Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

FAQ sur les appareils de sécurité adaptatifs : Pourquoi l'ASA ne parvient-il pas à se synchroniser avec le serveur Windows configuré en tant que serveur NTP ?

Options de téléchargement

  • PDF     (150.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (97.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (81.8 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:19 août 2014
ID du document:118053

Langage sans préjugés

Dans la documentation de ce produit, les auteurs s‘efforcent d‘utiliser un langage exempt de préjugés. Aux fins de cet ensemble de documents, l’expression « sans préjugés » est définie comme un langage sans discrimination fondée sur l’âge, le handicap, le sexe, l’identité raciale, l’identité ethnique, l’orientation sexuelle, la situation socio-économique et l’intersectionnalité. Des exceptions peuvent être présentes dans la documentation en raison de la langue codée en dur dans les interfaces utilisateur du logiciel du produit, de la langue utilisée en fonction de la documentation de l’appel d’offres ou de la langue utilisée par un produit tiers référencé. En savoir plus sur la façon dont Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit la raison pour laquelle l'ASA ne synchronise pas le temps avec le serveur NTP (Network Time Protocol), ce qui entraîne une valeur de dispersion par défaut supérieure à une seconde et ce qui peut être fait pour résoudre ce problème.

Pourquoi l'ASA ne parvient-il pas à se synchroniser avec le serveur Windows configuré en tant que serveur NTP ?

L'ASA (Adaptive Security Appliance) ne synchronise pas le temps avec le serveur NTP (Network Time Protocol) lorsque le serveur NTP envoie une valeur de dispersion supérieure à une seconde. Il s'agit de la valeur de dispersion par défaut d'un serveur Microsoft Windows lorsqu'il est utilisé comme serveur NTP. Comment résoudre ce problème ?

NTP: rcv packet from 172.23.226.161 to 172.23.246.71 on management:
leap 0, mode 4, version 3, stratum 2, ppoll 64 
rtdel 0800 (31.250), rtdsp ae343 (10887.741), refid C6976401 (198.151.100.1)

L'ASA a besoin d'une valeur de dispersion inférieure à 1 000 millisecondes (une seconde) pour synchroniser son horloge via NTP. Le serveur Windows signale une valeur de dispersion trop élevée pour que l'ASA puisse synchroniser. Vous devez donc ajuster le serveur Windows afin de répondre à cette condition. Vous pouvez effectuer cette opération lorsque vous modifiez le Registre sur le serveur. Consultez ces documents Microsoft pour plus d'informations : Entrée LocalClockDispersion


Si le serveur Windows qui fonctionne en tant que serveur NTP n'est pas également un contrôleur de domaine (DC), le paramètre de Registre AnnonceFlags peut devoir être modifié en 0x5 (0x01 + 0x04). Pour plus d'informations, consultez le document Microsoft suivant :
Config\AnnonceFlags Entry


L'implémentation de Microsoft se comporte différemment de la plupart des serveurs NTP et peut provoquer des problèmes similaires à ceux décrits précédemment. L'implémentation NTP de Microsoft Windows Server envoie des paquets avec une valeur de dispersion racine inhabituellement grande par rapport à d'autres serveurs NTP. Cette sortie est basée sur le paquet ntp debug sur un ASA qui tente de se synchroniser avec un serveur Windows non ajusté :

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
 leap 0, mode 4, version 3, stratum 2, ppoll 64
 rtdel 0800 (31.250), rtdsp 7dcc3 (7862.350), refid C6976401 (198.151.100.1)
 ref ccd5ee4e.4cd51570 (22:23:58.300 EDT Mon Apr 24 2013)
 org ccd5ee61.f71e22bd (22:24:17.965 EDT Mon Apr 24 2013)
 rec ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
 xmt ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
 inp ccd5ee61.f8744957 (22:24:17.970 EDT Mon Apr 24 2013)
NTP: 172.16.1.3 reachable

 
La valeur qui présente un intérêt est la suivante : rtdsp 7dcc3 (7862.350).  La dispersion indique l'erreur relative à sa source de référence en millisecondes.  L'implémentation de NTP par l'ASA déclare une source temporelle non valide si cette valeur de dispersion racine dans le paquet est supérieure à 1 000.

Voici la sortie de débogage d'une réponse reçue d'un serveur NTP qui se synchronise sans problème. Notez que la dispersion des racines est beaucoup plus faible.

NTP: rcv packet from 172.18.108.15 to 172.18.254.61 on outside:
  leap 0, mode 4, version 3, stratum 1, ppoll 64
  rtdel 0000 (0.000), rtdsp 000f (0.229), refid C6976401 (198.151.100.1)
  ref ccd5fc03.000becc0 (23:22:27.000 EDT Mon Apr 24 2013)
  org ccd5fc09.7705ecf8 (23:22:33.464 EDT Mon Apr 24 2013)
  rec ccd5fc09.778d15a1 (23:22:33.466 EDT Mon Apr 24 2013)
  xmt ccd5fc09.778e1e93 (23:22:33.467 EDT Mon Apr 24 2013)
  inp ccd5fc09.778eb534 (23:22:33.467 EDT Mon Apr 24 2013)


Si vous modifiez le Registre du serveur conformément aux articles Microsoft référencés précédemment, vous réduisez la valeur de dispersion racine à un niveau acceptable, mais uniquement si l'horloge locale est utilisée comme référence temporelle.  Définissez LocalClockDispersion sur « 0 » afin de réduire significativement la dispersion des racines.

Voici un autre débogage de paquet de la réponse NTP de Windows Server après avoir modifié les valeurs du Registre :

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
  leap 0, mode 4, version 3, stratum 1, ppoll 128
  rtdel 0000 (0.000), rtdsp 0ede (58.075), refid C6976401 (198.151.100.1)
  ref ccd60291.af53f7ce (23:50:25.684 EDT Mon Apr 24 2013)
  org ccd610e5.efecb657 (00:51:33.937 EDT Tue Apr 25 2013)
  rec ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
  xmt ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
  inp ccd610e5.f07b651d (00:51:33.939 EDT Tue Apr 25 2013)


Une valeur de dispersion racinaire supérieure à la strate 1 est toujours envoyée et notée dans la deuxième sortie, mais elle est inférieure à 1 000, et acceptée par l'ASA.

Historique de révision

Révision Date de publication Commentaires
1.0
19-Aug-2014
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Raghunath Kulkarni and Magnus Mortenson
    Cisco TAC Engineers.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits