CiscoASA5505はNTP
今日、Cisco ASA 5505ファイアウォールのクロックが約15分遅れていることに気付きました。これは、NTPクライアントを設定したので、驚きました。
私の2つのNTPサーバー10.10.0.1および10.10.0.2は仮想化されたWindowsServer 2008 R2ドメインコントローラーであり、どちらも正しい時刻です。
以下に示すように、ASAは2つのサーバを認識しており、それらにpingを実行でき、定期的にポーリングしているように見えるため、両方に到達できると思います。 ASAは、タイムソースがNTPであると主張していますが、クロックは同期されていません。どちらのホストも同期済みとしてマークされていません。
Result of the command: "ping 10.10.0.1"
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Result of the command: "sh ntp ass"
address ref clock st when poll reach delay offset disp
~10.10.0.1 .LOCL. 1 78 1024 377 0.5 643.69 17.0
~10.10.0.2 10.10.0.1 2 190 1024 377 0.9 655.91 58.4
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
Result of the command: "sh ntp ass detail"
10.10.0.1 configured, insane, invalid, stratum 1
ref ID .LOCL., time d3932559.6aa66707 (19:58:49.416 CEDT Mon Jun 25 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 0.00 msec, root disp 10651.84, reach 377, sync dist 10676.743
delay 0.63 msec, offset 625.3783 msec, dispersion 24.60
precision 2**6, version 3
org time d393fc14.b4a24e74 (11:15:00.705 CEDT Tue Jun 26 2012)
rcv time d393fc14.149e12ec (11:15:00.080 CEDT Tue Jun 26 2012)
xmt time d393fc14.1474f384 (11:15:00.079 CEDT Tue Jun 26 2012)
filtdelay = 0.63 0.47 0.63 0.53 0.50 0.35 0.92 0.37
filtoffset = 625.38 629.03 635.65 643.69 644.70 646.06 644.38 642.86
filterror = 15.63 31.25 46.88 54.69 58.59 60.55 61.52 62.26
10.10.0.2 configured, insane, invalid, stratum 2
ref ID 10.10.0.1, time d393fb9b.e810a061 (11:12:59.906 CEDT Tue Jun 26 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 31.25 msec, root disp 10756.23, reach 377, sync dist 10796.097
delay 0.53 msec, offset 640.2991 msec, dispersion 22.28
precision 2**6, version 3
org time d393fba4.b872ee34 (11:13:08.720 CEDT Tue Jun 26 2012)
rcv time d393fba4.149a40c6 (11:13:08.080 CEDT Tue Jun 26 2012)
xmt time d393fba4.14765384 (11:13:08.079 CEDT Tue Jun 26 2012)
filtdelay = 0.53 0.64 0.85 0.87 0.61 0.81 0.53 0.73
filtoffset = 640.30 642.79 649.05 655.91 648.54 644.63 634.64 570.58
filterror = 15.63 31.25 46.88 54.69 58.59 60.55 61.52 62.30
Result of the command: "sh ntp stat"
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is 00000000.00000000 (07:28:16.000 CEST Thu Feb 7 2036)
clock offset is 0.0000 msec, root delay is 0.00 msec
root dispersion is 0.00 msec, peer dispersion is 0.00 msec
Result of the command: "sh clock detail"
10:33:23.769 CEDT Tue Jun 26 2012
Time source is NTP
UTC time is: 08:33:23 UTC Tue Jun 26 2012
Summer time starts 02:00:00 CEST Sun Mar 25 2012
Summer time ends 03:00:00 CEDT Sun Oct 28 2012
手動で時間を設定し、タイムサーバーを削除および追加するという基本的な手順を試しましたが、役に立ちませんでした。
私のASAのntp設定は単純です:
ntp server 10.10.0.1
ntp server 10.10.0.2
Windows NTPサーバーを使用するには、認証を有効にする必要がありますか?
何かご意見は?
短い答え
If CiscoボックスをこれらのWin2008サーバーに同期する必要がある場合は、w32timeサービスを無効にして、Windows用のNTPv4サーバーをインストールします。 これはWindows用の無料のMeinberg ntpv4です 。
If何らかの理由でw32timeを無効にしたくない場合は、(u | li)nuxサーバーでntpdをホストし、そのntpdを外部ntpプール( pool.ntp.org)からサーバーを作成し、ASAにこの参照を指定します。
長い答え
これは、上記の情報キャプチャからの鍵です。
10.10.0.1 configured, insane, invalid, stratum 1
基本的に、WindowsのIOSマシンまたはASAをw32timeサービスに同期できない場合があります。信頼できるリンクについては、 シスコのサポートフォーラムのこの記事を参照してください) 。
w32timeサービスでルート分散が多すぎる可能性があります。 Microsoftもこの制限を認めています。 KB939322w32timeからは数秒の精度しか得られないことを指摘しています。
IOS年前にこれに対してバグが報告され、Ciscoによってジャンクされました。
CSCed13703
外部で見つかった中程度の欠陥:ジャンク(J)NTPは同期せず、サーバーに異常、無効のフラグを立てます
リリースノート:
IOSシステムは、サーバーとの間でパケットを送受信できるにもかかわらず、NTPサーバーと同期できない場合があります。これは、Windowsで発生する可能性があります。 w32timeサービスを実行しているシステム。
「showntpassociations detail」は、サーバーが「非常識、無効」としてフラグが立てられていることを示します。「ルート分散」値は1000ミリ秒を超えていると見なされ、IOS = NTP関連付けを拒否するための実装。
また、DCでw32timeサービスをリッピングしないように注意します。あなたが持っているすべての単一のWindowsドメインマシンは、時間のためにDCに依存しています。あなたはここで1箱について話している。
シスコの機器を使用してDC for NTPと同期する際に問題が発生したことはありません。まず、他の方法を調査します。シスコが調査するTACケースを提出してください。有効な契約を結んでいると仮定します。実行しているCiscoスイッチ/ルータに問題がありますか?実行しているASAイメージは何ですか。