今天我注意到我的思科ASA 5505防火墙延迟了大约15分钟,这让我感到惊讶,因为我设置了NTP客户端。
我的两个NTP服务器10.10.0.1和10.10.0.2是虚拟化的Windows Server 2008 R2域控制器,并且都有正确的时间。
如下所示,ASA知道两台服务器,可以ping通它们,并且似乎定期轮询它们,所以我想它可以同时访问它们。 ASA声称其时间源是NTP,但时钟不同步。 两台主机都没有标记为已同步。
Result of the command: "ping 10.10.0.1" Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms Result of the command: "sh ntp ass" address ref clock st when poll reach delay offset disp ~10.10.0.1 .LOCL. 1 78 1024 377 0.5 643.69 17.0 ~10.10.0.2 10.10.0.1 2 190 1024 377 0.9 655.91 58.4 * master (synced), # master (unsynced), + selected, - candidate, ~ configured Result of the command: "sh ntp ass detail" 10.10.0.1 configured, insane, invalid, stratum 1 ref ID .LOCL., time d3932559.6aa66707 (19:58:49.416 CEDT Mon Jun 25 2012) our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024 root delay 0.00 msec, root disp 10651.84, reach 377, sync dist 10676.743 delay 0.63 msec, offset 625.3783 msec, dispersion 24.60 precision 2**6, version 3 org time d393fc14.b4a24e74 (11:15:00.705 CEDT Tue Jun 26 2012) rcv time d393fc14.149e12ec (11:15:00.080 CEDT Tue Jun 26 2012) xmt time d393fc14.1474f384 (11:15:00.079 CEDT Tue Jun 26 2012) filtdelay = 0.63 0.47 0.63 0.53 0.50 0.35 0.92 0.37 filtoffset = 625.38 629.03 635.65 643.69 644.70 646.06 644.38 642.86 filterror = 15.63 31.25 46.88 54.69 58.59 60.55 61.52 62.26 10.10.0.2 configured, insane, invalid, stratum 2 ref ID 10.10.0.1, time d393fb9b.e810a061 (11:12:59.906 CEDT Tue Jun 26 2012) our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024 root delay 31.25 msec, root disp 10756.23, reach 377, sync dist 10796.097 delay 0.53 msec, offset 640.2991 msec, dispersion 22.28 precision 2**6, version 3 org time d393fba4.b872ee34 (11:13:08.720 CEDT Tue Jun 26 2012) rcv time d393fba4.149a40c6 (11:13:08.080 CEDT Tue Jun 26 2012) xmt time d393fba4.14765384 (11:13:08.079 CEDT Tue Jun 26 2012) filtdelay = 0.53 0.64 0.85 0.87 0.61 0.81 0.53 0.73 filtoffset = 640.30 642.79 649.05 655.91 648.54 644.63 634.64 570.58 filterror = 15.63 31.25 46.88 54.69 58.59 60.55 61.52 62.30 Result of the command: "sh ntp stat" Clock is unsynchronized, stratum 16, no reference clock nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6 reference time is 00000000.00000000 (07:28:16.000 CEST Thu Feb 7 2036) clock offset is 0.0000 msec, root delay is 0.00 msec root dispersion is 0.00 msec, peer dispersion is 0.00 msec Result of the command: "sh clock detail" 10:33:23.769 CEDT Tue Jun 26 2012 Time source is NTP UTC time is: 08:33:23 UTC Tue Jun 26 2012 Summer time starts 02:00:00 CEST Sun Mar 25 2012 Summer time ends 03:00:00 CEDT Sun Oct 28 2012
我已经尝试了手动设置时间和删除和添加时间服务器的基本步骤,无济于事。
我的ASA的ntpconfiguration很简单:
ntp server 10.10.0.1 ntp server 10.10.0.2
我是否需要启用身份validation才能使用Windows NTP服务器?
有什么想法吗?
简短的回答
如果您需要将Cisco Box同步到这些Win2008服务器,请禁用w32time服务并为Windows安装NTPv4服务器。 这是Windows的免费Meinberg ntpv4 。
如果不想由于某种原因禁用w32time ,则可以在(u | li)nux服务器上托pipentpd,将ntpd同步到外部ntp池(例如pool.ntp.org的服务器),然后把你的ASA指向这个参考。
较长的答案
这是您上面的信息捕获的关键:
10.10.0.1 configured, insane, invalid, stratum 1
实质上,您可能无法在Windows中将IOS计算机或ASA同步到w32time服务; 有关权威链接,请参阅思科支持论坛上的这篇文章 。
在w32time服务中可能获得太多的根分散。 微软也承认这个限制; KB939322指出,你只能从w32time得到几秒钟的精度。
IOS在几年前曾经提出过一个错误,并被Cisco拒绝了。
CSCed13703
外部find中度缺陷:Junked(J)NTP不会同步,将服务器标记为疯狂,无效
发行公告:
IOS系统可能无法同步到NTP服务器,尽pipe能够传输和接收来自服务器的数据包。 运行w32time服务的Windows系统可能会出现这种情况。
'show ntp associations detail'将显示服务器被标记为“疯狂,无效”,“根分散”值将被视为超过1000毫秒,这将导致IOS NTP实现拒绝关联。
我也会提醒你不要在你的数据中心里拿出w32time的服务。 每台Windows域计算机都依赖于数据中心的时间。 你在这里谈论1盒。
我从来没有遇到问题同步到与思科齿轮NTP DC。 我会首先调查其他途径 – 假设你有一个有效的合同,就向思科提交一个TAC案件进行调查。 您在使用任何Cisco交换机/路由器时是否遇到问题? 你运行的是什么ASA映像?