Firewall またPanoramaNTP「拒否」を示すステータス
51072
Created On 04/19/21 23:01 PM - Last Modified 05/23/23 03:07 AM
Symptom
+FirewallまたPanoramaクロックが設定済みと同期されていませんNTPサーバー時間
+ 「show ntp」は、ステータス「rejected」と到達可能ステータス「yes」を示しています
> ntp を表示
NTP州:
NTP同期されていない、ローカル クロックを使用
NTPサーバー: 192.168.0.11
ステータス: 却下
到達可能: はい
+ メッセージ ログでは、"同期に適したサーバーが見つかりません容疑者と通報されるNTPサーバー レポートのオフセットが 1 秒を超えています
* 変数/ログ/メッセージ
Feb 3 18:09:08 mgmt ntpdate [25168]: 同期に適したサーバーが見つかりません
2 月 3 日 18:09:14 mgmt ntpdate[25242]: ステップ時間サーバー 192.168.0.11 オフセット 2.249209 秒
Environment
PAN-OS
Firewall
Panorama
Cause
NTP サーバーの「ルート分散」時間が 1 秒以上ずれています。
ノート:NTP "Root Dispersion" は、ローカル クロックとサーバー クロックの間で観測された最大クロック時間差です。
+ pcap では、「Root Dispersion」値はNTP以下に示すように、パケットヘッダー。
時間がないPID送信元宛先プロトコル長情報
2 2021-02-03 18:42:04.488308 0x3841 (14401) 192.168.0.11 10.14.14.14NTP 90NTPバージョン 3、サーバー
フレーム 2: ワイヤ上で 90 バイト (720 ビット)、キャプチャされた 90 バイト (720 ビット)
イーサネットII、ソース: HewlettP_b8:25:ae (5c:8a:38:b8:25:ae)、Dst: PaloAlto_00:84:94 (24:0b:0a:00:84:94)
インターネット プロトコル バージョン 4、送信元: 10.10.10.10、送信先: 10.14.14.14
ユーザー データグラム プロトコル、送信元ポート: 123、送信先ポート: 123
ネットワーク タイム プロトコル (NTPバージョン 3、サーバー)
フラグ: 0x1c、リープ インジケーター: 警告なし、バージョン番号:NTPバージョン 3、モード: サーバー
[リクエストイン: 1]
[デルタ時間: 0.000392000 秒]
Peer Clock Stratum: 二次参照 (2)
ピア ポーリング間隔: 無効 (3)
ピア クロックの精度: 0.015625 秒
ルート遅延: 0.031250 秒
ルート分散: 11.008163 秒<<< ルート分散時間が 1 秒より大きい
参照ID: 192.168.0.11
参照タイムスタンプ: 2021 年 2 月 3 日 18:41:18.850684499UTC
オリジンのタイムスタンプ: 2021 年 2 月 3 日 18:42:04.487880084UTC
受信タイムスタンプ: 2021 年 2 月 3 日 18:42:04.490684499UTC
送信タイムスタンプ: 2021 年 2 月 3 日 18:42:04.490684499UTC
Resolution
次のいずれかの手順で問題を解決する必要がありますNTP「拒否」ステータスの問題。
1. 修正NTP現地時間と一致するように 1 秒以上ずれているサーバー時間
2. 問題を交換してくださいNTP公開サーバーNTP回避策としてのサーバー (例: time.google.com; 0.us.pool.ntp.org など)
デバイス > セットアップ > サービス >NTP >NTPサーバーアドレス