Сегодня я заметил, что часы моего брандмауэра Cisco ASA 5505 опаздывают примерно на 15 минут, что меня удивило с тех пор, как я установил клиент NTP.
Мои два сервера NTP 10.10.0.1
и 10.10.0.2
являются виртуализированными контроллерами домена Windows Server 2008 R2, и оба имеют правильное время.
Как показано ниже, ASA знает о двух серверах, может пинговать их и, кажется, периодически опрашивает их, поэтому я полагаю, что он может связаться с ними обоими. ASA утверждает, что его источник времени - NTP, однако часы не синхронизированы. Ни один из хостов не помечен как синхронизированный.
Result of the command: "ping 10.10.0.1"
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Result of the command: "sh ntp ass"
address ref clock st when poll reach delay offset disp
~10.10.0.1 .LOCL. 1 78 1024 377 0.5 643.69 17.0
~10.10.0.2 10.10.0.1 2 190 1024 377 0.9 655.91 58.4
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
Result of the command: "sh ntp ass detail"
10.10.0.1 configured, insane, invalid, stratum 1
ref ID .LOCL., time d3932559.6aa66707 (19:58:49.416 CEDT Mon Jun 25 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 0.00 msec, root disp 10651.84, reach 377, sync dist 10676.743
delay 0.63 msec, offset 625.3783 msec, dispersion 24.60
precision 2**6, version 3
org time d393fc14.b4a24e74 (11:15:00.705 CEDT Tue Jun 26 2012)
rcv time d393fc14.149e12ec (11:15:00.080 CEDT Tue Jun 26 2012)
xmt time d393fc14.1474f384 (11:15:00.079 CEDT Tue Jun 26 2012)
filtdelay = 0.63 0.47 0.63 0.53 0.50 0.35 0.92 0.37
filtoffset = 625.38 629.03 635.65 643.69 644.70 646.06 644.38 642.86
filterror = 15.63 31.25 46.88 54.69 58.59 60.55 61.52 62.26
10.10.0.2 configured, insane, invalid, stratum 2
ref ID 10.10.0.1, time d393fb9b.e810a061 (11:12:59.906 CEDT Tue Jun 26 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 31.25 msec, root disp 10756.23, reach 377, sync dist 10796.097
delay 0.53 msec, offset 640.2991 msec, dispersion 22.28
precision 2**6, version 3
org time d393fba4.b872ee34 (11:13:08.720 CEDT Tue Jun 26 2012)
rcv time d393fba4.149a40c6 (11:13:08.080 CEDT Tue Jun 26 2012)
xmt time d393fba4.14765384 (11:13:08.079 CEDT Tue Jun 26 2012)
filtdelay = 0.53 0.64 0.85 0.87 0.61 0.81 0.53 0.73
filtoffset = 640.30 642.79 649.05 655.91 648.54 644.63 634.64 570.58
filterror = 15.63 31.25 46.88 54.69 58.59 60.55 61.52 62.30
Result of the command: "sh ntp stat"
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is 00000000.00000000 (07:28:16.000 CEST Thu Feb 7 2036)
clock offset is 0.0000 msec, root delay is 0.00 msec
root dispersion is 0.00 msec, peer dispersion is 0.00 msec
Result of the command: "sh clock detail"
10:33:23.769 CEDT Tue Jun 26 2012
Time source is NTP
UTC time is: 08:33:23 UTC Tue Jun 26 2012
Summer time starts 02:00:00 CEST Sun Mar 25 2012
Summer time ends 03:00:00 CEDT Sun Oct 28 2012
Я попробовал выполнить основные действия по установке времени вручную, а также удалению и добавлению серверов времени, но безрезультатно.
Конфигурация ntp моего ASA проста:
ntp server 10.10.0.1
ntp server 10.10.0.2
Нужно ли мне включать аутентификацию для использования Windows NTP-сервера?
Есть предположения?
Короткий ответ
Если вам необходимо синхронизировать коробки Cisco с этими серверами Win2008, отключите w32time
service и установите сервер NTPv4 для Windows. Это бесплатный Meinberg ntpv4 для windows.
Если ты не хочешь отключать w32time
по какой-то причине вы можете разместить ntpd на (u | li) nux сервере, синхронизировать этот ntpd с внешним пулом ntp (например, с сервером из pool.ntp.org
), а затем укажите в ASA на эту ссылку.
Более длинный ответ
Это ключ из ваших данных выше:
10.10.0.1 configured, insane, invalid, stratum 1
По сути, вы не сможете синхронизировать машину IOS или ASA с w32time
сервис в Windows; для авторитетной ссылки см. Эта статья на форуме поддержки Cisco.
Возможно получение слишком большого разброса корней в w32time
служба. Microsoft также признает это ограничение; KB939322
указывает, что вы можете получить только пару секунд точности из w32time
.
Несколько лет назад в IOS была обнаружена ошибка, которая была отклонена Cisco.
CSCed13703
Обнаруженный извне умеренный дефект: нежелательный (J) NTP не синхронизируется, сервер помечается как ненормальный, недействительный
Release Note:
Система IOS может быть неспособна синхронизироваться с NTP-сервером, несмотря на то, что она может передавать и получать пакеты от сервера. Это можно увидеть в системе Windows, в которой запущена служба w32time.
«Показать детали ассоциаций ntp» покажет, что сервер помечен как «безумный, недопустимый». Значение «корневой дисперсии» будет рассматриваться как превышающее 1000 мс, что приведет к тому, что реализация IOS NTP отклонит ассоциацию.
Я также хотел бы предостеречь от удаления службы w32time на ваших контроллерах домена. Каждый отдельный компьютер с доменом Windows, который у вас есть, полагается на контроллеры домена во времени. Вы говорите об 1 коробке.
У меня никогда не было проблем с синхронизацией с DC для NTP с оборудованием Cisco. Я бы сначала исследовал другие возможности - представил бы в центр технической поддержки Cisco для расследования, если у вас есть действующий контракт. У вас есть проблемы с какими-либо коммутаторами / маршрутизаторами Cisco, которые вы используете? Какой образ ASA вы используете?