بروتوكول وقت الشبكة (NTP) هو بروتوكول يستخدم لمزامنة ساعات كيانات الشبكة المختلفة. وهو يستخدم UDP/123. والهدف الرئيسي من إستخدام هذا البروتوكول هو تجنب آثار التأخر المتغير على شبكات البيانات.
يزود هذا وثيقة عينة تشكيل ل ال cisco ACS أن يزامن ساعتها مع NTP نادل. يسمح ل ACS 5.x بتكوين ما يصل إلى خادمين NTP.
لا توجد متطلبات خاصة لهذا المستند.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
Cisco Secure ACS، الإصدار 5.x
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.
لمزامنة وقت Cisco ACS مع خادم NTP، أكمل الخطوات التالية:
قم بتكوين التاريخ والوقت يدويا باستخدام الأمر <month> <يوم> <hh:min:ss> <yyy>.
حدد المنطقة الزمنية باستخدام الأمر timezone <timezone> للساعة.
حدد خادم NTP باستخدام الأمر NTP server <ip address of NTP server>.
يتبع NTP التدرج الهرمي للخادم-العميل. عند تكوين عميل NTP باستخدام خادم NTP، يتم تمرير الساعة المرجعية لخادم NTP إلى العميل. يستغرق الأمر من 10 إلى 20 دقيقة تقريبا للحصول على الوقت الدقيق من خادم NTP وتعتمد على التأخير الذي يحدث للوصول إلى خادم NTP.
يستخدم Cisco ACS برنامج NTP الخفيف لمزامنة ساعته مع خادم NTP. لا يدعم بروتوكول NTP البسيط و SNTP. عند بدء تشغيل برنامج NTP، يرسل ACS حزمة إلى خادم NTP تحتوي على وقته الأصلي (محلي). ثم يرد خادم NTP على الحزمة بإدخال وقت الساعة المرجعية الخاص بها. ما إن ال NTP يستلم زبون هذا ربط، هو يسجل الربط مع وقته محلي in order to دققت الحركة وقت سفر يستلم ب الربط. تحدث العديد من عمليات تبادل الحزم هذه من أجل حساب وقت تأخير الذهاب والعودة وقيم الإزاحة بدقة، وأخيرا تتم مزامنة الوقت المحلي لعميل NTP مع الساعة المرجعية لخادم NTP.
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
للتحقق من تفاصيل التكوين، ارجع إلى هذه القصاصات الخاصة بإخراج الأمر.
acs51/admin#show clock Wed Jun 13 11:02:00 IST 2012 acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55 The NTP server was modified. If this action resulted in a clock modification, you must restart ACS. acs51/admin(config)#
acs51/admin#show ntp Primary NTP : 192.168.26.55 synchronised to NTP server (192.168.26.55) at stratum 2 time correct to within 27 ms polling server every 64 s remote refid st t when poll reach delay offset jitter ============================================================================== 127.127.1.0 LOCAL(0) 10 l 29 64 17 0.000 0.000 0.001 *192.168.26.55 .LOCL. 1 u 33 64 17 0.285 -9.900 2.733 Warning: Output results may conflict during periods of changing synchronization.
ملاحظة: Stratum هو قياس يحدد مدى قرب خادم NTP من الساعة المرجعية الأساسية. يشار إلى كل عميل NTP يتم مزامنته مع خادم Stratum n على أنه عند مستوى Stratum n+1.
ارجع إلى رسائل سجل التطبيقات هذه من ACS للتحقق من تفاصيل مزامنة NTP.
acs51/admin# show logging application | in ntp Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1) Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123 Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040 Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2 !--- Output suppressed–
تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
يتم تكوين ACS من Cisco لاستخدام خادم NTP كمصدر للساعة ولكنه يتغير باستمرار إلى مصدر الوقت الداخلي. عند حدوث ذلك، لا يقوم المستخدم بالمصادقة من Active Directory حيث إن Kerberos يدعم فرق الوقت بمقدار 300 ثانية فقط.
عندما يكون لمضيف ESXi إستخدام عال لوحدة المعالجة المركزية، فلا يخدم الأجهزة الافتراضية بشكل متكرر كالمعتاد. وهذا يؤثر على الساعات الموجودة داخل الأجهزة الافتراضية (VM) ويتسبب فعليا في انزلاق الساعة من وحدة تحكم مجال Windows التي تتجاوز مدتها خمس دقائق. إنه يسبب فشل Kerberos. قد يؤثر ذلك على جهاز Windows VM بدون NTP أو مزامنة ساعة المضيف كذلك. بما أن الساعة الظاهرية المقدمة إلى ACS من Cisco غير مستقرة بما فيه الكفاية ل NTP لمجاراة الانجراف، فإنها في نهاية المطاف ترجع إلى إستخدام نفسها كمصدر وقت.
ملاحظة: يعدل برنامج NTP الساعة في عدة عمليات تبادل ويستمر حتى يحصل العميل على الوقت المحدد. ومع ذلك، عندما يصبح التأخير بين خادم NTP وعميل NTP كبيرا جدا، يتم إنهاء برنامج NTP الخفي وتحتاج إلى ضبط الوقت يدويا وإعادة تشغيل برنامج NTP الخفي.
ثبتت هذا مشكلة أن يكون حللت عندما أنت تدمج ال VMWare أداة دعم داخل cisco ACS، أي يكون يتوفر مع cisco ACS إطلاق 5،4 أن يكون بعد أطلقت. راجع معرف تصحيح الأخطاء من Cisco CSCtg50048 (العملاء المسجلون فقط) للحصول على مزيد من المعلومات. كحل بديل مؤقت، يمكنك تجربة الخطوات التالية:
أوقف خدمات ACS باستخدام الأمر acs stop .
قم بإزالة جميع تكوين NTP وحفظ التكوين باستخدام الأمر write mem.
مصدر المحتوى الإضافي لإعادة تشغيل Cisco.
تأكد من تشغيل جميع الخدمات باستخدام الأمر show application status acs.
تعيين الساعة لتكون قريبة قدر الإمكان من الوقت الحقيقي، إلى الثانية قبل متطلبات الإزاحة في NTP.
تأكد من صحة المنطقة الزمنية.
أعد إضافة تكوين NTP واحفظه.
أنجزت العرض ntp أمر in order to دققت إن الإنتاج يكون ال نفس.
ملاحظة: إذا لم تحل هذه الخطوات المشكلة، ينصح بالاتصال ب Cisco TAC.
إذا قمت بتغيير عنوان IP الخاص ب ACS NIC، فهذا يجعل NTP خارج نطاق المزامنة.
تتم ملاحظة هذا السلوك وتسجيله في معرف تصحيح الأخطاء من Cisco CSCtk76151 (العملاء المسجلون فقط). عندما يتم تعديل عنوان IP ل ACS، فإنه يعيد تشغيل تطبيق ACS ولكن ليس برنامج NTP الخلفي. تم إصلاحه في ACS الإصدار 5.3.0.23. لحل هذه المشكلة في الإصدارات السابقة، أكمل الخطوات التالية:
قم بإصدار الأمر no ntp server لإيقاف عملية NTP.
قم بإعادة إصدار الأمر ntp server لإعادة تشغيل عملية NTP.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
13-Jun-2012 |
الإصدار الأولي |