Cisco ISE – Troubleshooting para correção de erro NTP entre Cisco ISE e Windows Server AD

Publicado por

Topologia

1 Cisco ISE (192.168.10.200).

1 AD (192.168.10.50).

1 Router de Borda (192.168.10.1).

1 PC Test (192.168.10.10).

No cenário inicial, configuramos dentro do ISE o AD como NTP, porém por algum motivo já conhecido em servidores Windows, o ISE não consegue sincronizar o NTP, dessa forma escolhendo como prioridade o NTP local conforme figura abaixo.

Percebam que o asterisco está em cima do IP local 127.x.x.x.

O Horário do ISE está correto por ter configurado manualmente, e não por estar pegando do AD.

Abaixo, percebam que o ISE está pareado com o AD normalmente, mesmo não pegando o NTP dele, agora vamos simular um possível erro de hora no AD.

Simulamos o Erro de hora no AD, e abaixo conseguimos ver que o ISE continua com status pareado com o AD, normalmente.

NOTE: Nesse momento, mesmo estando tudo OK com o pareamento, irão existir problemas de autenticação com alguns usuários, Onde usuários novos não conseguiam autenticar na rede, apresentava um erro de grupo desconhecido ou usuário não encontrado, o motivo disso é o não sincronismo do AD com o ISE, por causa da hora.

Abaixo vamos realiar um procedimento de Leave (Desconectar o ISE do AD), e antes que o processo finalize, o ISE já reclama que não encontrou o AD.

Abaixo, Falha no processo de esquecer o AD.

Motivo: Domain controller não encontrado.

Percebam que o server NTP é o AD conforme configurado, porém o ISE continua apontando para o IP local.

Abaixo iremos configurar o IP do Router como NTP master, perceba que o ISE irá reconhecer automaticamente o Router como um serviço valido.

Nesse ponto o Cisco ISE já indicou o Router como preferência para os serviços NTP.

Vamos realizar o processo de re join novamente, percebam que irá informar o mesmo problema inicial, ou seja, apesar do ISE encontrar um NTP máster valido, com o Horário do AD errado nada funciona.

Em alguns casos você irá apontar o NTP para um server valido ou  (router), e o ambiente irá funcionar, o motivo é o horário do AD está igual ou próximo do informado pelo Router, ou seja, o alerta de erro NTP irá sair do ISE, mais o problema ainda existe.

O AD pode perder o time e atrasar o horário ou adiantar, e novamente o problema da autenticação dos usuários irá ocorrer.

Abaixo o teste de re join sem sucesso.

No Detail do motivo, ele informar o clock errado do AD.

Voltando para o AD, iremos ajustar o horário.Horário ajustados, vamos aos testes de pareamento com o AD novamente.

Voltamos para o ISE, e após ajustar o time do AD, vamos novamente realizar o Join.

Percebam que utilizamos o mesmo usuário em todo o procedimento (administrator).

Após o horário ajustado o procedimento foi completado com sucesso.

Percebam o status entre o AD e o ISE (Operacional).

Percebam que o ISE continua apontando o Router como NTP Master da rede, porém com o ajuste do time no AD a integração foi possível.

 

NOTE: A sugestão que temos para uma solução definitiva vem diretamente da Cisco no documento abaixo, percebam que esse comportamento já é conhecido da Cisco, então a própria Cisco fez um procedimento de correção para o AD (Windows Server).

https://www.cisco.com/c/pt_br/support/docs/security/identity-services-engine/119371-technote-ise-00.html

NOTE: Lembrando que se os serviços de Clock e NTP do AD estivessem funcionando normalmente, mesmo estando com horário diferente do restante da rede, o ISE iria sincronizar o horário com o AD e as autenticações funcionar corretamente.

Solução:

Procedimento de correção dos serviços NTP no Windows.

Conforme a documentação Microsoft, é possível configurar o valor de LocalRootDispersion no registro. Termine estas etapas a fim configurar o valor de registro:

  1. Pare o serviço NTP de PowerShell (opcionalmente, incorpore o comando líquido da parada w32time):

PS C:\Users\Administrator> Stop-Service w32time

  1. Ajuste o valor de registro a 0:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\LocalClockDispersion

  1. Reinicie o serviço (opcionalmente, incorpore o comando líquido do começo w32time):

PS C:\Users\Administrator> Start-Service w32time

  1. Verifique que o valor novo (0) está relatado:

C:\Users\Administrator> w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 1 (primary reference – syncd by radio clock)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0000000s
Root Dispersion: 0.0000000s
ReferenceId: 0x4C4F434C (source name: “LOCL”)
Last Successful Sync Time: 04/08/2015 11:15:32
Source: Local CMOS Clock
Poll Interval: 6 (64s)

 

No Windows Server ir em > Start > run > services.msc

 

Após entrar no Serviços do Windows Server, ir em Windows time.

 

Em Windows time, parar o serviço clicando em stop.

 

Com o serviço parado, devemos ir em regedit, nos registros do Windows para mudar um valor do registro.

Percebam que o valor está (a), vamos alterar para (0).

 

Alterado para 0.

Após isso, clicamos em OK e fechamos a janela de regedit, em seguida realizamos o restart dos serviços w32time (Windows Time), e clicamos em OK.

 

Voltando para o Cisco ISE, percebam que automaticamente ele reconheceu o AD como NTP valido novamente.

 

Removemos o Router como NTP máster para o ISE, e após isso o AD continua como NTP Master.

Verificação de horário entre ISE e AD.

 

Nesse ponto vamos realizar o Leave / Join novamente para ter certeza que o ISE está sincronizando corretamente com o AD.

 

Percebam que o leave ocorreu com sucesso.

 

Agora vamos fazer o join.

 

Percebam que o processo ocorreu com sucesso.

Bom LAB e até o próximo post!!!

 

Anúncios

Um comentário

  1. Post muito top. Tive um problema parecido e graças ao seu post acima consegui entender o meu problema e chegar a solução em meu ambiente.
    Muito obrigado Sr. Ângelo Silva

    Curtir

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.