Adaptive Security Appliance FAQ:ASA가 NTP 서버로 구성된 Windows 서버와 동기화되지 않는 이유는 무엇입니까?

다운로드 옵션

PDF (168.4 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (88.1 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (72.2 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2014년 8월 19일 (화)

문서 ID:118053

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 ASA가 NTP(Network Time Protocol) 서버와 시간을 동기화하지 않는 이유, 기본 분산 값이 1초 이상 되는 원인 및 이 문제를 해결하기 위해 수행할 수 있는 작업에 대해 설명합니다.

ASA가 NTP 서버로 구성된 Windows 서버와 동기화되지 않는 이유는 무엇입니까?

ASA(Adaptive Security Appliance)는 NTP 서버가 1초 이상의 분산 값을 전송할 때 NTP(Network Time Protocol) 서버와 시간을 동기화하지 않습니다.NTP 서버로 사용되는 Microsoft Windows Server의 기본 분산 값입니다.이 문제는 어떻게 해결됩니까?

NTP: rcv packet from 172.23.226.161 to 172.23.246.71 on management:
leap 0, mode 4, version 3, stratum 2, ppoll 64 
rtdel 0800 (31.250), rtdsp ae343 (10887.741), refid C6976401 (198.151.100.1)

NTP를 통해 시계를 동기화하려면 ASA의 분산 값이 1000밀리초(1초)보다 작아야 합니다.Windows 서버는 ASA가 동기화하기에 너무 높은 분산 값을 보고하므로 이 요구 사항을 수용하려면 Windows Server를 조정해야 합니다.서버에서 레지스트리 변경을 수행할 때 이 작업을 수행할 수 있습니다.자세한 내용은 LocalClockDispersion Entry를 참조하십시오.

NTP 서버로 작동하는 Windows Server가 DC(도메인 컨트롤러)도 아닌 경우 AnnounceFlags 레지스트리 설정을 0x5(0x01 + 0x04)로 변경해야 할 수 있습니다. 자세한 내용은 다음 Microsoft 문서를 참조하십시오.
Config\AnnounceFlags 항목.

Microsoft의 구현은 대부분의 NTP 서버와 다르게 동작하며 이전에 설명한 것과 유사한 문제를 일으킬 수 있습니다. Microsoft Windows Server NTP 구현은 다른 NTP 서버와 비교하여 비정상적으로 큰 루트 분산 값을 가진 패킷을 전송합니다.이 출력은 조정되지 않은 Windows Server로 동기화를 시도하는 ASA의 debug ntp 패킷을 기반으로 합니다.

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
 leap 0, mode 4, version 3, stratum 2, ppoll 64
 rtdel 0800 (31.250), rtdsp 7dcc3 (7862.350), refid C6976401 (198.151.100.1)
 ref ccd5ee4e.4cd51570 (22:23:58.300 EDT Mon Apr 24 2013)
 org ccd5ee61.f71e22bd (22:24:17.965 EDT Mon Apr 24 2013)
 rec ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
 xmt ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
 inp ccd5ee61.f8744957 (22:24:17.970 EDT Mon Apr 24 2013)
NTP: 172.16.1.3 reachable

관심 있는 값은 다음과 같습니다.rtdsp 7dcc3(7862.350). 분산은 참조 소스와 관련된 오류를 밀리초 단위로 나타냅니다. ASA의 NTP 구현은 패킷의 루트 분산 값이 1,000보다 클 경우 시간 소스를 잘못된 것으로 선언합니다.

다음은 문제 없이 동기화되는 NTP 서버에서 받은 응답의 디버그 출력입니다. 루트 분산은 훨씬 낮습니다.

NTP: rcv packet from 172.18.108.15 to 172.18.254.61 on outside:
  leap 0, mode 4, version 3, stratum 1, ppoll 64
  rtdel 0000 (0.000), rtdsp 000f (0.229), refid C6976401 (198.151.100.1)
  ref ccd5fc03.000becc0 (23:22:27.000 EDT Mon Apr 24 2013)
  org ccd5fc09.7705ecf8 (23:22:33.464 EDT Mon Apr 24 2013)
  rec ccd5fc09.778d15a1 (23:22:33.466 EDT Mon Apr 24 2013)
  xmt ccd5fc09.778e1e93 (23:22:33.467 EDT Mon Apr 24 2013)
  inp ccd5fc09.778eb534 (23:22:33.467 EDT Mon Apr 24 2013)

앞에서 언급한 Microsoft 문서에 따라 서버 레지스트리를 변경하는 경우 루트 분산 값을 허용 가능한 수준으로 낮추지만 로컬 클록을 시간 참조로 사용하는 경우에만 가능합니다. 루트 분산을 크게 줄이기 위해 LocalClockDispersion을 "0"으로 설정합니다.

다음은 레지스트리 값을 변경한 후 Windows Server NTP 응답의 또 다른 패킷 디버그입니다.

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
  leap 0, mode 4, version 3, stratum 1, ppoll 128
  rtdel 0000 (0.000), rtdsp 0ede (58.075), refid C6976401 (198.151.100.1)
  ref ccd60291.af53f7ce (23:50:25.684 EDT Mon Apr 24 2013)
  org ccd610e5.efecb657 (00:51:33.937 EDT Tue Apr 25 2013)
  rec ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
  xmt ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
  inp ccd610e5.f07b651d (00:51:33.939 EDT Tue Apr 25 2013)

stratum 1보다 높은 루트 분산 값은 여전히 전송되고 두 번째 출력에 표시되지만, 1,000보다 작으며 ASA에서 승인됩니다.

Cisco 엔지니어가 작성

Raghunath Kulkarni and Magnus Mortenson
Cisco TAC Engineers.

이 문서가 도움이 되셨습니까?

피드백

지원 문의

지원 케이스 접수
(시스코 서비스 계약 필요)