Einleitung
In diesem Dokument wird die Fehlermeldung beschrieben, die normalerweise angezeigt wird, wenn die Verbindung des Geräts zur NTP-Quelle (Network Time Protocol) unterbrochen wird.
Beeinträchtigung der PKI durch Netzwerkzeit
ICSeverity
0 - Notfall
Auswirkungen
Von der PKI abhängige Dienstverluste
Beschreibung
Diese Fehlermeldung wird in der Regel angezeigt, wenn die Verbindung des Geräts mit der NTP-Quelle (Network Time Protocol) unterbrochen wurde. Die Systemuhr ist derzeit nicht gültig, was für PKI-Vorgänge (Public Key Infrastructure) von entscheidender Bedeutung ist. Public-Key-Infrastruktur beruht hauptsächlich auf präziser Zeiterfassung, um die Gültigkeit von Zertifikaten zu bestimmen. Wenn die Systemuhr nicht mit einer maßgeblichen Zeitquelle synchronisiert ist, funktionieren PKI-Funktionen nicht ordnungsgemäß. Dies kann dazu führen, dass PKI-Zertifikate aufgrund von Zeitkonflikten mit dem PKI-Server als ungültig oder abgelaufen angesehen werden.
Um dieses Problem zu beheben, muss die Systemuhr auf dem Gerät konfiguriert oder aktualisiert werden. Dazu muss in der Regel die Verbindung mit einer zuverlässigen NTP-Quelle wiederhergestellt werden, um sicherzustellen, dass die Systemuhr korrekt und vertrauenswürdig ist. Nachdem die Uhr mit einer maßgeblichen Zeitquelle synchronisiert wurde, können PKI-Funktionen initialisiert werden, und die Zertifikatsvalidierung kann wie erwartet fortgesetzt werden.
SyslogMeldung
PKI-2-NON_AUTHORITATIVE_CLOCK
MessageSample
Jan 4 16:40:28 <> %PKI-2-NON_AUTHORITATIVE_CLOCK: PKI functions can not be initialized until an authoritative time source like NTP can be obtained. THIS IS A SAMPLE MESSAGE
Produktfamilie
- Switches der Cisco Catalyst 9200-Serie
- Switches der Cisco Catalyst 9300-Serie
- Switches der Cisco Catalyst 9400-Serie
- Switches der Cisco Catalyst 9500-Serie
- Switches der Cisco Catalyst 9600-Serie
- Cisco Integrated Services Router der Serie 4000
Regex
–
Empfehlung
Dieser Fehler tritt häufig auf, wenn ein Verbindungsproblem mit dem NTP-Server vorliegt.
Befolgen Sie die aufgeführten Schritte, um das Problem zu beheben:
1. Diese Meldung ist während des Systemstarts zu sehen und wird erwartet. Wenn das Gerät bootet, benötigt es Zeit, um auf den NTP-Server zuzugreifen und zu synchronisieren. Überprüfen Sie anschließend, ob die Meldungen angezeigt werden.
2. Falls Sie während des normalen Betriebs gesehen werden, befolgen Sie die folgenden Aktionen:
a. Überprüfen Sie, ob der NTP-Status mit dem Befehl show ntp status als nicht synchronisiert angezeigt wird: Router#show ntp status Clock is unsynchronized, stratum 16, no reference clock <<<< nominal freq is 250.000 Hz, actual freq is is 250.000 Hz, Precision beträgt 2**10 NTP-Betriebszeit 47585900 (1/100 Sekunden), Auflösung 4000, Referenzzeit 00000000,00000000 (00:00:00.000 GMT Mon Jan 1 1900), Taktverschiebung 0,0000 ms, Root-Verzögerung 0,00 ms Root Die Dispersion beträgt 7137,88 ms, die Peer-Dispersion beträgt 0,00 ms. Der Loopfilter-Status lautet "FSET" (Drift-Set aus Datei), die Drift beträgt 0,000000000 s/s, das System-Polling-Intervall ist 8 und wurde nie aktualisiert.
b. Versuchen Sie, einen Ping an die NTP-Quelle/den NTP-Server zu senden, um sicherzustellen, dass die Erreichbarkeit mit dem Befehl Router#ping nicht beeinträchtigt wird.
c. Überprüfen Sie, ob die NTP-Quelle bzw. der NTP-Server läuft und ob sie von einem anderen Gerät aus erreichbar ist.
d. Überprüfen Sie, ob Probleme oder Flapping mit dem dynamischen Routing-Protokoll vorliegen, wenn diese mit den Befehlen Router#show logging und Router#show ip route konfiguriert wurden.
e. Überprüfen Sie, ob der Port UDP/123 auf der Firewall-Ebene oder über eine lokale ACL (Access List) geöffnet und nicht blockiert ist.
f. Versuchen Sie, den Befehl ntp server zu entfernen und erneut hinzuzufügen.
Befehle
#show version
#show ip interface
#show platform
#show logging
#show ip route
#show ntp status
#show clock
#show logging
#show ip route
Feedback