), lo que hace que el valor de dispersión predeterminado sea superior a un segundo y lo que se puede hacer para resolver este problema.

¿Por qué el ASA no puede sincronizarse con el servidor Windows configurado como servidor NTP?

El dispositivo de seguridad adaptable (ASA) no sincroniza el tiempo con el servidor de protocolo de tiempo de red (NTP) cuando el servidor NTP envía un valor de dispersión de más de un segundo. Este es el valor de dispersión predeterminado de un servidor de Microsoft Windows cuando se utiliza como servidor NTP. ¿Cómo se resuelve este problema?

NTP: rcv packet from 172.23.226.161 to 172.23.246.71 on management:
leap 0, mode 4, version 3, stratum 2, ppoll 64 
rtdel 0800 (31.250), rtdsp ae343 (10887.741), refid C6976401 (198.151.100.1)

El ASA requiere un valor de dispersión inferior a 1000 milisegundos (un segundo) para sincronizar su reloj a través de NTP. El servidor de Windows informa de un valor de dispersión demasiado alto para que el ASA se sincronice, por lo que debe ajustar el servidor de Windows para cumplir este requisito. Puede hacerlo cuando realice un cambio de registro en el servidor. Consulte estos documentos de Microsoft para obtener más información: LocalClockDispersion Entry.

Si Windows Server que funciona como servidor NTP no es también un controlador de dominio (DC), es posible que la configuración del Registro AnnounceFlags deba cambiarse a 0x5 (0x01 + 0x04). Consulte el siguiente documento de Microsoft para obtener más información:
Entrada Config\AnnounceFlags.

La implementación de Microsoft se comporta de manera diferente que la mayoría de los servidores NTP y puede causar problemas similares a los descritos anteriormente. La implementación NTP de Microsoft Windows Server envía paquetes con un valor de dispersión raíz que es inusualmente grande comparado con otros servidores NTP. Este resultado se basa en debug ntp packet en un ASA que intenta sincronizar con un Windows Server sin ajustar:

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
 leap 0, mode 4, version 3, stratum 2, ppoll 64
 rtdel 0800 (31.250), rtdsp 7dcc3 (7862.350), refid C6976401 (198.151.100.1)
 ref ccd5ee4e.4cd51570 (22:23:58.300 EDT Mon Apr 24 2013)
 org ccd5ee61.f71e22bd (22:24:17.965 EDT Mon Apr 24 2013)
 rec ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
 xmt ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
 inp ccd5ee61.f8744957 (22:24:17.970 EDT Mon Apr 24 2013)
NTP: 172.16.1.3 reachable

El valor que es de interés es: rtdsp 7dcc3 (7862.350). La dispersión indica el error relativo a su origen de referencia en milisegundos. La implementación de NTP por parte del ASA declara que un origen de tiempo no es válido si ese valor de dispersión raíz en el paquete es mayor que 1000.

Aquí está el resultado de la depuración de una respuesta recibida de un servidor NTP que se sincroniza sin problemas. Observe que la dispersión de la raíz es mucho menor.

NTP: rcv packet from 172.18.108.15 to 172.18.254.61 on outside:
  leap 0, mode 4, version 3, stratum 1, ppoll 64
  rtdel 0000 (0.000), rtdsp 000f (0.229), refid C6976401 (198.151.100.1)
  ref ccd5fc03.000becc0 (23:22:27.000 EDT Mon Apr 24 2013)
  org ccd5fc09.7705ecf8 (23:22:33.464 EDT Mon Apr 24 2013)
  rec ccd5fc09.778d15a1 (23:22:33.466 EDT Mon Apr 24 2013)
  xmt ccd5fc09.778e1e93 (23:22:33.467 EDT Mon Apr 24 2013)
  inp ccd5fc09.778eb534 (23:22:33.467 EDT Mon Apr 24 2013)

Si cambia el registro del servidor de acuerdo con los artículos de Microsoft a los que se hizo referencia anteriormente, reducirá el valor de dispersión raíz a un nivel aceptable, pero sólo si el reloj local se utiliza como referencia de tiempo. Establezca LocalClockDispersion en "0" para reducir la dispersión de raíz significativamente.

A continuación se muestra otro debug de paquetes de la respuesta NTP de Windows Server después de cambiar los valores del registro:

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
  leap 0, mode 4, version 3, stratum 1, ppoll 128
  rtdel 0000 (0.000), rtdsp 0ede (58.075), refid C6976401 (198.151.100.1)
  ref ccd60291.af53f7ce (23:50:25.684 EDT Mon Apr 24 2013)
  org ccd610e5.efecb657 (00:51:33.937 EDT Tue Apr 25 2013)
  rec ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
  xmt ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
  inp ccd610e5.f07b651d (00:51:33.939 EDT Tue Apr 25 2013)

Un valor de dispersión de raíz que es superior al estrato 1 todavía se envía y se observa en la segunda salida, pero es inferior a 1000, y es aceptado por el ASA.

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
1.0	19-Aug-2014	Versión inicial

Con la colaboración de ingenieros de Cisco

Raghunath Kulkarni and Magnus Mortenson
Cisco TAC Engineers.

¿Resultó útil este documento?

Comentarios

Contacte a Cisco

Abrir un caso de soporte
(Requiere un Cisco Service Contract)

Preguntas frecuentes sobre Adaptive Security Appliance: ¿Por qué el ASA no puede sincronizarse con el servidor Windows configurado como servidor NTP?

Opciones de descarga

Lenguaje no discriminatorio

Acerca de esta traducción

Contenido

Introducción

¿Por qué el ASA no puede sincronizarse con el servidor Windows configurado como servidor NTP?

Historial de revisiones

Con la colaboración de ingenieros de Cisco

¿Resultó útil este documento?

Contacte a Cisco

Este documento se aplica a estos productos