Este documento describe la razón por la que ASA no sincroniza el tiempo con el servidor del protocolo de tiempo de red (NTP), lo que hace que el valor de dispersión predeterminado sea superior a un segundo y lo que se puede hacer para resolver este problema.
El dispositivo de seguridad adaptable (ASA) no sincroniza el tiempo con el servidor de protocolo de tiempo de red (NTP) cuando el servidor NTP envía un valor de dispersión de más de un segundo. Este es el valor de dispersión predeterminado de un servidor de Microsoft Windows cuando se utiliza como servidor NTP. ¿Cómo se resuelve este problema?
NTP: rcv packet from 172.23.226.161 to 172.23.246.71 on management:
leap 0, mode 4, version 3, stratum 2, ppoll 64
rtdel 0800 (31.250), rtdsp ae343 (10887.741), refid C6976401 (198.151.100.1)
El ASA requiere un valor de dispersión inferior a 1000 milisegundos (un segundo) para sincronizar su reloj a través de NTP. El servidor de Windows informa de un valor de dispersión demasiado alto para que el ASA se sincronice, por lo que debe ajustar el servidor de Windows para cumplir este requisito. Puede hacerlo cuando realice un cambio de registro en el servidor. Consulte estos documentos de Microsoft para obtener más información: LocalClockDispersion Entry.
Si Windows Server que funciona como servidor NTP no es también un controlador de dominio (DC), es posible que la configuración del Registro AnnounceFlags deba cambiarse a 0x5 (0x01 + 0x04). Consulte el siguiente documento de Microsoft para obtener más información:
Entrada Config\AnnounceFlags.
La implementación de Microsoft se comporta de manera diferente que la mayoría de los servidores NTP y puede causar problemas similares a los descritos anteriormente. La implementación NTP de Microsoft Windows Server envía paquetes con un valor de dispersión raíz que es inusualmente grande comparado con otros servidores NTP. Este resultado se basa en debug ntp packet en un ASA que intenta sincronizar con un Windows Server sin ajustar:
NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
leap 0, mode 4, version 3, stratum 2, ppoll 64
rtdel 0800 (31.250), rtdsp 7dcc3 (7862.350), refid C6976401 (198.151.100.1)
ref ccd5ee4e.4cd51570 (22:23:58.300 EDT Mon Apr 24 2013)
org ccd5ee61.f71e22bd (22:24:17.965 EDT Mon Apr 24 2013)
rec ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
xmt ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
inp ccd5ee61.f8744957 (22:24:17.970 EDT Mon Apr 24 2013)
NTP: 172.16.1.3 reachable
El valor que es de interés es: rtdsp 7dcc3 (7862.350). La dispersión indica el error relativo a su origen de referencia en milisegundos. La implementación de NTP por parte del ASA declara que un origen de tiempo no es válido si ese valor de dispersión raíz en el paquete es mayor que 1000.
Aquí está el resultado de la depuración de una respuesta recibida de un servidor NTP que se sincroniza sin problemas. Observe que la dispersión de la raíz es mucho menor.
NTP: rcv packet from 172.18.108.15 to 172.18.254.61 on outside:
leap 0, mode 4, version 3, stratum 1, ppoll 64
rtdel 0000 (0.000), rtdsp 000f (0.229), refid C6976401 (198.151.100.1)
ref ccd5fc03.000becc0 (23:22:27.000 EDT Mon Apr 24 2013)
org ccd5fc09.7705ecf8 (23:22:33.464 EDT Mon Apr 24 2013)
rec ccd5fc09.778d15a1 (23:22:33.466 EDT Mon Apr 24 2013)
xmt ccd5fc09.778e1e93 (23:22:33.467 EDT Mon Apr 24 2013)
inp ccd5fc09.778eb534 (23:22:33.467 EDT Mon Apr 24 2013)
Si cambia el registro del servidor de acuerdo con los artículos de Microsoft a los que se hizo referencia anteriormente, reducirá el valor de dispersión raíz a un nivel aceptable, pero sólo si el reloj local se utiliza como referencia de tiempo. Establezca LocalClockDispersion en "0" para reducir la dispersión de raíz significativamente.
A continuación se muestra otro debug de paquetes de la respuesta NTP de Windows Server después de cambiar los valores del registro:
NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
leap 0, mode 4, version 3, stratum 1, ppoll 128
rtdel 0000 (0.000), rtdsp 0ede (58.075), refid C6976401 (198.151.100.1)
ref ccd60291.af53f7ce (23:50:25.684 EDT Mon Apr 24 2013)
org ccd610e5.efecb657 (00:51:33.937 EDT Tue Apr 25 2013)
rec ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
xmt ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
inp ccd610e5.f07b651d (00:51:33.939 EDT Tue Apr 25 2013)
Un valor de dispersión de raíz que es superior al estrato 1 todavía se envía y se observa en la segunda salida, pero es inferior a 1000, y es aceptado por el ASA.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
19-Aug-2014 |
Versión inicial |