ACS 5.x: Cisco ACS-synchronisatie met NTP-serverconfiguratievoorbeeld

Downloadopties

  • PDF     (271.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (87.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (76.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 juni 2012
Document-id:1713417399864540

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Network Time Protocol (NTP) is een protocol dat wordt gebruikt om de klokken van verschillende netwerkentiteiten te synchroniseren. Het maakt gebruik van UDP/123. De belangrijkste doelstelling van dit protocol is het voorkomen van de effecten van variabele latentie over de datanetwerken.

Dit document biedt een voorbeeldconfiguratie voor Cisco ACS om de kloktijd te synchroniseren met de NTP-server. ACS 5.x mag maximaal twee NTP-servers configureren.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco Secure ACS-versie 5.x

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

NTP-configuratie op Cisco ACS

Voltooi de volgende stappen om de tijd van Cisco ACS met een NTP-server te synchroniseren:

  1. Configureer de datum en tijd handmatig met de klokset <maand> <dag> <h:min:ss> <yyyy>-opdracht.

  2. Specificeer de tijdzone met de opdracht kloktijdzone <tijdzone>.

  3. Specificeer de NTP-server met de opdracht NTP-server <IP-adres van NTP-server>

    NTP volgt een hiërarchie van clientservers. Wanneer een NTP-client is geconfigureerd met een NTP-server, wordt de referentieklok van de NTP-server doorgegeven aan de client. Het duurt ongeveer 10-20 minuten om de nauwkeurige tijd van de NTP server te krijgen en hangt van de vertraging af komt voor om de NTP server te bereiken.

    Cisco ACS gebruikt de NTP-daemon om zijn kloktijd met de NTP-server te synchroniseren. Het ondersteunt Simple NTP, SNTP niet. Wanneer de NTP-daemon start, stuurt ACS een pakket naar de NTP-server dat de oorspronkelijke tijd (lokaal) bevat. Vervolgens reageert NTP-server op het pakket met de invoeging van de referentiekloktijd. Zodra de NTP-client dit pakket ontvangt, wordt het pakket met een eigen lokale tijd vastgelegd om de reistijd van het pakket te valideren. Verscheidene van dergelijke pakketuitwisselingen komen voor om de nauwkeurige ronde reisvertragingstijd en de compensatiewaarden te berekenen en tenslotte is de lokale tijd van de cliënt NTP gesynchroniseerd met de Referentieklok van de server NTP.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Om de configuratiedetails te verifiëren, verwijs naar deze fragmenten van de beveloutput.

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#
acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

Opmerking: Stratum is een maatstaf die aangeeft hoe dicht de NTP-server bij de primaire referentieklok ligt. Elke NTP-client die gesynchroniseerd is met een stratum n server wordt aangeduid als stratum n+1-niveau.

Raadpleeg deze applicatielogberichten van ACS om de NTP-synchronisatiedetails te verifiëren.

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Probleem: Klokverschuivingen te veel en NTP mislukt wanneer ACS is geïnstalleerd op een VMWare-machine

Cisco ACS is ingesteld om de NTP-server als klokbron te gebruiken, maar verandert voortdurend in de interne tijdbron. Wanneer dit gebeurt, is het niet mogelijk gebruikers te verifiëren van Active Directory als Kerberos slechts 300 seconden van tijdverschil ondersteunt.

Oplossing

Als de ESXi-host een hoog CPU-gebruik heeft, worden de VM's niet zo vaak als normaal bediend. Dit beïnvloedt de klokken in VM's en veroorzaakt in feite klokverschuiving van een Windows Domain Controller die langer is dan vijf minuten. Het veroorzaakt de Kerberos om te mislukken. Dit zou gevolgen hebben voor een Windows-VM zonder NTP of hostkloksynchronisatie. Aangezien de virtuele kloktijd die aan Cisco ACS wordt voorgesteld niet stabiel genoeg is voor NTP om de ontwikkeling bij te houden, keert deze uiteindelijk terug naar het gebruik zelf als tijdbron.

Opmerking: De NTP daemon past de klok aan in verschillende uitwisselingen en gaat door tot de klant de juiste tijd heeft. Echter, wanneer de vertraging tussen NTP Server en de NTP client te groot wordt, dan wordt de NTP daemon beëindigd en u moet de tijd handmatig aanpassen en herstart de NTP daemon.

Dit probleem kan worden opgelost wanneer u de ondersteuning van VMWare-tools integreert in Cisco ACS, dat beschikbaar is met Cisco ACS release 5.4 die nog moet worden uitgebracht. Raadpleeg Cisco bug-id CSC50048 (alleen geregistreerde klanten) voor meer informatie. Als tijdelijke tijdelijke tijdelijke oplossing kunt u de volgende stappen proberen:

  • Stop ACS-diensten met de opdracht ACS stop.

  • Verwijder alle NTP-configuratie en sla de configuratie op met een opdracht schrijfmem.

  • Herstart Cisco ACS.

  • Zorg ervoor dat alle services worden uitgevoerd met de opdracht acs voor de toepassingsstatus van de show.

  • Stel de kloktijd zo dicht mogelijk bij de werkelijke tijd in, op de tweede vóór de offset-eis op NTP.

  • Zorg ervoor dat Timezone juist is.

  • Voeg NTP-configuratie opnieuw toe en sla deze op.

  • Voer het show ntp commando uit om te verifiëren of de output hetzelfde is.

N.B.: Als deze stappen het probleem niet oplossen, wordt u aangeraden contact op te nemen met Cisco TAC.

NTP-synchronisatie verloren nadat het interface-IP-adres van ACS is gewijzigd

Als u het IP-adres van ACS NIC wijzigt, gaat de NTP niet meer synchroon.

Oplossing

Dit gedrag wordt geobserveerd en aangemeld met Cisco bug-id CSCtk76151 (alleen geregistreerde klanten). Wanneer het ACS IP-adres wordt gewijzigd, wordt de ACS-toepassing opnieuw gestart, maar niet de NTP-daemon. Het is vastgelegd in ACS versie 5.3.0.23. Voltooi de volgende stappen om dit probleem in eerdere versies op te lossen:

  1. Geef de opdracht no ntp server uit om het NTP-proces te stoppen.

  2. Geef de opdracht ntp server opnieuw uit om het NTP-proces opnieuw te starten.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
13-Jun-2012
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten