01-17-2012 09:13 AM - editado 03-21-2019 06:09 PM
Buenas tardes a todos;
Estoy necesitando una solución NTP Server para windows de tal manera a usarlo en mi infraestructura con equipos Cisco y que soporte autenticación.
Estoy probando con la aplicación NTP 4.X, funciona sin autenticación pero no logro hacer funcionar con autenticación obligatoria.
Alguno de uds ya paso por esta necesidad? Como lo solucionaron?
Saludos
Edgar Servín
el 01-23-2012 10:23 AM
Hola Edgar,
-Cuál es la configuración de NTP que estás usando en el equipo Cisco?
- Cuándo corres un "show ntp association detail", el ntp aparece como insane , invalid?
- Tal vez sea necesario correr los siguientes show y debugs en el equipo Cisco para verificar que la comunicación se esté realizando correctamente.
shows
show ntp associations detail
show ntp status
show run | in ntp
Debugs:
debug ntp packet
debug ntp validity
debug ntp authentication
debug ntp events
Anexo información adicional acerca de NTP 4.x de Windows
http://www.eecis.udel.edu/~mills/ntp/html/hints/winnt.html
Saludos,
Itzcoatl
el 01-23-2012 11:02 AM
Hola Itzcoatl;
-Cuál es la configuración de NTP que estás usando en el equipo Cisco?
ntp server 10.100.11.10 version 3
ntp server 10.100.11.11 version 3
- Cuándo corres un "show ntp association detail", el ntp aparece como insane , invalid?
En el ROUTER1 que está en el inside de mi red con mi NTP me funciona correctamente sin autenticación NTP.
ROUTER1#sh ntp asso
address ref clock st when poll reach delay offset disp
*~10.100.11.11 127.127.1.0 13 21 64 177 2.1 -0.50 125.4
+~10.100.11.10 127.127.1.0 13 46 64 177 2.6 5427.0 125.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
ROUTER1#sh ntp asso detail
10.100.11.11 configured, our_master, sane, valid, stratum 13
ref ID 127.127.1.0, time D2C827D8.1040F1EC (18:39:20.063 UTC Mon Jan 23 2012)
our mode client, peer mode server, our poll intvl 64, peer poll intvl 64
root delay 0.00 msec, root disp 11.44, reach 177, sync dist 137.848
delay 2.12 msec, offset -0.4987 msec, dispersion 125.35
precision 2**20, version 3
org time D2C827FA.BA270482 (18:39:54.727 UTC Mon Jan 23 2012)
rcv time D2C827FA.BA8D6FE7 (18:39:54.728 UTC Mon Jan 23 2012)
xmt time D2C827FA.B9FFF8A8 (18:39:54.726 UTC Mon Jan 23 2012)
filtdelay = 2.12 4.56 2.11 2.11 2.11 2.14 2.14 0.00
filtoffset = -0.50 -1.64 -0.46 -0.35 -0.34 -0.31 -0.60 0.00
filterror = 0.02 0.99 1.97 2.94 3.92 4.90 5.87 16000.0
10.100.11.10 configured, selected, sane, valid, stratum 13
ref ID 127.127.1.0, time D2C827CC.3F56660F (18:39:08.247 UTC Mon Jan 23 2012)
our mode client, peer mode server, our poll intvl 64, peer poll intvl 64
root delay 0.00 msec, root disp 11.32, reach 177, sync dist 138.443
delay 2.56 msec, offset 5427.0647 msec, dispersion 125.46
precision 2**19, version 3
org time D2C827E7.27AD8E0E (18:39:35.154 UTC Mon Jan 23 2012)
rcv time D2C827E1.BAADD204 (18:39:29.729 UTC Mon Jan 23 2012)
xmt time D2C827E1.BA021EE7 (18:39:29.726 UTC Mon Jan 23 2012)
filtdelay = 2.56 3.17 2.88 2.35 2.09 3.40 3.08 0.00
filtoffset = 5427.06 5426.42 5426.75 5426.99 5427.62 5427.23 5426.96 0.00
filterror = 0.02 0.99 1.97 2.94 3.92 4.90 5.87 16000.0
ROUTER1#sh ntp status
Clock is synchronized, stratum 14, reference is 10.100.11.11
nominal freq is 250.0000 Hz, actual freq is 250.0001 Hz, precision is 2**18
reference time is D2C827FA.BA8D6FE7 (18:39:54.728 UTC Mon Jan 23 2012)
clock offset is 2713.2830 msec, root delay is 2.12 msec
root dispersion is 4207.96 msec, peer dispersion is 4196.01 msec
En el ROUTER2 que está detrás de mi firewall PIX me da error.
ROUTER2#sh ntp status
Clock is unsynchronized, stratum 16, no reference clock
nominal freq is 250.0000 Hz, actual freq is 249.9999 Hz, precision is 2**32
reference time is D2C7CDAE.700ED71C (12:14:38.437 UTC Mon Jan 23 2012)
clock offset is 0.0000 msec, root delay is 0.00 msec
root dispersion is 0.33 msec, peer dispersion is 0.00 msec
loopfilter state is 'CTRL' (Normal Controlled Loop), drift is 0.000000117 s/s
system poll interval is 64, last update was 22951 sec ago.
ROUTER2#sh ntp asso
address ref clock st when poll reach delay offset disp
x~10.100.11.10 127.127.1.0 13 20 64 377 2.070 5629.20 3.041
x~10.100.11.11 127.127.1.0 13 20 64 377 1.502 199.800 3.344
* sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured
ROUTER2# sh ntp asso det
10.100.11.10 configured, sane, invalid, stratum 13
ref ID 127.127.1.0 , time D2C8274C.3F573CEC (18:37:00.247 UTC Mon Jan 23 2012)
our mode client, peer mode server, our poll intvl 64, peer poll intvl 64
root delay 0.00 msec, root disp 11.01, reach 377, sync dist 21.20
delay 2.07 msec, offset 5629.2091 msec, dispersion 3.04
precision 2**19, version 3
org time D2C82752.143F0521 (18:37:06.079 UTC Mon Jan 23 2012)
rec time D2C8274C.73507604 (18:37:00.450 UTC Mon Jan 23 2012)
xmt time D2C8274C.72AA25EB (18:37:00.447 UTC Mon Jan 23 2012)
filtdelay = 2.49 2.07 2.32 20.18 2.58 2.15 2.07 2.23
filtoffset = 5629.88 5629.20 5628.64 5619.25 5627.48 5626.84 5626.48 5625.91
filterror = 0.00 0.94 1.93 2.88 3.84 4.80 5.77 6.75
minpoll = 6, maxpoll = 10
10.100.11.11 configured, sane, invalid, stratum 13
ref ID 127.127.1.0 , time D2C82716.1040D9F0 (18:36:06.063 UTC Mon Jan 23 2012)
our mode client, peer mode server, our poll intvl 64, peer poll intvl 64
root delay 0.00 msec, root disp 11.73, reach 377, sync dist 19.72
delay 1.50 msec, offset 199.8003 msec, dispersion 3.34
precision 2**20, version 3
org time D2C8274C.A6D584EC (18:37:00.651 UTC Mon Jan 23 2012)
rec time D2C8274C.732C6E00 (18:37:00.449 UTC Mon Jan 23 2012)
xmt time D2C8274C.72B7948A (18:37:00.448 UTC Mon Jan 23 2012)
filtdelay = 1.75 1.61 1.52 1.57 1.50 1.66 1.60 1.63
filtoffset = 202.67 201.92 201.21 200.53 199.80 199.16 198.46 197.79
filterror = 0.00 0.99 1.96 2.91 3.90 4.86 5.82 6.78
minpoll = 6, maxpoll = 10
¿por qué da falseticker en el router detrás del PIX?
Ahora estoy haciendo debug para ver si tira algún error.
el 01-23-2012 11:25 AM
Hola Edgar,
Detrás de que interfaz del PIX está el router?. Puede ser que se necesite agregar una traducción estática y una ACL (permitiendo puerto udp 123). Puedes correr capturas en las interfaces de entrada y salida del PIX para verificar que los paquetes estén siendo mandandos y recibidos.
Gracias,
Itzcoatl Espinosa
el 01-23-2012 11:47 AM
El router está en el una interfaz llamada "externa" y tengo el siguiente NAT en el PIX.
static (inside,externa) 10.100.11.10 10.100.11.10 netmask 255.255.255.255 10000 10000
static (inside,externa) 10.100.11.11 10.100.11.11 netmask 255.255.255.255 10000 10000
y tengo el permiso:
access-list externa_in permit udp host 10.4.1.2 host 10.100.11.10 eq ntp
access-list externa_in permit udp host 10.4.1.2 host 10.100.11.11 eq ntp
el 01-23-2012 11:32 AM
En el debug me da este mensaje.
ROUTER2#
006594: .Jan 23 19:22:16.447 UTC: NTP message received from 10.100.11.10 on interface 'FastEthernet0.40' (10.4.1.2).
006595: .Jan 23 19:22:16.447 UTC: NTP Core(DEBUG): ntp_receive: message received
006596: .Jan 23 19:22:16.447 UTC: NTP Core(DEBUG): ntp_receive: peer is 0x8388D298, next action is 1.
006597: .Jan 23 19:22:16.447 UTC: NTP Core(DEBUG): receive: packet given to process_packet
sin embargo me marca como
ROUTER2# sh ntp asso det
10.100.11.10 configured, sane, invalid, stratum 13
10.100.11.11 configured, sane, invalid, stratum 13
x falseticker
Por que podría ser este inconveniente?
el 01-23-2012 12:09 PM
Edgar,
El ntp aparece como invalido, ya que al parecer el router no reconoce que el tiempo del servidor sea el correcto. El X Falseticker aparece cuando existe un offset / dispersión entre los dos ntp servers que están configurados.
-El 10.100.11.10 y 10.100.11.11 tienen exactamente la misma hora? Un offset de un par de segundos podría causar el problema.
Como workaround se podría agregar la palabra prefer al final del comando de ntp server y verificar si el tiempo se sincroniza.
En caso de esto no funcione, remover un ntp server y esperar a que sincronize.Existen algunos defectos que podría estar relacionados a este comportamiento.
CSCeg79613 NTP sync toggle between 2 ntp server of same stratum
CSCte91471 NTP v4 takes several hours to sync when multiple servers are configured
Saludos,
Itzcoatl Espinosa
el 01-24-2012 03:24 AM
Hola Itzcoatl,
Verifiqué que ambos NTPs tengan exactamente la misma hora (estaban desfasados por 10 segundos aprox.) y procedí a quitar de la configuración uno de ellos y efectivamente el router recibe la hora correctamente.
Muchas gracias!
Retomando el tema de la configuración del NTP de Meinberg, ya estuve usando con anterioridad el link que me pasaste:
http://www.eecis.udel.edu/~mills/ntp/html/hints/winnt.html
Siguiendo el procedimiento de configuración del manual no logro hacer que funcione el NTP con autenticación. Y me es necesario por recomendaciones de tips de seguridad.
Ud. tiene experiencia con dicha aplicación?
el 01-24-2012 06:59 AM
Edgar,
Me alegra que el router reciba el reloj apropiadamente. Sinceramente yo no tengo mucha experiencia con esa aplicacion. Tal vez un debug ntp authentication te pueda ayudar a determinar la causa.
Cual es la configuraci[on completa de ntp que usas en el router?
Saludos,
Itzcoatl
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad