如何排查NTP服务器连接失败问题

• 排查与 NTP 服务器的连接失败

• NGFW
• NTP 服务器

1. 查看 NTP 服务器的配置：导航到 UI：设备>设置>服务> NTP > NTP 服务器地址或使用 CLI：

   show ntp

   1. 检查 less mp-log dagger.log，如果在上述命令的输出中发现任何错误。
2. 检查防火墙到NTP服务器的服务器路由：设备>设置>服务>服务路由配置。 查找 NTP。
3. 确保 NTP 守护程序在具有单独的 DP 和 MP 的较大平台上运行，其中 NTP 同步守护程序负责保持 MP 和 DP 时间同步：

   show system software status | match ntp

   1. 如果 NTP 守护程序未运行，并且需要手动重新启动它，请使用：

      debug software restart process ntp

4. 检查防火墙是否可以使用 ping 或 traceroute 访问 NTP 服务器。
   1. 如果到 NTP 服务器的服务路由是管理接口：

      ping host <IP address of the NTP server>
      traceroute host <IP address of the NTP server>

   2. 如果到 NTP 服务器的服务路由是数据平面接口：

      ping source <IP address of the dataplane interface> host <IP address of the NTP server>
      traceroute source <IP address of the dataplane interface> host <IP address of the NTP server>
      

5. 如果无法解析与当前配置的 NTP 服务器的连接，请考虑将 NTP 服务器配置替换为另一个 NTP 服务器。
6. 如果使用 FQDN 配置 NTP 服务器：
   1. 确保在防火墙上正确配置了DNS服务器：导航到UI：设备>设置>服务>DNS设置>主DNS服务器 和/或 辅助DNS服务器。
   2. 确保防火墙可以解析NTP服务器的IP地址
      1. 如果到 NTP 服务器的服务路由是管理接口：

         ping host <FQDN of the NTP server>
         traceroute host <FQDN of the NTP server>

      2. 如果到 NTP 服务器的服务路由是数据平面接口：

         ping source <IP address of the dataplane interface> host <FQDN of the NTP server>

7. 如果需要进一步排除故障，请从防火墙执行数据包捕获：
   1. 如果到 NTP 服务器的服务路由是管理接口：请使用 CLI 命令 tcpdump。
   2. 如果到 NTP 服务器的服务路由是数据平面接口：请使用数据平面数据包捕获。
8. 如果您决定不使用 NTP 服务器并在防火墙上设置手动时间：
   1. 删除防火墙上的NTP配置。
   2. 在Palo Alto Networks防火墙上设置或更改系统时钟时间。
   3. 提交配置更改。

故障排除步骤也适用于Panorama，具体说明如下：

• 对于 UI 导航，请将 Device 替换为 Panorama。
• 在数据平面界面上使用 UI 执行 数据包捕获 仅适用于防火墙。

流量日志时间戳与系统时钟时间
防火墙或全景NTP状态
不同，NTP同步状态显示
“已拒绝”错误 NTP服务器错误：发生错误。