Eu já vi isso ao usar o DNSSec. Se o tempo estiver muito longe, o DNSSec não resolverá nomes DNS, portanto, o daemon NTP não poderá obter endereços IP para sincronizar.
Uma solução pode ser garantir que pelo menos um dos seus servidores ou pontos NTP seja um endereço IP ou um nome localmente resolvível.
Eu corro named em um dos meus Pi e adicionei esse snippet ao final de /etc/default/bind9 . Duas das minhas entradas server são endereços IP explícitos, e as outras são resolvidas quando o DNS começa a funcionar.
# Get an approximation to current time so that DNS will work, so that
# NTP can resolve its server/peer names
#
test -x /usr/sbin/ntpdate -a -s /etc/ntp.conf &&
awk '/^server|^peer/ {print $2}' /etc/ntp.conf | xargs -r ntpdate || :