自适应安全设备常见问题:为什么ASA无法与配置为NTP服务器的Windows服务器同步?

下载选项

  • PDF     (172.4 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (82.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (64.2 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2014 年 8 月 19 日
文档 ID:118053

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍ASA不与网络时间协议(NTP)服务器同步时间的原因、导致默认色散值超过一秒的原因,以及可以采取什么措施来解决此问题。

为什么ASA无法与配置为NTP服务器的Windows服务器同步?

当NTP服务器发送的色散值超过一秒时,自适应安全设备(ASA)不与网络时间协议(NTP)服务器同步时间。这是用作NTP服务器时Microsoft Windows Server的默认色散值。此问题如何解决?

NTP: rcv packet from 172.23.226.161 to 172.23.246.71 on management:
leap 0, mode 4, version 3, stratum 2, ppoll 64 
rtdel 0800 (31.250), rtdsp ae343 (10887.741), refid C6976401 (198.151.100.1)

ASA需要小于1000毫秒(一秒)的色散值,以便通过NTP同步其时钟。Windows Server报告的色散值太高,ASA无法同步,因此您必须调整Windows Server以满足此要求。在服务器上执行注册表更改时,可以执行此操作。有关详细信息,请参阅以下Microsoft文档:LocalClockDesportion Entry。 


如果作为NTP服务器运行的Windows服务器不也是域控制器(DC),则可能需要将AnnounceFlags注册表设置更改为0x5(0x01 + 0x04)。 有关详细信息,请参阅以下Microsoft文档:
Config\AnnounceFlags条目。 


Microsoft的实施与大多数NTP服务器的行为不同,并可能导致与前面描述的问题类似的问题。Microsoft Windows Server NTP实施发送的数据包的根色散值与某些其他NTP服务器相比异常大。此输出基于尝试同步到未经调整的Windows Server的ASA上的debug ntp数据包:

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
 leap 0, mode 4, version 3, stratum 2, ppoll 64
 rtdel 0800 (31.250), rtdsp 7dcc3 (7862.350), refid C6976401 (198.151.100.1)
 ref ccd5ee4e.4cd51570 (22:23:58.300 EDT Mon Apr 24 2013)
 org ccd5ee61.f71e22bd (22:24:17.965 EDT Mon Apr 24 2013)
 rec ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
 xmt ccd5ee61.f0ac1fae (22:24:17.940 EDT Mon Apr 24 2013)
 inp ccd5ee61.f8744957 (22:24:17.970 EDT Mon Apr 24 2013)
NTP: 172.16.1.3 reachable

 
所关心的价值是:rtdsp 7dcc3(7862.350)。  色散指示相对于其参考源的错误(以毫秒为单位)。 如果数据包中的根色散值大于1,000,ASA对NTP的实施会声明时间源无效。

这是从NTP服务器接收的不发出问题同步的响应的调试输出。请注意根色散要低得多。

NTP: rcv packet from 172.18.108.15 to 172.18.254.61 on outside:
  leap 0, mode 4, version 3, stratum 1, ppoll 64
  rtdel 0000 (0.000), rtdsp 000f (0.229), refid C6976401 (198.151.100.1)
  ref ccd5fc03.000becc0 (23:22:27.000 EDT Mon Apr 24 2013)
  org ccd5fc09.7705ecf8 (23:22:33.464 EDT Mon Apr 24 2013)
  rec ccd5fc09.778d15a1 (23:22:33.466 EDT Mon Apr 24 2013)
  xmt ccd5fc09.778e1e93 (23:22:33.467 EDT Mon Apr 24 2013)
  inp ccd5fc09.778eb534 (23:22:33.467 EDT Mon Apr 24 2013)


如果根据前面引用的Microsoft文章更改服务器的注册表,则会将根色散值降至可接受级别,但前提是本地时钟用作时间参考。 将LocalClockDispersion设置为“0”以显着减少根色散。

以下是更改注册表值后Windows Server NTP响应的另一个数据包调试:

NTP: rcv packet from 172.16.1.3 to 172.16.1.1 on DMZ:
  leap 0, mode 4, version 3, stratum 1, ppoll 128
  rtdel 0000 (0.000), rtdsp 0ede (58.075), refid C6976401 (198.151.100.1)
  ref ccd60291.af53f7ce (23:50:25.684 EDT Mon Apr 24 2013)
  org ccd610e5.efecb657 (00:51:33.937 EDT Tue Apr 25 2013)
  rec ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
  xmt ccd610e5.ff333333 (00:51:33.996 EDT Tue Apr 25 2013)
  inp ccd610e5.f07b651d (00:51:33.939 EDT Tue Apr 25 2013)


高于第1层的根色散值仍会发送并记录在第二个输出中,但小于1,000,并被ASA接受。

修订历史记录

版本 发布日期 备注
1.0
19-Aug-2014
初始版本
TAC Authored

由思科工程师提供

  • Raghunath Kulkarni and Magnus Mortenson
    Cisco TAC Engineers.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品