PowerScale: Час на кластері не синхронізується з Active Directory

Summary: Час перебування в кластері не синхронізується з контролером домену Active Directory.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Якщо час Active Directory відрізняється від часу кластера більш ніж на чотири хвилини, клієнти можуть не автентифікуватися. Кластер, приєднаний до домену AD, повинен майже відповідати часу контролера домену. Годинники вузла можуть змінюватися на секунди або до хвилини, але різниця у чотири хвилини або більше може викликати такі симптоми:

  • Клієнти Windows не можуть автентифікуватися в кластері.
  • Надсилаються сповіщення про помилки синхронізації часу.
  • The /var/log/messages Файл містить записи, подібні до наступного:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

У OneFS синхронізація часу керується двома способами:

  • Внутрішня синхронізація часу (всередині вузлів кластера)

  • Зовнішня синхронізація часу (поза кластером)

Коли кластер приєднується до домену AD, він за замовчуванням використовує Server Messenger Block (SMB) для зовнішньої синхронізації часу, точний до секунди. Внутрішньо Network Time Protocol (NTP) керує синхронізацією часу з точністю до мілісекунд.

Щоб уникнути великих часових корекцій при синхронізації з контролером домену AD, налаштуйте контролер на використання NTP замість SMB для більшої точності. Значні коригування можуть спричинити проблеми з продуктивністю, наприклад, тікети Kerberos виглядають простроченими та викликають помилки автентифікації.

Resolution

Перевірте часовий зсув між кластером і доменами:

Виконайте наведені нижче команди для перевірки дати і часу на вузлах і контролерах домену:

 

# isi_for_array -s побачення
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

 

Переконайтеся, що синхронізація часу налаштована коректно:

Виконайте всі наведені нижче кроки для налаштування контролерів домену AD і забезпечення правильної синхронізації кластера з контролерами AD.

Налаштуйте NTP на серверах Active Directory:

Для Windows 2003 - 2012 Server налаштуйте NTP так, щоб він вказував на ваші NTP-сервери. Детальніше дивіться на сторінці «Інструменти таЦе посилання веде на сайт поза межами Dell Technologies. налаштування Windows Time S» на сайті Microsoft TechNet.

ПРИМІТКА
Переконайтеся, що два контролери домену AD доступні для резервування, якщо один стане недоступним. Час має слідувати точній ієрархії, або від публічних NTP-серверів, або з внутрішнього джерела, наприклад, системи з GPS.

Перевірте, чи підтримують контролери домену AD NTP і чи не блокується NTP міжмережевим екраном чи іншими налаштуваннями:

  1. Відкрийте SSH-з'єднання на будь-якому вузлі кластера та увійдіть у систему через обліковий запис "root".

  2. Виконайте наступні команди, де <ipaddr1> і <ipaddr2> є IP-адресами першого та другого контролерів домену AD:

 

ntpdate -q -u <ipaddr1>
ntpdate -q -u <ipaddr2>

  

Якщо контролери домену AD підтримують NTP, вихід кожної команди виглядає приблизно так:

сервер <ipaddr1>, stratum 1, зсув 0.427215, затримка 0.04138
11 травня 15:45:46 ntpdate[79498]: налаштувати час сервера <ipaddr1> offset 0.427215 сек


Якщо контролери домену AD не підтримують NTP, результат виглядає схоже на наступне, у такому разі слід звернутися до адміністратора домену за допомогою.

 

b5-10-3: 11 травня 15:49:40 ntpdate[79741]: не знайдено сервер, придатний для синхронізації,

 

Встановіть час на кластері так, щоб він співпав із часом на контролері домену AD:

  1. Відкрийте SSH-з'єднання на будь-якому вузлі кластера та увійдіть у систему через обліковий запис "root".
  2. Виконайте таку команду, де <ippaddr1> — це IP-адреса контролера домену AD, з якою ви хочете синхронізувати кластер:

isi_for_array -s "ntpdate -u -b <ipaddr1>"

 

Вихід виглядає подібно до наступного:

 

Приклад-1: 11 травня 15:49:48 ntpdate[79756]: сервер <крокового часу ipaddr1> зсув 0.541754 sec
example-2: 11 травня 15:49:48 ntpdate[99580]: сервер <крокового часу ipaddr1> зсув 0.541843 sec
example-3: 11 травня 15:49:48 ntpdate[63251]: сервер <крокового часу ipaddr1> зсув 0.480573 сек

 

Видалити файл ntp.drift:

The ntp.drift File — це запис дрейфу тактового сигналу системи. Система відтворює цей файл після накопичення достатньої кількості даних.

  1. Відкрийте SSH-з'єднання на будь-якому вузлі кластера та увійдіть у систему через обліковий запис «root».

  2. Виконайте одну з наступних команд у командному рядку, залежно від версії OneFS, яку ви запускаєте:

isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Налаштуйте кластер так, щоб використовувати контролери домену AD як NTP-сервери:

  1. Відкрийте інтерфейс адміністрування веб-сервісу OneFS і зробіть одне з наступних:

  • У OneFS 7.0 та новіших версіях натисніть вкладку «Управління > кластером: Загальні налаштування > NTP ».

  • Для кожного контролера домену AD введіть IP-адресу у полі IP сервера або ім'я хоста , потім натисніть Додати.

  1. Натисніть «Надіслати».

Альтернативно, ви можете виконати це завдання через командний рядок:

  1. Відкрийте SSH-з'єднання на будь-якому вузлі кластера та увійдіть у систему через обліковий запис "root".

  2. Виконайте таку команду, де <ipaddr1> і <ipaddr2> є IP-адресами першого та другого контролерів домену AD:

 

isi_ntp_config додати сервер <ipaddr1>
isi_ntp_config додати сервер <ipaddr2>

 

ПРИМІТКА
Нові налаштування NTP можуть поширитися на всі вузли кластера через 23 години. Вузли хімерів синхронізують свій час із контролерами домену AD, а вузли кластера синхронізують свій час із хімерними вузлами.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.