Cisco ASA5505 non synchronisé par S. NTP

Aujourd'hui j'ai remarqué que ma montre de pare-feu Cisco ASA 5505 Ajustement approximativement par 15 minutes qui m'a surpris depuis que j'ai installé le client NTP.

Mes deux serveurs NTP

10.10.0.1

et

10.10.0.2

sont des contrôleurs de domaine virtualisés Windows Server 2008 R2, Et les deux ont le bon moment.

Comme indiqué ci-dessous, ASA Il connaît deux serveurs, il peut les ping et, semble-t-il, les sondre périodiquement, alors je suppose qu'il puisse les contacter les deux. ASA revendique sa source de temps - NTP, Cependant, l'horloge n'est pas synchronisée. Aucun des hôtes n'est étiqueté comme synchronisé.

Result of the command: "ping 10.10.0.1"

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms


Result of the command: "sh ntp ass"

address ref clock st when poll reach delay offset disp
~10.10.0.1 .LOCL. 1 78 1024 377 0.5 643.69 17.0
~10.10.0.2 10.10.0.1 2 190 1024 377 0.9 655.91 58.4
* master (synced), # master (unsynced), + selected, - candidate, ~ configured


Result of the command: "sh ntp ass detail"

10.10.0.1 configured, insane, invalid, stratum 1
ref ID .LOCL., time d3932559.6aa66707 (19:58:49.416 CEDT Mon Jun 25 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 0.00 msec, root disp 10651.84, reach 377, sync dist 10676.743
delay 0.63 msec, offset 625.3783 msec, dispersion 24.60
precision 2**6, version 3
org time d393fc14.b4a24e74 (11:15:00.705 CEDT Tue Jun 26 2012)
rcv time d393fc14.149e12ec (11:15:00.080 CEDT Tue Jun 26 2012)
xmt time d393fc14.1474f384 (11:15:00.079 CEDT Tue Jun 26 2012)
filtdelay = 0.63 0.47 0.63 0.53 0.50 0.35 0.92 0.37
filtoffset = 625.38 629.03 635.65 643.69 644.70 646.06 644.38 642.86
filterror = 15.63 31.25 46.88 54.69 58.59 60.55 61.52 62.26

10.10.0.2 configured, insane, invalid, stratum 2
ref ID 10.10.0.1, time d393fb9b.e810a061 (11:12:59.906 CEDT Tue Jun 26 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 31.25 msec, root disp 10756.23, reach 377, sync dist 10796.097
delay 0.53 msec, offset 640.2991 msec, dispersion 22.28
precision 2**6, version 3
org time d393fba4.b872ee34 (11:13:08.720 CEDT Tue Jun 26 2012)
rcv time d393fba4.149a40c6 (11:13:08.080 CEDT Tue Jun 26 2012)
xmt time d393fba4.14765384 (11:13:08.079 CEDT Tue Jun 26 2012)
filtdelay = 0.53 0.64 0.85 0.87 0.61 0.81 0.53 0.73
filtoffset = 640.30 642.79 649.05 655.91 648.54 644.63 634.64 570.58
filterror = 15.63 31.25 46.88 54.69 58.59 60.55 61.52 62.30


Result of the command: "sh ntp stat"

Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is 00000000.00000000 (07:28:16.000 CEST Thu Feb 7 2036)
clock offset is 0.0000 msec, root delay is 0.00 msec
root dispersion is 0.00 msec, peer dispersion is 0.00 msec


Result of the command: "sh clock detail"

10:33:23.769 CEDT Tue Jun 26 2012
Time source is NTP
UTC time is: 08:33:23 UTC Tue Jun 26 2012
Summer time starts 02:00:00 CEST Sun Mar 25 2012
Summer time ends 03:00:00 CEDT Sun Oct 28 2012

J'ai essayé d'effectuer des paramètres de temps de base manuellement, ainsi que de supprimer et d'ajouter des serveurs de temps, mais en vain.

Configuration ntp Mien ASA Simple:

ntp server 10.10.0.1
ntp server 10.10.0.2

Dois-je inclure l'authentification pour une utilisation Windows Serveur NTP?

Des pensées?
Invité:

Emilie

Confirmation de:

Réponse courte

Si un

Vous devez synchroniser des boîtes Cisco Avec ces serveurs Win2008, Désactiver

w32time

service Et installer le serveur NTPv4 pour Windows.
http://www.meinberg.de/english ... table
.

Si un

Vous ne voulez pas désactiver

w32time

Pour une raison quelconque, vous pouvez accueillir ntpd sur (u | li) nux serveur synchronisez ceci ntpd Avec une piscine externe ntp (Par exemple, avec un serveur de

pool.ntp.org

), et ensuite spécifier dans ASA sur ce lien.

Réponse plus longue

Ceci est la clé de vos données ci-dessus:


10.10.0.1 configured, insane, invalid, stratum 1

En fait, vous ne pourrez pas synchroniser la voiture IOS ou ASA de

w32time

Service B. Windows; Pour une référence faisant autorité, voir
https://supportforums.cisco.co ... tions
.

Il est possible d'obtenir trop de racines dispersantes dans

w32time

un service. Microsoft reconnaît également cette restriction;
http://support.microsoft.com/kb/939322
Indique que vous ne pouvez obtenir que quelques secondes de précision de

w32time

.

Il y a quelques années dans IOS Une erreur a été détectée qui a été rejetée Cisco.

CSCed13703

Découvert du défaut modéré extérieur: indésirable (J) NTP Non synchronisé, le serveur est marqué comme un anormal, invalide.

Release Note:

Système IOS Il peut être incapable de se synchroniser avec le serveur NTP, malgré le fait qu'il puisse transmettre et recevoir des packages du serveur. On peut voir dans le système Windows, dans lequel le service est en cours d'exécution w32time.

"Afficher les détails des associations ntp» Il montrera que le serveur est marqué comme "insensé, inacceptable". La valeur de la "dispersion des racines" sera traitée comme dépassant 1000 MS, qui conduira au fait que la mise en œuvre IOS NTP Divale l'association.

Catherine

Confirmation de:

Je voudrais aussi avertir de supprimer le service w32time Sur vos contrôleurs de domaine. Chaque ordinateur individuel avec un domaine Windows, Que vous avez, repose sur les contrôleurs de domaine dans le temps. Vous dites ob. 1 Boîte.

Je n'ai jamais eu de problèmes de synchronisation avec DC pour NTP Avec équipement Cisco. Je voudrais d'abord explorer d'autres possibilités - introduirait le centre de support technique Cisco Enquêter, si vous avez un contrat valide. Vous avez des problèmes avec des commutateurs / routeurs Cisco, Que vous utilisez? Quelle image ASA Vous utilisez?

Pour répondre aux questions, connectez-vous ou registre