PowerScale: La hora del clúster no está sincronizada con Active Directory

Summary: La hora del clúster no está sincronizada con la controladora de dominio de Active Directory.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Si la hora de Active Directory difiere de la hora del clúster en más de cuatro minutos, es posible que los clientes no puedan autenticarse. Un clúster unido a un dominio de AD debe coincidir estrechamente con la hora de la controladora de dominio. Los relojes de nodo pueden variar en segundos o hasta un minuto, pero una diferencia de cuatro minutos o más puede causar los siguientes síntomas:

  • Los clientes de Windows no pueden autenticarse en el clúster.
  • Se envían alertas sobre errores de sincronización de hora.
  • La variable /var/log/messages El archivo contiene entradas similares a las siguientes:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

En OneFS, la sincronización de hora se administra de dos maneras:

  • Sincronización de hora interna (dentro de los nodos del clúster)

  • Sincronización de hora externa (fuera del clúster)

Cuando un clúster se une a un dominio de AD, utiliza Server Messenger Block (SMB) para la sincronización de hora externa de manera predeterminada, con precisión al segundo. Internamente, Network Time Protocol (NTP) administra la sincronización de tiempo con una precisión de milisegundos.

Para evitar grandes correcciones de tiempo al sincronizar con una controladora de dominio de AD, configure la controladora para usar NTP en lugar de SMB para una mayor precisión. Los ajustes significativos pueden causar problemas de rendimiento, como vales de Kerberos que aparecen vencidos y desencadenan errores de autenticación.

Resolution

Verifique el sesgo de tiempo entre el clúster y los dominios:

Ejecute los siguientes comandos para verificar la fecha y la hora en los nodos y las controladoras de dominio:

 

# isi_for_array -s date
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

 

Confirme que la sincronización de hora esté configurada correctamente:

Realice todos los pasos que se indican a continuación para configurar las controladoras de dominio de AD y asegurarse de que el clúster se sincronice correctamente con las controladoras de AD.

Configure NTP en los servidores de Active Directory:

Para Windows Server 2003 - 2012, configure NTP para que apunte a los servidores NTP. Para obtener más información, consulte la página Herramientas y configuraciónEste hipervínculo lo redirige a un sitio web fuera de Dell Technologies. de los dispositivos de hora de Windows en el sitio web de Microsoft TechNet.

NOTA
Asegúrese de que dos controladoras de dominio de AD estén disponibles para la redundancia en caso de que uno se vuelva inaccesible. La hora debe seguir una jerarquía precisa, ya sea desde servidores NTP públicos o desde una fuente interna, como un sistema equipado con GPS.

Verifique que las controladoras de dominio de AD sean compatibles con NTP y que NTP no esté bloqueado por un firewall u otras configuraciones:

  1. Abra una conexión SSH en cualquier nodo en el clúster e inicie sesión con la cuenta “raíz”.

  2. Ejecute los siguientes comandos, en que <ipaddr1> y <ipaddr2> son las direcciones IP de la primera y segunda controladoras de dominio de AD:

 

ntpdate -q -u <ipaddr1>
ntpdate -q -u <ipaddr2>

  

Si las controladoras de dominio de AD admiten NTP, la salida de cada comando se ve similar a la siguiente:

servidor <ipaddr1>, estrato 1, compensación 0.427215, retraso 0.04138
11 May 15:45:46 ntpdate[79498]: ajustar la hora servidor <ipaddr1> compensación 0.427215 seg


Si las controladoras de dominio de AD no son compatibles con NTP, el resultado se ve similar al siguiente, en cuyo caso, debe comunicarse con el administrador de dominio para obtener ayuda.

 

B5-10-3: 11 May 15:49:40 ntpdate[79741]: no se encontró ningún servidor adecuado para la sincronización

 

Configure la hora en el clúster para que coincida con la hora en la controladora de dominio de AD:

  1. Abra una conexión SSH en cualquier nodo en el clúster e inicie sesión con la cuenta “raíz”.
  2. Ejecute el siguiente comando, en el que <ippaddr1> es la dirección IP de la controladora de dominio de AD con la que desea que se sincronice el clúster:

isi_for_array -s "ntpdate -u -b <ipaddr1>"

 

El resultado se ve similar al siguiente:

 

Ejemplo-1: 11 May 15:49:48 ntpdate[79756]: step time server <ipaddr1> offset 0.541754 seg
example-2: 11 May 15:49:48 ntpdate[99580]: step time server <ipaddr1> offset 0.541843 seg
example-3: 11 May 15:49:48 ntpdate[63251]: step time server <ipaddr1> offset 0.480573 seg

 

Elimine el archivo ntp.drift:

La variable ntp.drift es un registro de la desviación del reloj del sistema. El sistema vuelve a crear este archivo después de acumular datos suficientes.

  1. Abra una conexión de SSH en cualquier nodo en el clúster e inicie sesión con la cuenta "raíz".

  2. Ejecute uno de los siguientes comandos desde la línea de comandos, según la versión de OneFS que esté ejecutando:

isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Configure el clúster para utilizar las controladoras de dominio de AD como servidores NTP:

  1. Abra la interfaz de administración web de OneFS y realice una de las siguientes acciones:

  • En OneFS 7.0 y versiones posteriores, haga clic en la pestaña Cluster Management > General Settings > NTP .

  • Para cada controladora de dominio de AD, ingrese la dirección IP en el cuadro Server IP or hostname y , a continuación, haga clic en Add.

  1. Haga clic en Submit (Enviar).

Como alternativa, puede realizar esta tarea desde el símbolo del sistema:

  1. Abra una conexión SSH en cualquier nodo en el clúster e inicie sesión con la cuenta “raíz”.

  2. Ejecute el siguiente comando, en el que <ipaddr1> y <ipaddr2> son las direcciones IP de la primera y segunda controladoras de dominio de AD:

 

isi_ntp_config agregar servidor <ipaddr1>
isi_ntp_config agregar servidor <ipaddr2>

 

NOTA
La nueva configuración de NTP puede tardar 23 horas en propagarse a todos los nodos del clúster. Los nodos de timbre sincronizan sus horas con las controladoras de dominio de AD y los nodos del clúster sincronizan sus horas con los nodos de timbre.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.