网络时间协议(NTP)是用于的协议为了同步不同的网络实体时钟。它使用UDP/123。使用此协议的主要目标将避免可变延迟的作用在数据网的。
本文为Cisco ACS同步提供一配置示例其时钟以Ntp server。ACS 5.x允许配置两个NTP服务器。
本文档没有任何特定的要求。
本文档中的信息基于以下软件和硬件版本:
Cisco Secure ACS版本5.x
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
本部分提供有关如何配置本文档所述功能的信息。
注意: 使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息。
为了与Ntp server同步Cisco ACS的时期,请完成这些步骤:
请手工配置与clock set <month> <day> <hh的日期和时间:分钟:ss> <yyyy>命令。
指定时间区域用时钟时区<timezone>命令。
指定与NTP server>命令的Ntp server < IP地址的Ntp server。
NTP跟随客户端服务器层级。当NTP客户机配置与Ntp server时, Ntp server的参考时钟通过给客户端。需要大约10-20分钟从Ntp server得到准确的时间并且取决于延迟发生为了到达Ntp server。
Cisco ACS使用NTP守护程序为了与Ntp server同步其时钟。它不支持简单NTP, SNTP。当NTP守护程序开始时, ACS发送包含其原始时间的数据包对Ntp server (本地)。然后Ntp server回复到有其参考时钟时间的插入的数据包。一旦NTP客户机收到此数据包,记录数据包以其自己的本地时间为了验证数据包需要的行程时间。几个这样信息包交换发生为了计算确切的往返时延延时,并且偏移值和本地时间NTP客户机与Ntp server的参考时钟终于同步。
使用本部分可确认配置能否正常运行。
为了验证配置细节,参考这些命令输出片断。
acs51/admin#show clock Wed Jun 13 11:02:00 IST 2012 acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55 The NTP server was modified. If this action resulted in a clock modification, you must restart ACS. acs51/admin(config)#
acs51/admin#show ntp Primary NTP : 192.168.26.55 synchronised to NTP server (192.168.26.55) at stratum 2 time correct to within 27 ms polling server every 64 s remote refid st t when poll reach delay offset jitter ============================================================================== 127.127.1.0 LOCAL(0) 10 l 29 64 17 0.000 0.000 0.001 *192.168.26.55 .LOCL. 1 u 33 64 17 0.285 -9.900 2.733 Warning: Output results may conflict during periods of changing synchronization.
注意: 层是指定的测量close如何是Ntp server对主要参考参考时钟。每NTP客户机与的层n服务器同步被叫做和在层n+1级别。
参考从ACS的这些应用程序日志消息为了验证NTP同步详细信息。
acs51/admin# show logging application | in ntp Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1) Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123 Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040 Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2 !--- Output suppressed–
命令输出解释程序(仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。
本部分提供的信息可用于对配置进行故障排除。
Cisco ACS配置使用Ntp server作为时钟源,但是连续变成内部时间源。当这发生时,执行notallow用户从活动目录验证,当Kerberos只支持300秒时差。
当ESXi主机有高CPU利用率时,然后一样频繁地不为VMs服务象正常。这影响时钟在VMs里面和实际上从超出五分钟的Windows域控制器的原因时钟漂移。它造成Kerberos失败。这将影响Windows VM,不用NTP或主机时钟同步。虚拟时钟提交了到Cisco ACS不足够稳定的为了NTP能跟上偏差,它最终恢复对使用作为时间源。
注意: NTP守护程序调节在几交换的时钟并且继续,直到客户端得到准确的时间。然而,当Ntp server和NTP客户机之间的延迟变得太大时,然后NTP守护程序终止,并且您需要手工调节时间和重新启动NTP守护程序。
设置解决此问题,当您集成VMWare工具支持到Cisco ACS时,用Cisco ACS版本5.4是可用的将发布。参考Cisco Bug ID CSCtg50048 (仅限注册用户)欲知更多信息。作为临时应急方案,您可能尝试这些步骤:
终止与stop命令的ACS的ACS服务。
删除所有NTP配置并且保存配置用write mem命令。
重新启动Cisco ACS。
确保所有服务以显示应用程序状态acs命令运行。
以前设置时钟是一样接近实时尽可能,对第二在NTP的抵销需求。
确保时区是正确一个。
重新加写NTP配置并且保存它。
如果输出是相同的,请执行显示ntp命令为了验证。
注意: 如果这些步骤不解决问题,您建议与Cisco TAC联系。
如果更改ACS NIC的IP地址,这做NTP出去同步。
此行为被观察和登陆的Cisco Bug ID CSCtk76151 (仅限注册用户)。当修改时ACS IP地址,重新启动ACS应用程序,但是不是NTP守护程序。它在ACS版本5.3.0.23修复。为了解决在以前的版本的此问题,请完成这些步骤:
发出没有ntp server命令为了终止NTP进程。
补发ntp server命令为了重新启动NTP进程。