PowerScale: O horário no cluster não está sincronizado com o Active Directory

Summary: O horário no cluster não está sincronizado com o controlador de domínio do Active Directory.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Se o horário do Active Directory diferir do horário do cluster em mais de quatro minutos, os clients podem falhar na autenticação. Um cluster associado a um domínio do AD deve corresponder de perto ao horário do controlador de domínio. Os relógios dos nós podem variar em segundos ou até um minuto, mas uma diferença de quatro minutos ou mais pode causar os seguintes sintomas:

  • Os clients Windows não conseguem se autenticar no cluster.
  • São enviados alertas sobre erros de sincronização de horário.
  • A coluna /var/log/messages O arquivo contém entradas semelhantes às seguintes:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

No OneFS, a sincronização de hora é gerenciada de duas maneiras:

  • Sincronização de horário interno (dentro dos nós do cluster)

  • Sincronização de horário externo (fora do cluster)

Quando um cluster ingressa em um domínio do AD, ele usa o SMB (Server Messenger Block) para sincronização de horário externo por padrão, com precisão para o segundo. Internamente, o Network Time Protocol (NTP) gerencia a sincronização de horários com precisão de milissegundos.

Para evitar grandes correções de tempo ao sincronizar com um controlador de domínio do AD, configure o controlador para usar NTP em vez de SMB para maior precisão. Ajustes significativos podem causar problemas de desempenho, como tíquetes do Kerberos aparecendo expirados e acionando erros de autenticação.

Resolution

Verifique a diferença de tempo entre o cluster e os domínios:

Execute os comandos abaixo para verificar a data e a hora nos nós e nos controladores de domínio:

 

# isi_for_array -s date
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

 

Confirme se a sincronização de horário está configurada corretamente:

Execute todas as etapas abaixo para configurar os controladores de domínio do AD e garantir que o cluster seja sincronizado corretamente com os controladores do AD.

Configure o NTP nos servidores do Active Directory:

Para o Windows 2003 - 2012 Server, configure o NTP para apontar para os servidores NTP. Para obter detalhes, consulte a página Windows Time S ervices Tools and SettingsEsse hiperlink direcionará você para um site fora da Dell Technologies. no site da Microsoft TechNet.

NOTA
Certifique-se de que dois controladores de domínio do AD estejam disponíveis para redundância se um se tornar inacessível. O horário deve seguir uma hierarquia precisa, seja de servidores NTP públicos ou de uma fonte interna, como um sistema equipado com GPS.

Verifique se os controladores de domínio do AD são compatíveis com NTP e se o NTP não está bloqueado por um firewall ou outras configurações:

  1. Abra uma conexão SSH com algum nó do cluster e faça login usando a conta "root".

  2. Execute os seguintes comandos, em que <ipaddr1> e <ipaddr2> são os endereços IP do primeiro e segundo controladores de domínio do AD:

 

ntpdate -q -u <ipaddr1>
ntpdate -q -u <ipaddr2>

  

Se os controladores de domínio do AD forem compatíveis com NTP, o resultado de cada comando será semelhante ao seguinte:

servidor <ipaddr1>, estrato 1, deslocamento 0,427215, atraso 0,04138
11 maio 15:45:46 ntpdate[79498]: ajustar o tempo servidor <ipaddr1> deslocamento 0,427215 seg


Se os controladores de domínio do AD não forem compatíveis com NTP, o resultado será semelhante ao seguinte. Nesse caso, você deve entrar em contato com o administrador do domínio para obter assistência.

 

B5-10-3: 11 May 15:49:40 ntpdate[79741]: nenhum servidor adequado para sincronização encontrado

 

Defina a hora no cluster para corresponder à hora no controlador de domínio do AD:

  1. Abra uma conexão SSH com algum nó do cluster e faça login usando a conta "root".
  2. Execute o seguinte comando, em que <ippaddr1> é o endereço IP do controlador de domínio do AD com o qual você deseja sincronizar o cluster:

isi_for_array -s "ntpdate -u -b <ipaddr1>"

 

O resultado é semelhante ao seguinte:

 

Exemplo-1: 11 de maio 15:49:48 ntpdate[79756]: step time server <ipaddr1> offset 0,541754 seg
exemplo-2: 11 May 15:49:48 ntpdate[99580]: step time server <ipaddr1> offset 0,541843 seg
exemplo-3: 11 de maio 15:49:48 ntpdate[63251]: step time server <ipaddr1> offset 0,480573 seg

 

Exclua o arquivo ntp.drift:

A coluna ntp.drift file é um registro do desvio do relógio do relógio do sistema. O sistema recria esse arquivo depois que ele acumula dados suficientes.

  1. Abra uma conexão SSH em qualquer nó no cluster e faça login usando a conta "root".

  2. Execute um dos seguintes comandos na linha de comando, dependendo da versão do OneFS que você está executando:

isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Configure o cluster para usar os controladores de domínio do AD como servidores NTP:

  1. Abra a interface Web de administração do OneFS e execute um dos seguintes procedimentos:

  • No OneFS 7.0 e versões posteriores, clique na guia Cluster Management > General Settings > NTP .

  • Para cada controlador de domínio do AD, digite o endereço IP na caixa Server IP or hostname e clique em Add.

  1. Clique em Submit.

Como alternativa, você pode realizar essa tarefa no prompt de comando:

  1. Abra uma conexão SSH com algum nó do cluster e faça login usando a conta "root".

  2. Execute o seguinte comando, em que <ipaddr1> e <ipaddr2> são os endereços IP do primeiro e segundo controladores de domínio do AD:

 

isi_ntp_config adicionar servidor <ipaddr1>
isi_ntp_config adicionar servidor <ipaddr2>

 

NOTA
Pode levar 23 horas para que as novas configurações de NTP se propaguem para todos os nós do cluster. Os nós chimer sincronizam o horário com os controladores de domínio do AD, e os nós do cluster sincronizam o horário com os nós chimer.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.