PowerScale. Время в кластере не синхронизировано с Active Directory

Summary: Время в кластере не синхронизировано с контроллером домена Active Directory.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Если время Active Directory отличается от времени кластера более чем на четыре минуты, клиенты могут не пройти аутентификацию. Кластер, присоединенный к домену AD, должен точно соответствовать времени контроллера домена. Часы узлов могут отличаться от нескольких секунд до минуты, но разница в четыре минуты и более может привести к следующим признакам:

  • Клиенты Windows не могут аутентифицироваться в кластере.
  • Отправляются оповещения об ошибках синхронизации времени.
  • Переменная /var/log/messages Файл содержит записи, аналогичные следующей:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

В OneFS синхронизация времени управляется двумя способами:

  • Внутренняя синхронизация времени (в узлах кластера)

  • Внешняя синхронизация времени (за пределами кластера)

Когда кластер присоединяется к домену AD, он по умолчанию использует блок SMB (Server Messenger) для внешней синхронизации времени с точностью до секунды. Внутри системы протокол NTP (Network Time Protocol) управляет синхронизацией времени с точностью до миллисекунды.

Чтобы избежать больших временных корректировок при синхронизации с контроллером домена Active Directory, настройте контроллер для использования NTP вместо SMB для большей точности. Значительные корректировки могут привести к проблемам производительности, например к тому, что срок действия билетов Kerberos истек, что приведет к ошибкам проверки подлинности.

Resolution

Проверьте разницу во времени между кластером и доменами:

Выполните следующие команды, чтобы проверить дату и время на узлах и контроллерах домена:

 

# isi_for_array -s date
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

 

Убедитесь, что синхронизация времени настроена правильно.

Выполните все указанные ниже действия, чтобы настроить контроллеры домена Active Directory и обеспечить правильную синхронизацию кластера с контроллерами Active Directory.

Настройте NTP на серверах Active Directory.

Для Windows 2003 - 2012 Server настройте NTP так, чтобы он указывал на серверы NTP. Дополнительные сведения см. на странице Средства и настройкиЭта гиперссылка позволяет перейти на сайт за пределами Dell Technologies. служб времени Windows S на веб-сайте Microsoft TechNet.

ЗАМЕТКА
Убедитесь, что два контроллера домена Active Directory доступны для резервирования, если один из них станет недоступен. Время должно соответствовать точной иерархии, либо из общедоступных серверов NTP, либо из внутреннего источника, такого как система с GPS.

Убедитесь, что контроллеры домена Active Directory поддерживают NTP и что NTP не заблокирован межсетевым экраном или другими параметрами.

  1. Установите соединение по протоколу SSH с узлом и войдите в систему с помощью учетной записи root.

  2. Выполните следующие команды, где <ipaddr1> и <ipaddr2> — IP-адреса первого и второго контроллеров домена Active Directory;

 

ntpdate -q -u <ipaddr1>
ntpdate -q -u <ipaddr2>

  

Если контроллеры домена Active Directory поддерживают NTP, выходные данные каждой команды выглядят следующим образом:

сервер <ipaddr1>, stratum 1, смещение 0.427215, задержка 0.04138
11 мая 15:45:46 ntpdate[79498]: отрегулировать время сервера <Смещение ipaddr1> 0.427215 сек


Если контроллеры домена Active Directory не поддерживают NTP, выходные данные будут выглядеть следующим образом, и в этом случае следует обратиться за помощью к администратору домена.

 

В5-10-3: 11 мая 15:49:40 ntpdate[79741]: Не найдено сервера, подходящего для синхронизации

 

Установите время в кластере таким образом, чтобы оно совпадало со временем контроллера домена Active Directory.

  1. Установите соединение по протоколу SSH с узлом и войдите в систему с помощью учетной записи root.
  2. Выполните следующую команду, где <ippaddr1> — IP-адрес контроллера домена Active Directory, с которым должен синхронизироваться кластер:

isi_for_array -s "ntpdate -u -b <ipaddr1>"

 

Выходные данные выглядят следующим образом:

 

Пример-1: 11 мая 15:49:48 ntpdate[79756]: смещение сервера <пошагового времени ipaddr1> 0.541754 сек
Пример-2: 11 мая 15:49:48 ntpdate[99580]: смещение сервера <step-time ipaddr1> 0.541843 сек
Пример-3: 11 мая 15:49:48 ntpdate[63251]: смещение сервера <step time ipaddr1> 0.480573 сек

 

Удалите файл ntp.drift:

Переменная ntp.drift Файл — это запись дрейфа системных часов. Система воссоздает этот файл после накопления достаточного объема данных.

  1. Установите соединение по протоколу SSH на любом узле в кластере и войдите в систему с помощью учетной записи «root».

  2. Выполните одну из следующих команд в командной строке в зависимости от используемой версии OneFS:

isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Настройте кластер для использования контроллеров домена Active Directory в качестве серверов NTP.

  1. Откройте веб-интерфейс администрирования OneFS и выполните одно из следующих действий.

  • В OneFS 7.0 и более поздних версиях нажмите вкладку Общие настройки > NTP Управление > кластером.

  • Для каждого контроллера домена Active Directory введите IP-адрес в поле Server IP or hostname , а затем нажмите Add.

  1. Нажмите кнопку Submit.

Кроме того, эту задачу можно выполнить из командной строки:

  1. Установите соединение по протоколу SSH с узлом и войдите в систему с помощью учетной записи root.

  2. Выполните следующую команду, в которой <ipaddr1> и <ipaddr2> — IP-адреса первого и второго контроллеров домена Active Directory;

 

isi_ntp_config добавление сервера <ipaddr1
>isi_ntp_config добавление сервера <ipaddr2>

 

ЗАМЕТКА
Для распространения новых параметров NTP на все узлы в кластере может потребоваться 23 часа. Узлы chimer синхронизируют свое время с контроллерами домена AD, а узлы в кластере синхронизируют свое время с узлами chimer.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.