O Cisco ASA5505 não sincroniza com o NTP

Navegue suas respostas
2

Hoje notei que o relógio meu firewall Cisco ASA 5505 estava atrasado cerca de 15 minutos, o que me surpreendeu desde que eu configurei o cliente NTP.

Meus dois servidores NTP 10.10.0.1 e 10.10.0.2 são controladores de domínio virtualizados do Windows Server 2008 R2 e ambos têm o horário correto.

Como mostrado abaixo, o ASA sabe sobre os dois servidores, pode realizá-los ping e parece pesquisá-los periodicamente, então eu suponho que ele pode alcançar ambos. O ASA afirma que sua fonte de tempo é NTP, mas o relógio não está sincronizado. Nenhum dos hosts está marcado como sincronizado. 

Result of the command: "ping 10.10.0.1"

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms


Result of the command: "sh ntp ass"

      address         ref clock     st  when  poll reach  delay  offset    disp
 ~10.10.0.1        .LOCL.            1    78  1024  377     0.5  643.69    17.0
 ~10.10.0.2        10.10.0.1         2   190  1024  377     0.9  655.91    58.4
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured


Result of the command: "sh ntp ass detail"

10.10.0.1 configured, insane, invalid, stratum 1
ref ID .LOCL., time d3932559.6aa66707 (19:58:49.416 CEDT Mon Jun 25 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 0.00 msec, root disp 10651.84, reach 377, sync dist 10676.743
delay 0.63 msec, offset 625.3783 msec, dispersion 24.60
precision 2**6, version 3
org time d393fc14.b4a24e74 (11:15:00.705 CEDT Tue Jun 26 2012)
rcv time d393fc14.149e12ec (11:15:00.080 CEDT Tue Jun 26 2012)
xmt time d393fc14.1474f384 (11:15:00.079 CEDT Tue Jun 26 2012)
filtdelay =     0.63    0.47    0.63    0.53    0.50    0.35    0.92    0.37
filtoffset =  625.38  629.03  635.65  643.69  644.70  646.06  644.38  642.86
filterror =    15.63   31.25   46.88   54.69   58.59   60.55   61.52   62.26

10.10.0.2 configured, insane, invalid, stratum 2
ref ID 10.10.0.1, time d393fb9b.e810a061 (11:12:59.906 CEDT Tue Jun 26 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 31.25 msec, root disp 10756.23, reach 377, sync dist 10796.097
delay 0.53 msec, offset 640.2991 msec, dispersion 22.28
precision 2**6, version 3
org time d393fba4.b872ee34 (11:13:08.720 CEDT Tue Jun 26 2012)
rcv time d393fba4.149a40c6 (11:13:08.080 CEDT Tue Jun 26 2012)
xmt time d393fba4.14765384 (11:13:08.079 CEDT Tue Jun 26 2012)
filtdelay =     0.53    0.64    0.85    0.87    0.61    0.81    0.53    0.73
filtoffset =  640.30  642.79  649.05  655.91  648.54  644.63  634.64  570.58
filterror =    15.63   31.25   46.88   54.69   58.59   60.55   61.52   62.30


Result of the command: "sh ntp stat"

Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is 00000000.00000000 (07:28:16.000 CEST Thu Feb 7 2036)
clock offset is 0.0000 msec, root delay is 0.00 msec
root dispersion is 0.00 msec, peer dispersion is 0.00 msec


Result of the command: "sh clock detail"

10:33:23.769 CEDT Tue Jun 26 2012
Time source is NTP
UTC time is: 08:33:23 UTC Tue Jun 26 2012
Summer time starts 02:00:00 CEST Sun Mar 25 2012
Summer time ends 03:00:00 CEDT Sun Oct 28 2012

Eu tentei as etapas básicas de configurar manualmente a hora e remover e adicionar os servidores de tempo, sem sucesso.

A configuração ntp do meu ASA é simples: 

ntp server 10.10.0.1
ntp server 10.10.0.2

Preciso habilitar a autenticação para usar um servidor NTP do Windows?

Alguma opinião?

    
por Martijn Heemels 26.06.2012 / 10:43

2 respostas

5

Resposta curta

Se você precisa sincronizar as caixas Cisco com esses servidores Win2008, desative o serviço w32time e instale um servidor NTPv4 para Windows. Este é o Meinberg ntpv4 gratuito para windows .

Se você não quiser desabilitar w32time por qualquer motivo, você pode hospedar o ntpd em um servidor (u | li) nux, sincronizar esse ntpd com um conjunto ntp externo (como um servidor de pool.ntp.org ) e, em seguida, aponte seus ASAs para essa referência.

Resposta mais longa

Esta é a chave das suas capturas de informações acima:

10.10.0.1 configured, insane, invalid, stratum 1

Essencialmente, você pode não conseguir sincronizar uma máquina IOS ou ASA com um serviço w32time no Windows; para um link autoritativo, consulte Este artigo no fórum de suporte da Cisco .

É possível obter muita dispersão de raízes em um serviço w32time . A Microsoft também reconhece essa limitação; KB939322 indica que você só pode obter alguns segundos de precisão em w32time .

Um bug foi arquivado contra isso no IOS anos atrás e foi descartado pela Cisco.

CSCed13703

Externally found moderate defect: Junked (J) NTP will not sync, flags server as insane, invalid

Release-note:

An IOS system may be unable to synchronize to an NTP server despite being able to transmit to and receive packets from the server. This may be seen with a Windows system running the w32time service.

'show ntp associations detail" will show that the server is flagged as "insane, invalid". The "root dispersion" value will be seen as being in excess of 1000 ms, which will cause the IOS NTP implementation to reject the association.

    
por 26.06.2012 / 11:36
0

Eu também aconselharia a remoção do serviço w32time nos seus DCs. Cada máquina de domínio do Windows você confia nos DCs por tempo. Você está falando de uma caixa aqui.

Nunca tive problemas ao sincronizar com um DC para NTP com equipamento da Cisco. Eu investigaria outros caminhos primeiro - envie um caso de TAC para a Cisco investigar, assumindo que você tenha um contrato válido. Você está tendo problemas com algum switch / roteador Cisco em execução? Qual imagem ASA você está executando?

    
por 26.06.2012 / 14:04

Tags

Como faço para que o Windows Domain Controller e o Ubuntu dnsmasq funcionem bem? Deve-se usar “From”, “Reply-To” ou ambos os cabeçalhos para refletir o endereço de e-mail do cliente ao enviar um e-mail para você mesmo a partir de uma página “Fale conosco”?