Firewall o Panorama NTP estado que muestra "rechazado"

Firewall o Panorama NTP estado que muestra "rechazado"

51206
Created On 04/19/21 23:01 PM - Last Modified 05/23/23 03:07 AM


Symptom


Firewall+ o Panorama el reloj no está sincronizado con la hora
del servidor configuradoNTP+ "show

ntp" muestra el estado "rechazado" con el estado accesible "yes"> mostrar estado ntp

: no NTP sincronizado, usando el reloj
NTP local servidor: 192.168.0.11
estado: rechazado Accesible:

NTP SÍ


+ En el registro de mensajes, "no se encontró ningún servidor adecuado para la sincronización" que se informa con sospechoso NTP Desplazamiento de informes del servidor mayor de 1 seg

* var/log/messages

Feb 3 18:09:08 mgmt ntpdate[25168]: no se encontró ningún servidor adecuado para la sincronización Feb
3 18:09:14 mgmt ntpdate[25242]: tiempo de paso servidor 192.168.0.11 offset 2.249209 seg
 

Environment


PAN-OS
Firewall 
Panorama

Cause


NTP El tiempo de "dispersión raíz" del servidor está desactivado por más de 1 segundo. 

Nota: NTP "Dispersión raíz" es la diferencia máxima de tiempo de reloj que se observó entre el reloj local y el reloj

del servidor+ En pcap, el valor de "Dispersión raíz" se puede encontrar en NTP el encabezado del paquete como se muestra a continuación. 

No.     Información de longitud
del protocolo de destino de origen de tiempo PID 2 2021-02-03 18:42:04.488308 0x3841 (14401) 192.168.0.11 10.14.14.14 90 Versión 3, servidor Frame 2: 90 bytes en cable (720 bits), 90 bytes capturados (720 bits)Ethernet , Src: HewlettP_b8:25:ae (5c:8a:38:b8:25:ae), Dst: PaloAlto_00:84:94 (24:0b:0a:00:84:94)Protocolo de Internet Versión 4, Src: 10.10.10.10, Dst: 10.14.14.14 NTP NTP



II
Protocolo de datagramas de usuario, puerto Src: 123, puerto DST: 123
Protocolo de tiempo de red (versión 3, servidor) Banderas: 0x1c, Indicador de salto: sin advertencia, Número de versión: Versión 3, Modo: servidor
[Solicitud de entrada: 1] [Hora delta: 0.000392000 segundos]

Estrato de reloj del mismo nivel: referencia secundaria (2) Intervalo de sondeo del mismo nivel: no válido (NTP3)


Precisión del reloj del mismo nivel: 0,015625 segundos Retraso de raíz: 0,031250 segundos
Dispersión de raíz: 11,008163 segundos
NTP      <<< El tiempo de dispersión de la raíz es mayor que 1 segundo
Referencia ID: 192.168.0.11 Marca de tiempo de referencia: Feb 03, 2021 18:41:18.850684499 Marca de tiempo de origen: Feb 03, 2021 18:42:04.487880084 Recibir marca de tiempo: Feb 03, 2021 18:42:04.490684499 Transmitir Marca de tiempo: Feb 03, 2021
18:42:04.490684499 UTC
UTC
UTC
UTC
 

Resolution


Uno de los siguientes pasos debería resolver el problema del NTP estado "rechazado". 

1. Corrija la hora del servidor que ha desplazado más de 1 segundo para que coincida con la NTP hora

local 2. Reemplace el servidor problemático con el NTP servidor público NTP como solución alternativa (por ejemplo, time.google.com; 0.us.pool.ntp.org, etc.)
Configuración > de dispositivos > Servicios > > NTP NTP Dirección del servidor
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VArCAM&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language