Comment résoudre l’échec de la connexion au serveur NTP

• Résoudre les problèmes d’échec de connexion au serveur NTP

• NGFW
• Serveur NTP

1. Vérifiez la configuration du serveur NTP : accédez à l’interface utilisateur : Configuration > > les services > NTP > Adresse du serveur NTP ou utilisez l’interface de ligne de commande :

   show ntp

   1. Vérifiez le dagger.log moins mp-log si des erreurs sont trouvées dans la sortie de la commande ci-dessus.
2. Vérifiez l’itinéraire du serveur du firewall vers le serveur NTP : Configuration de l’appareil > > Services > Configuration de l’itinéraire de service. Recherchez NTP.
3. Assurez-vous que le démon NTP s’exécute pour les plates-formes plus grandes avec un DP et un MP distincts, où le démon de synchronisation NTP est chargé de synchroniser le temps MP et DP :

   show system software status | match ntp

   1. Si le démon NTP n’est pas en cours d’exécution et qu’il est nécessaire de le redémarrer manuellement, utilisez :

      debug software restart process ntp

4. Vérifiez si le pare-feu peut atteindre le serveur NTP à l’aide de ping ou traceroute.
   1. Si l’itinéraire de service vers le serveur NTP est l’interface de gestion :

      ping host <IP address of the NTP server>
      traceroute host <IP address of the NTP server>

   2. Si l’itinéraire de service vers le serveur NTP est l’interface du plan de données :

      ping source <IP address of the dataplane interface> host <IP address of the NTP server>
      traceroute source <IP address of the dataplane interface> host <IP address of the NTP server>
      

5. Envisagez de remplacer la configuration du serveur NTP par un autre serveur NTP si vous ne parvenez pas à résoudre la connexion au serveur NTP actuellement configuré.
6. Si le serveur NTP est configuré à l’aide du nom de domaine complet :
   1. Assurez-vous que le serveur DNS est correctement configuré sur le pare-feu : accédez à l’interface utilisateur : Device > Setup > Services > Paramètres DNS > Serveur DNS principal et/ou Serveur DNS secondaire.
   2. Assurez-vous que le pare-feu peut résoudre l’adresse IP du serveur NTP
      1. Si l’itinéraire de service vers le serveur NTP est l’interface de gestion :

         ping host <FQDN of the NTP server>
         traceroute host <FQDN of the NTP server>

      2. Si l’itinéraire de service vers le serveur NTP est l’interface du plan de données :

         ping source <IP address of the dataplane interface> host <FQDN of the NTP server>

7. Si vous avez besoin d’un dépannage supplémentaire, effectuez une capture de paquets à partir du pare-feu :
   1. Si l’itinéraire de service vers le serveur NTP est l’interface de gestion : utilisez la commande CLI tcpdump.
   2. Si l’itinéraire de service vers le serveur NTP est l’interface du plan de données : utilisez la capture de paquets du plan de données.
8. Si vous décidez de ne pas utiliser le serveur NTP et de définir une heure manuelle sur le pare-feu :
   1. Supprimez la configuration NTP sur le pare-feu.
   2. Réglez ou modifiez l’heure de l’horloge système sur le pare-feu Palo Alto Networks.
   3. Validez votre modification de configuration.

Les étapes de dépannage peuvent également s’appliquer à Panorama avec les notes ci-dessous :

• Pour la navigation dans l’interface utilisateur, remplacez Appareil par Panorama.
• L’exécution d’une capture de paquets à l’aide de l’interface utilisateur sur une interface de plan de données ne s’applique qu’au pare-feu.

Les horodatages du journal du trafic sont différents de l’horloge système
Pare-feu ou de l’état NTP Panorama indiquant « rejeté »
Erreur dans l’état de la synchronisation NTP Affichage
de l’erreur du serveur NTP : Une erreur s’est produite.