PowerScale: Kümedeki saat Active Directory ile senkronize değil

Summary: Kümedeki saat, Active Directory etki alanı denetleyicisiyle senkronize değil.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Active Directory saati küme zamanından dört dakikadan fazla farklıysa istemciler kimlik doğrulaması başarısız olabilir. AD etki alanına katılan bir küme, etki alanı denetleyicisinin saatiyle yakından eşleşmelidir. Düğüm saatleri saniye cinsinden veya bir dakikaya kadar değişebilir ancak dört dakika veya daha uzun süreli farklar aşağıdaki belirtilere neden olabilir:

  • Windows istemcileri kümede kimlik doğrulaması yapamıyor.
  • Zaman senkronizasyonu hataları hakkında uyarılar gönderilir.
  • Komutta /var/log/messages Dosya aşağıdakine benzer girdiler içeriyor:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

OneFS'de zaman senkronizasyonu iki şekilde yönetilir:

  • Dahili saat senkronizasyonu (küme düğümleri içinde)

  • Dış zaman senkronizasyonu (küme dışında)

Bir küme bir AD etki alanına katıldığında, varsayılan olarak harici zaman senkronizasyonu için ikinci saniyeye kadar doğru olan Server Messenger Block'u (SMB) kullanır. Dahili olarak, Ağ Zaman Protokolü (NTP) zaman senkronizasyonunu milisaniye hassasiyetiyle yönetir.

AD etki alanı denetleyicisiyle senkronizasyon sırasında büyük zaman düzeltmelerini önlemek için, denetleyiciyi daha fazla hassasiyet için SMB yerine NTP kullanacak şekilde yapılandırın. Önemli ayarlamalar, Kerberos anahtarlarının süresi dolmuş gibi görünmesi ve kimlik doğrulama hatalarını tetiklemesi gibi performans sorunlarına neden olabilir.

Resolution

Küme ve etki alanları arasındaki zaman farkını doğrulayın:

Düğümlerde ve etki alanı denetleyicilerinde tarih ve saati doğrulamak için aşağıdaki komutları çalıştırın:

 

# isi_for_array -s date
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

 

Saat senkronizasyonunun doğru şekilde ayarlandığından emin olun:

AD etki alanı denetleyicilerini yapılandırmak ve kümenin AD denetleyicileriyle doğru şekilde senkronize olduğundan emin olmak için aşağıdaki tüm adımları uygulayın.

Active Directory sunucularında NTP'yi yapılandırın:

Windows 2003 - 2012 Server için NTP'yi, NTP sunucularınızı gösterecek şekilde yapılandırın. Ayrıntılar için Microsoft TechNet web sitesindeki Windows Zaman Hizmetleri Araçları ve AyarlarıBu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir. sayfasına bakın.

NOT
Biri erişilemez hale gelirse iki AD etki alanı denetleyicisinin yedeklilik için kullanılabilir olduğundan emin olun. Zaman, genel NTP sunucularından veya GPS donanımlı bir sistem gibi dahili bir kaynaktan doğru bir hiyerarşi izlemelidir.

AD etki alanı denetleyicilerinin NTP'yi desteklediğini ve NTP'nin bir güvenlik duvarı veya diğer ayarlar tarafından engellenmediğini doğrulayın:

  1. Kümedeki herhangi bir düğümde SSH bağlantısı açın ve "kök" hesabını kullanarak oturum açın.

  2. Aşağıdaki komutları çalıştırın; burada <ipaddr1> ve <ipaddr2> birinci ve ikinci AD etki alanı denetleyicilerinin IP adresleridir:

 

ntpdate -q -u <ipaddr1>
ntpdate -q -u <ipaddr2>

  

AD etki alanı denetleyicileri NTP'yi destekliyorsa, her komutun çıktısı aşağıdakine benzer görünür:

Sunucu <iPadDR1>, Katman 1, Uzaklık 0.427215, Gecikme 0.04138
11 Mayıs 15:45:46 ntpdate[79498]: Saati ayarla Sunucu <iPadDR1> Ofset 0.427215 sn


AD etki alanı denetleyicileri NTP'yi desteklemezse çıktı aşağıdakine benzer. Bu durumda, yardım için etki alanı yöneticisine başvurmanız gerekir.

 

B5-10-3: 11 May 15:49:40 ntpdate[79741]: no server available for synchronization

 

Kümedeki saati AD etki alanı denetleyicisindeki saatle eşleşecek şekilde ayarlayın:

  1. Kümedeki herhangi bir düğümde SSH bağlantısı açın ve "kök" hesabını kullanarak oturum açın.
  2. Aşağıdaki komutu çalıştırın; burada <ippaddr1> , kümenin senkronize edilmesini istediğiniz AD etki alanı denetleyicisinin IP adresidir:

isi_for_array -s "ntpdate -u -b <ipaddr1>

 

Şöyle bir çıktı alırsınız:

 

Örnek-1: 11 May 15:49:48 ntpdate[79756]: step time server <ipaddr1> offset 0.541754 sec
example-2: 11 May 15:49:48 ntpdate[99580]: Step Time Server <iPadDR1> Offset 0.541843 Sec
Example-3: 11 May 15:49:48 ntpdate[63251]: step time server <ipaddr1> offset 0.480573 sec

 

Ntp.drift dosyasını silin:

Komutta ntp.drift Dosya, sistem saatinin saat kaymasının bir kaydıdır. Sistem, yeterli veri topladıktan sonra bu dosyayı yeniden oluşturur.

  1. Kümedeki herhangi bir düğüm üzerinde bir SSH bağlantısı açın ve "kök" hesabını kullanarak oturum açın.

  2. Çalıştırmakta olduğunuz OneFS sürümüne bağlı olarak komut satırından aşağıdaki komutlardan birini çalıştırın:

isi_for_array -sX "rm -fv /var/crash/ntp.drift

Kümeyi, AD etki alanı denetleyicilerini NTP sunucuları olarak kullanacak şekilde yapılandırın:

  1. OneFS web yönetimi arayüzünü açın ve aşağıdakilerden birini yapın:

  • OneFS 7.0 ve sonraki sürümlerde Cluster Management > General Settings > NTP sekmesine tıklayın.

  • Her AD etki alanı denetleyicisi için Sunucu IP'si veya ana bilgisayar adı kutusuna IP adresini girin ve ardından Ekle'ye tıklayın.

  1. Submit (Gönder) öğesine tıklayın.

Alternatif olarak, bu görevi komut isteminden gerçekleştirebilirsiniz:

  1. Kümedeki herhangi bir düğümde SSH bağlantısı açın ve "kök" hesabını kullanarak oturum açın.

  2. Aşağıdaki komutu çalıştırın; burada <ipaddr1> ve <ipaddr2> birinci ve ikinci AD etki alanı denetleyicilerinin IP adresleridir:

 

isi_ntp_config ipaddr1
>sunucusu ekleme <isi_ntp_config ipaddr2 sunucusu <ekleme>

 

NOT
Yeni NTP ayarlarının kümedeki tüm düğümlere yayılması 23 saat sürebilir. Chimer düğümleri zamanlarını AD etki alanı denetleyicileriyle senkronize eder ve kümedeki düğümler de zamanlarını chimer düğümleriyle senkronize eder.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.