PowerScale: L'ora nel cluster non è sincronizzata con Active Directory

Summary: L'ora nel cluster non è sincronizzata con il controller di dominio Active Directory.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Se l'ora di Active Directory differisce dall'ora del cluster di oltre quattro minuti, è possibile che l'autenticazione dei client non riesca. Un cluster aggiunto a un dominio AD deve corrispondere strettamente all'ora del controller di dominio. I clock dei nodi possono variare in secondi o fino a un minuto, ma una differenza di quattro minuti o più può causare i seguenti sintomi:

  • I client Windows non sono in grado di eseguire l'autenticazione al cluster.
  • Vengono inviati avvisi sugli errori di sincronizzazione dell'ora.
  • La colonna /var/log/messages Il file contiene voci simili alle seguenti:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

In OneFS, la sincronizzazione dell'ora viene gestita in due modi:

  • Sincronizzazione dell'ora interna (all'interno dei nodi del cluster)

  • Sincronizzazione dell'ora esterna (all'esterno del cluster)

Quando un cluster viene aggiunto a un dominio AD, utilizza Server Messenger Block (SMB) per la sincronizzazione dell'ora esterna per impostazione predefinita, con precisione al secondo. Internamente, NTP (Network Time Protocol) gestisce la sincronizzazione dell'ora con precisione al millisecondo.

Per evitare correzioni temporali di grandi dimensioni durante la sincronizzazione con un controller di dominio AD, configurare il controller in modo che utilizzi NTP anziché SMB per una maggiore precisione. Modifiche significative possono causare problemi di prestazioni, ad esempio ticket Kerberos scaduti che generano errori di autenticazione.

Resolution

Verificare lo sfasamento temporale tra il cluster e i domini:

Eseguire i comandi seguenti per verificare la data e l'ora sui nodi e sui controller di dominio:

 

# isi_for_array -s date
# isi_for_array -s /usr/similare/bin/lw-get-dc-time <domain_name>

 

Verificare che la sincronizzazione dell'ora sia configurata correttamente:

Eseguire la procedura riportata di seguito per configurare i controller di dominio Active Directory e assicurarsi che il cluster venga sincronizzato correttamente con i controller AD.

Configurare NTP sui server Active Directory:

Per Windows 2003 - 2012 Server, configurare NTP in modo che punti ai server NTP. Per ulteriori informazioni, fare riferimento alla pagina Strumenti e impostazioniQuesto link ipertestuale indirizza a un sito web esterno a Dell Technologies. dei servizi ora di Windows sul sito Web Microsoft TechNet.

NOTA
Assicurarsi che due controller di dominio AD siano disponibili per la ridondanza se uno diventa irraggiungibile. Il tempo deve seguire una gerarchia accurata, proveniente da server NTP pubblici o da una fonte interna come un sistema dotato di GPS.

Verificare che i controller di dominio Active Directory supportino NTP e che NTP non sia bloccato da un firewall o da altre impostazioni:

  1. Aprire una connessione SSH a qualsiasi nodo nel cluster e accedere utilizzando l'account "root".

  2. Eseguire i seguenti comandi, dove <ipaddr1> e <ipaddr2> sono gli indirizzi IP del primo e del secondo controller di dominio AD:

 

ntpdate -q -u <ipaddr1>
ntpdate -q -u <ipaddr2>

  

Se i controller di dominio AD supportano NTP, l'output di ogni comando sarà simile al seguente:

server <ipaddr1>, strato 1, offset 0,427215, ritardo 0,04138
11 mag 15:45:46 ntpdate[79498]: regola l'ora dell'offset ipaddr1> del server <0,427215 sec


Se i controller di dominio AD non supportano NTP, l'output sarà simile al seguente. In tal caso, è necessario contattare l'amministratore di dominio per assistenza.

 

B5-10-3: 11 mag 15:49:40 ntpdate[79741]: non è stato trovato nessun server adatto per la sincronizzazione

 

Impostare l'ora del cluster in modo che corrisponda all'ora del controller di dominio AD:

  1. Aprire una connessione SSH a qualsiasi nodo nel cluster e accedere utilizzando l'account "root".
  2. Eseguire il seguente comando, dove <ippaddr1> è l'indirizzo IP del controller di dominio AD con cui si desidera sincronizzare il cluster:

isi_for_array -s "ntpdate -u -b <ipaddr1>"

 

L'output è simile al seguente:

 

Esempio-1: 11 mag 15:49:48 ntpdate[79756]: passo time server <ipaddr1> offset 0.541754 sec
esempio-2: 11 mag 15:49:48 ntpdate[99580]: passo time server <ipaddr1> offset 0.541843 sec
esempio-3: 11 mag 15:49:48 ntpdate[63251]: passo time server <ipaddr1> offset 0.480573 sec

 

Eliminare il file ntp.drift:

La colonna ntp.drift è un record della deriva di clock del clock di sistema. Il sistema ricrea questo file dopo aver accumulato dati sufficienti.

  1. Aprire una connessione SSH su qualsiasi nodo nel cluster e accedere utilizzando l'account "root".

  2. Eseguire uno dei seguenti comandi dalla riga di comando, a seconda della versione di OneFS in esecuzione:

isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Configurare il cluster per utilizzare i controller di dominio AD come server NTP:

  1. Aprire l'interfaccia di amministrazione web di OneFS ed effettuare una delle seguenti operazioni:

  • In OneFS 7.0 e versioni successive, cliccare sulla scheda NTP Cluster Management > General Settings>.

  • Per ogni controller di dominio AD, inserire l'indirizzo IP nella casella Server IP or hostname , quindi cliccare su Add.

  1. Cliccare su Submit.

In alternativa, è possibile eseguire questa attività dal prompt dei comandi:

  1. Aprire una connessione SSH a qualsiasi nodo nel cluster e accedere utilizzando l'account "root".

  2. Eseguire il seguente comando, dove <ipaddr1> e <ipaddr2> sono gli indirizzi IP del primo e del secondo controller di dominio AD:

 

isi_ntp_config aggiungere il server <ipaddr1>
isi_ntp_config aggiungere il server <ipaddr2>

 

NOTA
La propagazione delle nuove impostazioni NTP a tutti i nodi del cluster può richiedere 23 ore. I nodi chimer sincronizzano i propri tempi con i controller di dominio di Active Directory e i nodi nel cluster sincronizzano i propri tempi con i nodi chimer.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.