Fehlerbehebung bei Verbindungsfehlern beim NTP-Server
48006
Created On 06/04/24 16:51 PM - Last Modified 08/14/24 01:43 AM
Objective
- Fehlerbehebung bei Verbindungsfehlern zum NTP-Server
Environment
- NGFW
- NTP-Server
Procedure
- Überprüfen Sie die Konfiguration des NTP-Servers: Navigieren Sie zur Benutzeroberfläche: Device > Setup > Services > NTP > NTP Server Address oder verwenden Sie die CLI:
show ntp
- Überprüfen Sie die dagger.log weniger mp-log, ob in der Ausgabe des obigen Befehls Fehler gefunden werden.
- Überprüfen Sie die Serverroute der Firewall zum NTP-Server: Device > Setup > Services > Service Route Configuration. Suchen Sie nach NTP.
- Stellen Sie sicher, dass der NTP-Daemon für größere Plattformen mit separatem DP und MP ausgeführt wird, wobei der NTP-Sync-Daemon für die Synchronisierung von MP- und DP-Zeit verantwortlich ist:
show system software status | match ntp
- Wenn der NTP-Daemon nicht ausgeführt wird und er manuell neu gestartet werden muss, verwenden Sie:
debug software restart process ntp
- Wenn der NTP-Daemon nicht ausgeführt wird und er manuell neu gestartet werden muss, verwenden Sie:
- Überprüfen Sie, ob die Firewall den NTP-Server über Ping oder Traceroute erreichen kann.
- Wenn die Dienstroute zum NTP-Server die Verwaltungsschnittstelle ist:
ping host <IP address of the NTP server> traceroute host <IP address of the NTP server>
- Wenn es sich bei der Dienstroute zum NTP-Server um die Datenebenenschnittstelle handelt:
ping source <IP address of the dataplane interface> host <IP address of the NTP server> traceroute source <IP address of the dataplane interface> host <IP address of the NTP server>
- Wenn die Dienstroute zum NTP-Server die Verwaltungsschnittstelle ist:
- Erwägen Sie, die NTP-Serverkonfiguration durch einen anderen NTP-Server zu ersetzen, wenn die Verbindung mit dem aktuell konfigurierten NTP-Server nicht aufgelöst werden kann.
- Wenn der NTP-Server mit dem FQDN konfiguriert ist:
- Stellen Sie sicher, dass der DNS-Server in der Firewall ordnungsgemäß konfiguriert ist: Navigieren Sie zur Benutzeroberfläche: Gerät > Einrichtung > Dienste > DNS-Einstellungen > Primärer DNS-Server und/oder Sekundärer DNS-Server.
- Stellen Sie sicher, dass die Firewall die IP-Adresse des NTP-Servers auflösen kann
- Wenn die Dienstroute zum NTP-Server die Verwaltungsschnittstelle ist:
ping host <FQDN of the NTP server> traceroute host <FQDN of the NTP server>
- Wenn es sich bei der Dienstroute zum NTP-Server um die Datenebenenschnittstelle handelt:
ping source <IP address of the dataplane interface> host <FQDN of the NTP server>
- Wenn die Dienstroute zum NTP-Server die Verwaltungsschnittstelle ist:
- Wenn Sie eine weitere Fehlerbehebung durchführen müssen, führen Sie eine Paketerfassung von der Firewall durch:
- Wenn die Serviceroute zum NTP-Server die Verwaltungsschnittstelle ist: Verwenden Sie den CLI-Befehl tcpdump.
- Wenn die Dienstroute zum NTP-Server die Datenebenenschnittstelle ist: Verwenden Sie die Datenebenen-Paketerfassung.
- Wenn Sie sich entscheiden, den NTP-Server nicht zu verwenden und eine manuelle Zeit für die Firewall festzulegen:
- Löschen Sie die NTP-Konfiguration in der Firewall.
- Legen Sie die Systemuhrzeit in der Palo Alto Networks Firewall fest oder ändern Sie sie.
- Übernehmen Sie die Konfigurationsänderung.
Additional Information
Die Schritte zur Fehlerbehebung können auch auf Panorama angewendet werden, wobei die folgenden Hinweise zu beachten sind:
- Ersetzen Sie für die Benutzeroberflächennavigation Gerät durch Panorama.
- Das Ausführen einer Paketerfassung über die Benutzeroberfläche auf einer Datenebenenschnittstelle gilt nur für die Firewall.
Die Zeitstempel des Datenverkehrsprotokolls unterscheiden sich von den NTP-Status der Systemuhr, der Firewall
oder des Panoramas zeigt den Status "Abgelehnt" anFehler
in der NTP-Synchronisierungsstatusanzeige:
NTP-Serverfehler: Ein Fehler ist aufgetreten.