PowerScale: De tijd op het cluster is niet gesynchroniseerd met Active Directory

Summary: De tijd op het cluster wordt niet gesynchroniseerd met de Active Directory-domeincontroller.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Als de Active Directory-tijd meer dan vier minuten verschilt van de clustertijd, kunnen clients mogelijk niet worden geverifieerd. Een cluster dat aan een AD-domein is gekoppeld, moet nauw overeenkomen met de tijd van de domeincontroller. Knooppuntklokken kunnen per seconde of tot een minuut variëren, maar een verschil van vier minuten of meer kan de volgende symptomen veroorzaken:

  • Windows-clients kunnen niet worden geverifieerd bij het cluster.
  • Er worden waarschuwingen verzonden over tijdsynchronisatiefouten.
  • De /var/log/messages Het bestand bevat vermeldingen die vergelijkbaar zijn met de volgende:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

In OneFS wordt tijdsynchronisatie op twee manieren beheerd:

  • Interne tijdsynchronisatie (binnen de clusterknooppunten)

  • Externe tijdsynchronisatie (buiten het cluster)

Wanneer een cluster lid wordt van een AD-domein, wordt standaard Server Messenger Block (SMB) gebruikt voor externe tijdsynchronisatie, die tot op de seconde nauwkeurig is. Intern beheert Network Time Protocol (NTP) tijdsynchronisatie tot op de milliseconde.

Om grote tijdcorrecties te voorkomen bij synchronisatie met een AD-domeincontroller, configureert u de controller om NTP te gebruiken in plaats van SMB voor meer precisie. Belangrijke aanpassingen kunnen prestatieproblemen veroorzaken, zoals Kerberos-tickets die verlopen lijken en authenticatiefouten veroorzaken.

Resolution

Controleer de scheefstand tussen de tijd tussen het cluster en de domeinen:

Voer de onderstaande opdrachten uit om de datum en tijd op de knooppunten en de domeincontrollers te controleren:

 

# isi_for_array -s date
# isi_for_array -s /usr/alike/bin/lw-get-dc-time <domain_name>

 

Controleer of tijdsynchronisatie correct is ingesteld:

Voer alle onderstaande stappen uit om de AD-domeincontrollers te configureren en ervoor te zorgen dat het cluster correct synchroniseert met de AD-controllers.

NTP configureren op de Active Directory servers:

Voor Windows 2003 - 2012 Server configureert u NTP zodat deze naar uw NTP-servers verwijst. Raadpleeg voor meer informatie de pagina Windows Time S servicetools en -instellingenDeze hyperlink leidt u naar een website buiten Dell Technologies. op de Microsoft TechNet-website.

NOTITIE
Zorg ervoor dat er twee AD-domeincontrollers beschikbaar zijn voor redundantie als er één onbereikbaar wordt. De tijd moet een nauwkeurige hiërarchie volgen, hetzij van openbare NTP-servers, hetzij van een interne bron, zoals een systeem met GPS.

Controleer of de AD-domeincontrollers NTP ondersteunen en of NTP niet wordt geblokkeerd door een firewall of andere instellingen:

  1. Open een SSH-verbinding op een knooppunt in het cluster en meld u aan met het hoofdaccount ("root").

  2. Voer de volgende opdrachten uit, waarbij <ipaddr1> als <ipaddr2> zijn de IP-adressen van de eerste en tweede AD-domeincontrollers:

 

ntpdate -q -u <ipaddr1>
ntpdate -q -u <ipaddr2>

  

Als de AD-domeincontrollers NTP ondersteunen, ziet de uitvoer voor elke opdracht er ongeveer als volgt uit:

server <ipaddr1>, stratum 1, offset 0.427215, delay 0.04138
11 May 15:45:46 ntpdate[79498]: adjust time server <ipaddr1> offset 0.427215 sec


Als de AD-domeincontrollers NTP niet ondersteunen, ziet de uitvoer er ongeveer als volgt uit. In dat geval moet u contact opnemen met de domeinbeheerder voor hulp.

 

B5-10-3: 11 May 15:49:40 ntpdate[79741]: no server suitable for synchronization found

 

Stel de tijd op het cluster zo in dat deze overeenkomt met de tijd op de AD-domeincontroller:

  1. Open een SSH-verbinding op een knooppunt in het cluster en meld u aan met het hoofdaccount ("root").
  2. Voer de volgende opdracht uit waar: <ippaddr1> is het IP-adres van de AD-domeincontroller waarmee u het cluster wilt synchroniseren:

isi_for_array -s "ntpdate -u -b <ipaddr1>"

 

De uitvoer ziet er ongeveer als volgt uit:

 

Voorbeeld-1: 11 May 15:49:48 ntpdate[79756]: step time server <ipaddr1> offset 0.541754 sec
example-2: 11 May 15:49:48 ntpdate[99580]: step time server <ipaddr1> offset 0.541843 sec
example-3: 11 May 15:49:48 ntpdate[63251]: step time server <ipaddr1> offset 0.480573 sec

 

Verwijder het bestand ntp.drift:

De ntp.drift Bestand is een registratie van de klokverschuiving van de systeemklok. Het systeem maakt dit bestand opnieuw nadat er voldoende data zijn verzameld.

  1. Open een SSH-verbinding op een willekeurig knooppunt in het cluster en meld u aan met het 'root'-account.

  2. Voer een van de volgende opdrachten uit vanaf de opdrachtregel, afhankelijk van de versie van OneFS die u gebruikt:

isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Configureer het cluster voor het gebruik van de AD-domeincontrollers als NTP-servers:

  1. Open de OneFS-webbeheerinterface en voer een van de volgende handelingen uit:

  • Klik in OneFS 7.0 en hoger op het tabblad NTP Algemene instellingen > clusterbeheer>.

  • Voer voor elke AD-domeincontroller het IP-adres in het vak Server-IP of hostnaam in en klik vervolgens op Toevoegen.

  1. Klik op Verzenden.

U kunt deze taak ook uitvoeren via de opdrachtprompt:

  1. Open een SSH-verbinding op een knooppunt in het cluster en meld u aan met het hoofdaccount ("root").

  2. Voer de volgende opdracht uit, waarbij <ipaddr1> als <ipaddr2> zijn de IP-adressen van de eerste en tweede AD-domeincontrollers:

 

isi_ntp_config Server <iPadDR1>
toevoegen isi_ntp_config Server <iPadDR2 toevoegen>

 

NOTITIE
Het kan 23 uur duren voordat de nieuwe NTP-instellingen zijn doorgevoerd naar alle knooppunten in het cluster. De chimer-knooppunten synchroniseren hun tijden met de AD-domeincontrollers en de knooppunten in het cluster synchroniseren hun tijden met de chimer-knooppunten.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.