Firewall ou Panorama NTP statut indiquant « rejeté »
51362
Created On 04/19/21 23:01 PM - Last Modified 05/23/23 03:07 AM
Symptom
Firewall+ ou l’horloge n’est pas synchronisée avec l’heure
du serveur configuré+ « show ntp » affiche l’état « rejeté » avec le statut atteignable « yes"> afficher l’état Panorama ntp : non synchronisé, à l’aide de l’horloge NTP
NTP
NTP locale serveur : 192.168.0.11
état :
NTP rejeté accessible : oui
+ Dans le journal des messages, « aucun serveur approprié pour la synchronisation trouvé » signalé avec suspect NTP Décalage de rapport de serveur supérieur à 1 seconde
* var/log/messages
3 février 18:09:08 mgmt ntpdate[25168]: aucun serveur adapté à la synchronisation trouvé
3 février 18:09:14 mgmt ntpdate[25242]: serveur de temps pas 192.168.0.11 décalage 2.249209 sec
Environment
PAN-OS
Firewall
Panorama
Cause
NTP Le temps de « dispersion racine » du serveur est décalé de plus de 1 seconde.
Remarque: NTP « Dispersion racine » est la différence de temps d’horloge maximale qui a été observée entre l’horloge locale et l’horloge du serveur + Sur pcap, la valeur « Dispersion racine » peut être trouvée sur NTP l’en-tête
du paquet comme indiqué ci-dessous.
Non. Source PID de temps Destination Longueur du protocole Info
2 2021-02-03 18:42:04.488308 0x3841 (14401) 192.168.0.11 10.14.14.14 90 Version 3, serveur Cadre 2: 90 octets sur câble (720 bits), 90 octets capturés (720 bits)Ethernet , Src: HewlettP_b8:25:ae (5c:8a:38:b8:25:ae), dst: PaloAlto_00:84:94 (24:0b:0a:00:84:94)Protocole Internet version 4, SRC: 10.10.10.10, Dst: 10.14.14.14 NTP NTP
II
Protocole de datagramme utilisateur, port src: 123, port dst: 123
Network Time Protocol (version 3, serveur) Drapeaux: 0x1c, indicateur de saut: pas d’avertissement, Numéro de version: Version 3, Mode: serveur
[Demande: 1] [Delta Time: 0.000392000 secondes]
Peer Clock Stratum: référence secondaire (2) Intervalle d’interrogation entre pairs: invalide (NTP3)
Précision de l’horloge homologue: 0.015625 secondes Délai racine: 0.031250 secondes
Dispersion racine: 11.008163 secondes
NTP <<< Le temps de dispersion des racines est supérieur à 1 seconde Référence : 192.168.0.11 Horodatage de référence : 03 févr. 2021 18:41:18.850684499 Horodatage d’origine : 03 févr. 2021 18:42:04.487880084 Horodatage de réception : 03 février 2021 18:42:04.490684499 Horodatage de transmission : 03 févr. 2021
18:42:04.490684499 UTC
UTC
UTC
ID
UTC
Resolution
L’une des étapes suivantes devrait résoudre le problème d’état NTP « rejeté ».
1. Corrigez l’heure du serveur décalée de plus de 1 seconde pour correspondre à l’heure NTP
locale 2. Remplacer le serveur problématique NTP par le serveur public NTP comme solution de contournement (ex: time.google.com; 0.us.pool.ntp.org, etc)
Configuration > des périphériques > Services > > NTP NTP Adresse du serveur