Cisco、Juniper、Palo Altoなどのネットワーク機器が、NTPサーバと時刻同期ができない場合以下の順番で確認していくことが大切です。
1. 指定したNTPサーバのIPアドレスは正しいですか?
⇒ 初歩的なことですが、指定すべきNTPサーバのIPアドレスを再確認
2. NW機器(NTP Client)で設定したタイムゾーンの設定は正しいですか?
⇒ NTPサーバとなるべく整合性を合わせるようにサマータイムの設定を含めて再確認
3. NW機器(NTP Client)から、NTPサーバにIP到達性はありますか?
⇒ ICMPの通信が許可されている場合は、PINGの応答があるかどうかも確認
4. NW機器(NTP Client)に複数のI/Fがある場合、送信元I/Fを指定していますか?
⇒ その送信元I/FのIPアドレスから、IP到達性があるかどうかを確認
5. NTP Client ⇔ NTP Server間にFWがある場合、NTPパケットが許可されていますか?
⇒ ICMPは許可されているけれど、NTPは許可されていないようなケースがあるので注意
上記5つの手順でもNTP時刻同期ができない場合
以上の確認で全て問題がない場合は、NTPクライアント側の設定を一度削除して、再度正しい同じ設定をしてみましょう。そして、時刻同期に時間がかかるケースもあるので、他の作業をして待つなどしましょう。それでも解決しない場合は、以下の解決策を実施してみましょう。
6. NW機器(NTP Client)側で時刻設定を手動で設定してみましょう。
⇒ NTPクライアントとNTPサーバとで時刻差を10秒以内にすることが目的です。NTPクライアントとNTPサーバとで、時刻ずれが大きすぎるとNTPの同期が失敗する場合があります。
7. 指定しようとしているNTPサーバが、Windows Serverではないことを確認しましょう。
⇒ 例えば、CatalystスイッチがWindows ServerをNTPサーバとして指定してもWindows Server側で関連パラメータを変更しなければ、NTPの時刻同期ができないケースがあります。
8. 指定しているNTPサーバが、SNTPサーバではないことを確認しましょう。
⇒ 例えば、Palo Alto機器ではSNTPサーバとは同期することはできないので要注意です。
9. 指定しているNTPサーバが、上位NTPサーバと正常に同期できていることを確認!
⇒ NW機器で指定したNTPサーバのStratumが「2」とします。そのNTPサーバが時刻同期しているStratum「1」の上位NTPサーバと、指定したNTPサーバとが同期取れていますか?
上位側で正しい時刻同期が取れていないNTPサーバとは、同期が失敗する場合があります。
10. まさか、NTPサーバ側で認証設定がされていないかどうかを確認しましょう。その他、NTPサーバ側でNTPクライアントのホスト登録などフィルタリングをしていないかも確認。
以上の10項目の確認が全てクリアーな状態であるのにも関わらず、NTPで同期しない場合は、構築中である場合はNW機器(NTP Client)側を再起動してみましょう。また、問題切り分けのために、指定できるNTPサーバが他にもいる場合は、他のNTPサーバを指定してどのような結果になるのか確認してみましょう。
NTPで正しく時刻同期していることは重要。「NTPの時刻同期」は、SNMPやSYSLOGなどの管理設定の位置づけだけでなく、NTPを設定するネットワーク機器によっては、例えばADCやRadiusサーバなどにおいては、「通信の動作にも影響を与える設定」の位置づけだからです。
・ Cisco ACS、ISEが正常に時刻同期てきていない結果、認証トラブルを引き起こした
・ ADCで正常に時刻同期できていない結果、要件を満たす正常な通信ができていなかった
当方は過去に上記の2点で痛い目にあいました。皆さん、NTPの時刻同期は必ずしっかりと!