Foire aux questions d'appliance de sécurité adaptable : Pourquoi l'ASA échoue-t-elle au sync avec des Windows Server configurés en tant que serveur de NTP ?
Contenu
Introduction
Ce document décrit la raison pour laquelle l'ASA ne synchronise pas le temps avec le serveur de Protocole NTP (Network Time Protocol), quelles causes la valeur par défaut de dispersion à être plus d'une seconde, et ce qui peut être fait pour résoudre ce problème.
Pourquoi l'ASA échoue-t-elle au sync avec des Windows Server configurés en tant que serveur de NTP ?
L'appliance de sécurité adaptable (ASA) ne fait pas temps de sync avec le serveur de Protocole NTP (Network Time Protocol) quand le serveur de NTP envoie une valeur de dispersion plus d'une seconde. C'est la valeur par défaut de dispersion d'une Microsoft Windows Server une fois utilisée en tant que serveur de NTP. Comment résoudre ce problème ?
NTP: rcv packet from 172.23.226.161 to 172.23.246.71 on management:
leap 0, mode 4, version 3, stratum 2, ppoll 64
rtdel 0800 (31.250), rtdsp ae343 (10887.741), refid C6976401 (198.151.100.1)
L'ASA exige une valeur de dispersion moins de pendant 1000 millisecondes (une seconde) de sync son horloge par l'intermédiaire du NTP. Les Windows Server signalent une valeur de dispersion qui est trop élevée pour l'ASA au sync, ainsi vous devez ajuster les Windows Server afin de faciliter cette condition requise. Vous pouvez faire ceci quand vous exécutez un changement dans le registre sur le serveur. Consultez le pour en savoir plus de documents de theseMicrosoft : Entrée de LocalClockDispersion.
Si les Windows Server qui fonctionnent car un serveur de NTP n'est pas également un contrôleur de domaine (C.C), les paramètres de registre d'AnnounceFlags pourraient devoir être changés à 0x5 (0x01 + 0x04). Consultez le document suivant de Microsoft pour plus d'inforomation :
Config \ entrée d'AnnounceFlags.
L'implémentation de Microsoft se comporte différemment que la plupart des serveurs de NTP et pourrait entraîner des questions semblables à celle décrite précédemment. L'implémentation de NTP de Microsoft Windows Server envoie des paquets avec une valeur de dispersion de racine qui est exceptionnellement grande comparée à quelque autres NTP serveurs. Cette sortie est basée hors fonction du paquet de debug ntp sur une ASA qui tente au sync à des Windows Server non ajustés :
NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
leap 0, mode 4, version 3, stratum 2, ppoll 64
rtdel 0800 (31.250), rtdsp 7dcc3 (7862.350), refid C6976401 (198.151.100.1)
ref ccd5ee4e.4cd51570 (22:23:58.300 EDT Mon Apr 24 2013)
org ccd5ee61.f71e22bd (22:24:17.965 EDT Mon Apr 24 2013)
rec ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
xmt ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
inp ccd5ee61.f8744957 (22:24:17.970 EDT Mon Apr 24 2013)
NTP: 172.16.1.3 reachable
La valeur qui est d'intérêt est : rtdsp 7dcc3 (7862.350). La dispersion indique l'erreur relativement à ses millisecondes de source in de référence. L'implémentation de l'ASA du NTP déclare une source temporelle comme non valide si cette valeur de dispersion de racine dans le paquet est plus grande que 1,000.
Voici la sortie de débogage d'une réponse reçue d'un serveur de NTP qui synchronise sans question. Notez que la dispersion de racine est beaucoup inférieure.
NTP: rcv packet from 172.18.108.15 to 172.18.254.61 on outside:
leap 0, mode 4, version 3, stratum 1, ppoll 64
rtdel 0000 (0.000), rtdsp 000f (0.229), refid C6976401 (198.151.100.1)
ref ccd5fc03.000becc0 (23:22:27.000 EDT Mon Apr 24 2013)
org ccd5fc09.7705ecf8 (23:22:33.464 EDT Mon Apr 24 2013)
rec ccd5fc09.778d15a1 (23:22:33.466 EDT Mon Apr 24 2013)
xmt ccd5fc09.778e1e93 (23:22:33.467 EDT Mon Apr 24 2013)
inp ccd5fc09.778eb534 (23:22:33.467 EDT Mon Apr 24 2013)
Si vous changez le registre du serveur conformément aux articles de Microsoft référencés plus tôt, vous ramenez la valeur de dispersion de racine à un taux acceptable, mais seulement si l'horloge locale est utilisée pendant que la référence de temps. Placez LocalClockDispersion à "0" afin de réduire la dispersion de racine de manière significative.
Voici un autre paquet mettent au point de la réponse de NTP de Windows Server après que vous changiez les valeurs de registre :
NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
leap 0, mode 4, version 3, stratum 1, ppoll 128
rtdel 0000 (0.000), rtdsp 0ede (58.075), refid C6976401 (198.151.100.1)
ref ccd60291.af53f7ce (23:50:25.684 EDT Mon Apr 24 2013)
org ccd610e5.efecb657 (00:51:33.937 EDT Tue Apr 25 2013)
rec ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
xmt ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
inp ccd610e5.f07b651d (00:51:33.939 EDT Tue Apr 25 2013)
Une valeur de dispersion de racine qui est supérieur à la strate 1 est toujours envoyée et notée dans la deuxième sortie, mais elle est moins de 1,000, et reçu par l'ASA.
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)