PowerScale : L’heure sur le cluster n’est pas synchronisée avec Active Directory

Summary: L’heure sur le cluster n’est pas synchronisée avec le contrôleur de domaine Active Directory.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Si l’heure Active Directory diffère de plus de quatre minutes de l’heure du cluster, l’authentification des clients peut échouer. Un cluster joint à un domaine AD doit être proche de l’heure du contrôleur de domaine. Les horloges des nœuds peuvent varier de quelques secondes ou jusqu’à une minute, mais une différence de quatre minutes ou plus peut provoquer les symptômes suivants :

  • Les clients Windows ne peuvent pas s’authentifier auprès du cluster.
  • Des alertes concernant les erreurs de synchronisation horaire sont envoyées.
  • La commande /var/log/messages Le fichier contient des entrées semblables à ce qui suit :
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

Dans OneFS, la synchronisation horaire est gérée de deux façons :

  • Synchronisation de l’heure interne (au sein des nœuds de cluster)

  • Synchronisation de l’heure externe (en dehors du cluster)

Lorsqu’un cluster rejoint un domaine AD, il utilise Server Messenger Block (SMB) pour la synchronisation de l’heure externe par défaut, à la seconde près. En interne, le protocole NTP (Network Time Protocol) gère la synchronisation de l’heure avec une précision de l’ordre de la milliseconde.

Pour éviter des corrections temporelles importantes lors de la synchronisation avec un contrôleur de domaine AD, configurez le contrôleur afin qu’il utilise NTP au lieu de SMB pour une plus grande précision. Des ajustements importants peuvent entraîner des problèmes de performances, tels que des tickets Kerberos qui semblent expirés et déclenchent des erreurs d’authentification.

Resolution

Vérifiez l’écart d’heure entre le cluster et les domaines :

Exécutez les commandes ci-dessous pour vérifier la date et l’heure sur les nœuds et les contrôleurs de domaine :

 

# isi_for_array -s date
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

 

Vérifiez que la synchronisation horaire est correctement configurée :

Effectuez toutes les étapes ci-dessous pour configurer les contrôleurs de domaine AD et vous assurer que le cluster se synchronise correctement avec les contrôleurs AD.

Configurez NTP sur les serveurs Active Directory :

Pour Windows 2003 - 2012 Server, configurez NTP pour qu’il pointe vers vos serveurs NTP. Pour plus d’informations, reportez-vous à la page Outils et paramètresCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies. des services de temps Windows sur le site Web Microsoft TechNet.

NOTE
Assurez-vous que deux contrôleurs de domaine AD sont disponibles pour la redondance si l’un d’eux devient inaccessible. L’heure doit suivre une hiérarchie précise, provenant soit de serveurs NTP publics, soit d’une source interne telle qu’un système équipé d’un GPS.

Vérifiez que les contrôleurs de domaine AD prennent en charge NTP et que NTP n’est pas bloqué par un pare-feu ou d’autres paramètres :

  1. Ouvrez une connexion SSH sur n’importe quel nœud du cluster et connectez-vous à l’aide du compte « root ».

  2. Exécutez les commandes suivantes, où <ipaddr1> et <ipaddr2> sont les adresses IP des premier et deuxième contrôleurs de domaine AD :

 

ntpdate -q -u <ipaddr1>
ntpdate -q -u <ipaddr2>

  

Si les contrôleurs de domaine AD prennent en charge NTP, le résultat de chaque commande ressemble à ce qui suit :

server <ipaddr1>, stratum 1, offset 0.427215, delay 0.04138
11 May 15:45:46 ntpdate[79498] : adjust time server <ipaddr1> offset 0.427215 sec


Si les contrôleurs de domaine AD ne prennent pas en charge le protocole NTP, le résultat ressemble à ce qui suit. Dans ce cas, vous devez contacter l’administrateur de domaine pour obtenir de l’aide.

 

B5-10-3 : 11 mai 15:49:40 ntpdate[79741] : no server suitable for synchronization found

 

Définissez l’heure sur le cluster pour qu’elle corresponde à l’heure sur le contrôleur de domaine AD :

  1. Ouvrez une connexion SSH sur n’importe quel nœud du cluster et connectez-vous à l’aide du compte « root ».
  2. Exécutez la commande suivante, dans laquelle <ippaddr1> est l’adresse IP du contrôleur de domaine AD avec lequel vous souhaitez que le cluster se synchronise :

isi_for_array -s « ntpdate -u -b <ipaddr1> »

 

Le résultat ressemble à ce qui suit :

 

Exemple-1 : 11 May 15:49:48 ntpdate[79756] : step time server <ipaddr1> offset 0.541754 sec
example-2 : 11 May 15:49:48 ntpdate[99580] : step time server <ipaddr1> offset 0.541843 sec
example-3 : 11 May 15:49:48 ntpdate[63251] : step time server <ipaddr1> offset 0.480573 sec

 

Supprimez le fichier ntp.drift :

La commande ntp.drift file est un enregistrement de la dérive de l’horloge de l’horloge système. Le système recrée ce fichier une fois qu’il a accumulé suffisamment de données.

  1. Ouvrez une connexion SSH sur n’importe quel nœud du cluster et connectez-vous à l’aide du compte « root ».

  2. Exécutez l’une des commandes suivantes à partir de la ligne de commande, en fonction de la version de OneFS que vous exécutez :

isi_for_array -sX « rm -fv /var/crash/ntp.drift »

Configurez le cluster pour utiliser les contrôleurs de domaine AD en tant que serveurs NTP :

  1. Ouvrez l’interface d’administration Web de OneFS et effectuez l’une des opérations suivantes :

  • Dans OneFS 7.0 et versions ultérieures, cliquez sur l’onglet Cluster Management > General Settings > NTP .

  • Pour chaque contrôleur de domaine AD, saisissez l’adresse IP dans la zone Adresse IP ou nom d’hôte du serveur , puis cliquez sur Ajouter.

  1. Cliquez sur Submit (Soumettre).

Vous pouvez également effectuer cette tâche à partir de l’invite de commande :

  1. Ouvrez une connexion SSH sur n’importe quel nœud du cluster et connectez-vous à l’aide du compte « root ».

  2. Exécutez la commande suivante, dans laquelle <ipaddr1> et <ipaddr2> sont les adresses IP des premier et deuxième contrôleurs de domaine AD :

 

isi_ntp_config ajouter le serveur <ipaddr1>
isi_ntp_config ajouter le serveur <ipaddr2>

 

NOTE
La propagation des nouveaux paramètres NTP à tous les nœuds du cluster peut prendre 23 heures. Les nœuds de sonnerie synchronisent leurs heures avec les contrôleurs de domaine AD, et les nœuds du cluster synchronisent leurs heures avec les nœuds de sonnerie.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.