Firewall oder Panorama NTP Status mit "Abgelehnt"
51368
Created On 04/19/21 23:01 PM - Last Modified 05/23/23 03:07 AM
Symptom
+ Firewall oder Panorama die Uhr ist nicht mit der konfigurierten NTP Serverzeit
synchronisiert
+ "NTP anzeigen" zeigt den Status "Abgelehnt" mit dem erreichbaren Status "Ja" an> NTP-Status anzeigen
: NTP Nicht synchronisiert, mit lokaler Uhr
NTP Server: 192.168.0.11
Status: abgelehnt erreichbar:
NTP Ja
+ Im Nachrichtenprotokoll wird "kein für die Synchronisierung geeigneter Server gefunden" mit verdächtig gemeldet NTP Serverberichtsoffset größer als 1
Sek.* var/log/messages
Feb 3 18:09:08 mgmt ntpdate[25168]: kein Server für Synchronisation geeignet gefunden
Feb 3 18:09:14 mgmt ntpdate[25242]: Schrittzeit Server 192.168.0.11 Offset 2,249209 Sek
.
Environment
PAN-OS
Firewall
Panorama
Cause
NTP Die "Root Dispersion"-Zeit des Servers ist um mehr als 1 Sekunde entfernt.
Hinweis: NTP "Root Dispersion" ist die maximale Taktzeitdifferenz, die zwischen lokaler Uhr und Serveruhr
beobachtet wurde+ Auf pcap kann der Wert "Root Dispersion" im NTP Paketheader gefunden werden, wie unten gezeigt.
Nein. Time PID Source Destination Protocol Length Info
2 2021-02-03 18:42:04.488308 0x3841 (14401) 192.168.0.11 10.14.14.14 90 Version 3, Server Frame 2: 90 Bytes on Wire (720 Bit), 90 Bytes erfasst (720 Bit)Ethernet , Src: HewlettP_b8:25:ae (5c:8a:38:b8:25:ae), Dst: PaloAlto_00:84:94 (24:0b:0a:00:84:94)Internet Protocol Version 4, src: 10.10.10.10, dst: 10.14.14.14 NTP NTP
II
Benutzer-Datagramm-Protokoll, SRC-Port: 123, DST-Port: 123
Network Time Protocol (Version 3, Server) Flags: 0x1c, Leap Indicator: keine Warnung, Versionsnummer: Version 3, Modus: Server
[Anfrage eingehend: 1] [Delta Zeit: 0,000392000 Sekunden]
Peer Clock Stratum: sekundäre Referenz (2) Peer Polling Intervall: ungültig (NTP3)
Peer Clock Präzision: 0,015625 Sekunden Root-Verzögerung: 0,031250 Sekunden
Root-Dispersion: 11,008163 Sekunden
NTP <<< Die Wurzeldispersionszeit ist größer als 1 Sekunde Referenz: 192.168.0.11 Referenzzeitstempel: Feb 03, 2021 18:41:18.850684499 Zeitstempel des Ursprungs: Feb 03, 2021 18:42:04.487880084 Empfangszeitstempel: Feb 03, 2021 18:42:04.490684499 Sendezeitstempel: Feb 03, 2021
18:42:04.490684499 UTC
UTC
UTC
ID
UTC
Resolution
Einer der folgenden nächsten Schritte sollte das Problem mit dem NTP Status "Abgelehnt" beheben.
1. Korrigieren Sie die Serverzeit, die NTP um mehr als 1 Sekunde versetzt wurde, um der Ortszeit
2 zu entsprechen. Ersetzen des problematischen NTP Servers durch einen öffentlichen NTP Server als Problemumgehung (z. B. time.google.com; 0.us.pool.ntp.org usw.)
Geräte> Einrichtung > Dienste > > NTP NTP Serveradresse