Perguntas frequentes do Adaptive Security Appliance: Por que o ASA não consegue sincronizar com o servidor Windows configurado como um servidor NTP?
Contents
Introduction
Este documento descreve o motivo pelo qual o ASA não sincroniza o tempo com o servidor Network Time Protocol (NTP), o que faz com que o valor de dispersão padrão seja maior que um segundo e o que pode ser feito para resolver esse problema.
Por que o ASA não consegue sincronizar com o servidor Windows configurado como um servidor NTP?
O Adaptive Security Appliance (ASA) não sincroniza o tempo com o servidor Network Time Protocol (NTP) quando o servidor NTP envia um valor de dispersão de mais de um segundo. Este é o valor de dispersão padrão de um Microsoft Windows Server quando usado como um servidor NTP. Como esse problema é resolvido?
NTP: rcv packet from 172.23.226.161 to 172.23.246.71 on management:
leap 0, mode 4, version 3, stratum 2, ppoll 64
rtdel 0800 (31.250), rtdsp ae343 (10887.741), refid C6976401 (198.151.100.1)
O ASA requer um valor de dispersão inferior a 1000 milissegundos (um segundo) para sincronizar seu relógio via NTP. O Windows Server relata um valor de dispersão muito alto para que o ASA seja sincronizado, portanto, você deve ajustar o Windows Server para acomodar esse requisito. Você pode fazer isso ao executar uma alteração de registro no servidor. Consulte estes documentos da Microsoft para obter mais informações: LocalClockDispersion Entry.
Se o Windows Server que opera como um servidor NTP não for também um controlador de domínio (DC), a configuração de registro AnnounceFlags pode precisar ser alterada para 0x5 (0x01 + 0x04). Consulte o seguinte documento da Microsoft para obter mais informações:
Config\AnnounceFlags Entry.
A implementação da Microsoft comporta-se de forma diferente da maioria dos servidores NTP e pode causar problemas semelhantes aos descritos anteriormente. A implementação NTP do Microsoft Windows Server envia pacotes com um valor de dispersão raiz que é invulgarmente grande em comparação com outros servidores NTP. Esta saída é baseada em debug ntp packet em um ASA que tenta sincronizar com um Windows Server não ajustado:
NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
leap 0, mode 4, version 3, stratum 2, ppoll 64
rtdel 0800 (31.250), rtdsp 7dcc3 (7862.350), refid C6976401 (198.151.100.1)
ref ccd5ee4e.4cd51570 (22:23:58.300 EDT Mon Apr 24 2013)
org ccd5ee61.f71e22bd (22:24:17.965 EDT Mon Apr 24 2013)
rec ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
xmt ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
inp ccd5ee61.f8744957 (22:24:17.970 EDT Mon Apr 24 2013)
NTP: 172.16.1.3 reachable
O valor que interessa é: rtdsp 7dcc3 (7862.350). A dispersão indica o erro relativo à sua fonte de referência em milissegundos. A implementação do NTP do ASA declara uma fonte de tempo como inválida se esse valor de dispersão raiz no pacote for maior que 1.000.
Aqui está a saída de depuração de uma resposta recebida de um servidor NTP que sincroniza sem problemas. Observe que a dispersão da raiz é muito menor.
NTP: rcv packet from 172.18.108.15 to 172.18.254.61 on outside:
leap 0, mode 4, version 3, stratum 1, ppoll 64
rtdel 0000 (0.000), rtdsp 000f (0.229), refid C6976401 (198.151.100.1)
ref ccd5fc03.000becc0 (23:22:27.000 EDT Mon Apr 24 2013)
org ccd5fc09.7705ecf8 (23:22:33.464 EDT Mon Apr 24 2013)
rec ccd5fc09.778d15a1 (23:22:33.466 EDT Mon Apr 24 2013)
xmt ccd5fc09.778e1e93 (23:22:33.467 EDT Mon Apr 24 2013)
inp ccd5fc09.778eb534 (23:22:33.467 EDT Mon Apr 24 2013)
Se você alterar o registro do servidor de acordo com os artigos da Microsoft referenciados anteriormente, você reduzirá o valor de dispersão da raiz para um nível aceitável, mas somente se o relógio local for usado como referência de tempo. Defina LocalClockDispersion como "0" para reduzir significativamente a dispersão da raiz.
Aqui está outra depuração de pacote da resposta NTP do Windows Server após você alterar os valores do registro:
NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
leap 0, mode 4, version 3, stratum 1, ppoll 128
rtdel 0000 (0.000), rtdsp 0ede (58.075), refid C6976401 (198.151.100.1)
ref ccd60291.af53f7ce (23:50:25.684 EDT Mon Apr 24 2013)
org ccd610e5.efecb657 (00:51:33.937 EDT Tue Apr 25 2013)
rec ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
xmt ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
inp ccd610e5.f07b651d (00:51:33.939 EDT Tue Apr 25 2013)
Um valor de dispersão da raiz superior ao estrato 1 ainda é enviado e anotado na segunda saída, mas é menor que 1.000, e aceito pelo ASA.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
19-Aug-2014 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)