简介
本文档介绍设备与网络时间协议(NTP)源失去连接时通常显示的错误消息。
网络时间损失影响PKI
ICSeverity
0 -紧急
影响
依赖于PKI的服务丢失。
描述
当设备失去与网络时间协议(NTP)源的连接时,通常会显示此错误消息。系统时钟当前无效,这对于公共密钥基础设施(PKI)操作至关重要。Public Key Infrastructure严重依赖准确计时来确定证书的有效性。如果系统时钟未与权威时间源同步,则PKI功能无法正确运行。这会导致PKI证书由于与PKI服务器的时间不匹配而被视为无效或过期。
要解决此问题,必须配置或更新设备上的系统时钟。这通常涉及与可靠的NTP源重新建立连接,以确保系统时钟准确和可信。时钟与权威时间源同步后,可以初始化PKI功能,并且证书验证可以按预期继续进行。
系统日志消息
PKI-2-NON_AUTHORITATIVE_CLOCK
消息示例
Jan 4 16:40:28 <> %PKI-2-NON_AUTHORITATIVE_CLOCK: PKI functions can not be initialized until an authoritative time source like NTP can be obtained. THIS IS A SAMPLE MESSAGE
产品系列
- Cisco Catalyst 9200 系列交换机
- Cisco Catalyst 9300 系列交换机
- Cisco Catalyst 9400 系列交换机
- Cisco Catalyst 9500 系列交换机
- Cisco Catalyst 9600 系列交换机
- 思科 4000 系列集成多业务路由器
Regex
不适用
建议
当NTP服务器出现连接问题时,通常会出现此错误。
请按照列出的步骤尝试修复问题:
1. 此消息在启动期间可见,这是正常情况。当设备启动时,它需要时间连接到NTP服务器并同步。完成此操作后,请检查消息。
2. 如果在正常操作期间看到,请采取以下操作:
a.使用show ntp status命令验证NTP状态是否显示为非同步:Router#show ntp status Clock is unsynchronized, stratum 16, no reference clock <<< nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**10 ntp uptime is 47585900 (1/100 of seconds), resolution is 400 reference time is 00000000.00000000 (00:000) gmt星期一1月1日1900)时钟偏移量为0.0000毫秒,根延迟为0.00毫秒,根色散为7137.88毫秒,对等色散为0.00毫秒的环路滤波器状态为“FSET”(从文件设置漂移),漂移为0.000000000 s/s系统轮询间隔为8,从未更新。
b.尝试使用Router#ping命令对ntp源/服务器执行ping操作以确认其可达性没有问题
c.验证ntp源/服务器是否正在运行且可从其他设备访问。
d.检查动态路由协议是否存在任何问题或抖动(如果使用Router#show logging和Router#show ip route命令进行配置)。
e.验证是否在防火墙级别或通过本地ACL(访问列表)打开了端口UDP/123且未阻止该端口。
f.尝试删除并重新添加命令ntp server。
命令
#show version
#show ip interface
#show platform
#show logging
#show ip route
#show ntp status
#show clock
#show logging
#show ip route
反馈