今天我注意到我的 Cisco ASA 5505 防火墙的时钟运行晚了大约 15 分钟,这让我很惊讶,因为我已经设置了 NTP 客户端。
我的两个 NTP 服务器10.10.0.1是10.10.0.2虚拟化的 Windows Server 2008 R2 域控制器,并且都具有正确的时间。
如下所示,ASA 知道这两台服务器,可以 ping 它们,并且似乎会定期轮询它们,所以我想它可以访问它们。ASA 声称其时间源是 NTP,但时钟不同步。两台主机均未标记为已同步。
Result of the command: "ping 10.10.0.1"
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Result of the command: "sh ntp ass"
address ref clock st when poll reach delay offset disp
~10.10.0.1 .LOCL. 1 78 1024 377 0.5 643.69 17.0
~10.10.0.2 10.10.0.1 2 190 1024 377 0.9 655.91 58.4
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
Result of the command: "sh ntp ass detail"
10.10.0.1 configured, insane, invalid, stratum 1
ref ID .LOCL., time d3932559.6aa66707 (19:58:49.416 CEDT Mon Jun 25 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 0.00 msec, root disp 10651.84, reach 377, sync dist 10676.743
delay 0.63 msec, offset 625.3783 msec, dispersion 24.60
precision 2**6, version 3
org time d393fc14.b4a24e74 (11:15:00.705 CEDT Tue Jun 26 2012)
rcv time d393fc14.149e12ec (11:15:00.080 CEDT Tue Jun 26 2012)
xmt time d393fc14.1474f384 (11:15:00.079 CEDT Tue Jun 26 2012)
filtdelay = 0.63 0.47 0.63 0.53 0.50 0.35 0.92 0.37
filtoffset = 625.38 629.03 635.65 643.69 644.70 646.06 644.38 642.86
filterror = 15.63 31.25 46.88 54.69 58.59 60.55 61.52 62.26
10.10.0.2 configured, insane, invalid, stratum 2
ref ID 10.10.0.1, time d393fb9b.e810a061 (11:12:59.906 CEDT Tue Jun 26 2012)
our mode client, peer mode server, our poll intvl 1024, peer poll intvl 1024
root delay 31.25 msec, root disp 10756.23, reach 377, sync dist 10796.097
delay 0.53 msec, offset 640.2991 msec, dispersion 22.28
precision 2**6, version 3
org time d393fba4.b872ee34 (11:13:08.720 CEDT Tue Jun 26 2012)
rcv time d393fba4.149a40c6 (11:13:08.080 CEDT Tue Jun 26 2012)
xmt time d393fba4.14765384 (11:13:08.079 CEDT Tue Jun 26 2012)
filtdelay = 0.53 0.64 0.85 0.87 0.61 0.81 0.53 0.73
filtoffset = 640.30 642.79 649.05 655.91 648.54 644.63 634.64 570.58
filterror = 15.63 31.25 46.88 54.69 58.59 60.55 61.52 62.30
Result of the command: "sh ntp stat"
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is 00000000.00000000 (07:28:16.000 CEST Thu Feb 7 2036)
clock offset is 0.0000 msec, root delay is 0.00 msec
root dispersion is 0.00 msec, peer dispersion is 0.00 msec
Result of the command: "sh clock detail"
10:33:23.769 CEDT Tue Jun 26 2012
Time source is NTP
UTC time is: 08:33:23 UTC Tue Jun 26 2012
Summer time starts 02:00:00 CEST Sun Mar 25 2012
Summer time ends 03:00:00 CEDT Sun Oct 28 2012
我尝试了手动设置时间以及删除和添加时间服务器的基本步骤,但无济于事。
我的 ASA 的 ntp 配置很简单:
ntp server 10.10.0.1
ntp server 10.10.0.2
我是否需要启用身份验证才能使用 Windows NTP 服务器?
有什么想法吗?
答案1
简短回答
如果您需要将 Cisco 盒同步到这些 Win2008 服务器,禁用该w32time服务并为 Windows 安装 NTPv4 服务器。这是适用于 Windows 的免费 Meinberg ntpv4。
如果无论出于什么原因,如果您不想禁用它w32time,您可以在 (u|li)nux 服务器上托管 ntpd,将该 ntpd 同步到外部 ntp 池(例如来自的服务器pool.ntp.org),然后将您的 ASA 指向此参考。
较长的答案
这是从上面捕获的信息中得到的关键:
10.10.0.1 configured, insane, invalid, stratum 1
本质上,您可能无法将 IOS 计算机或 ASA 同步到w32timeWindows 中的服务;有关权威链接,请参阅思科支持论坛上的这篇文章。
服务中可能会出现过多的根分散w32time。Microsoft 也承认这一限制;KB939322指出,你只能从中获得几秒钟的精度w32time。
几年前,有人在 IOS 中针对此问题提交了一个错误,但该错误被思科丢弃了。
CSCed13703
外部发现中等缺陷:垃圾(J)NTP 不会同步,将服务器标记为疯狂、无效
发行公告:
尽管 IOS 系统能够向 NTP 服务器发送数据包和从服务器接收数据包,但可能无法与该服务器同步。运行 w32time 服务的 Windows 系统可能会出现这种情况。
“show ntp associations detail”将显示服务器被标记为“疯狂、无效”。“根分散”值将被视为超过 1000 毫秒,这将导致 IOS NTP 实现拒绝关联。
答案2
我还想提醒大家不要删除 DC 上的 w32time 服务。您拥有的每台 Windows 域计算机都依赖 DC 来获取时间。您这里说的是 1 个盒子。
我从未遇到过使用 Cisco 设备同步到 DC 进行 NTP 的问题。我会先调查其他途径 - 提交 TAC 案例供 Cisco 调查,假设您有一份有效的合同。您正在运行的任何 Cisco 交换机/路由器是否出现问题?您正在运行什么 ASA 映像?