PowerScale: OneFS: Klusterin aikaa ei synkronoida Active Directoryn kanssa

• Windows-asiakkaat eivät pysty todentamaan klusteria.
• Ajan synkronointivirheistä lähetetään hälytyksiä.
• pikanäppäimellä /var/log/messages Tiedosto sisältää seuraavanlaisia merkintöjä:
   

  2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
  2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

OneFS:ssä ajan synkronointia hallitaan kahdella tavalla:

• Sisäinen aikasynkronointi (klusterisolmujen sisällä)

• Ulkoinen aikasynkronointi (klusterin ulkopuolella)

Kun klusteri liittyy AD-toimialueeseen, se käyttää oletusarvoisesti SMB (Server Messenger Block) -toimintoa ulkoiseen aikasynkronointiin sekunnin tarkkuudella. Sisäisesti Network Time Protocol (NTP) hallitsee ajan synkronointia millisekunnin tarkkuudella.

Voit estää suuret aikakorjaukset synkronoitaessa AD-toimialueen ohjauskoneen kanssa määrittämällä ohjauskoneen käyttämään NTP:tä SMB:n sijaan tarkkuuden parantamiseksi. Merkittävät muutokset voivat aiheuttaa suorituskykyongelmia, kuten Kerberos-lippujen näyttämisen vanhentuneina ja todennusvirheiden laukaisemisen.

Tarkista klusterin ja toimialueiden välinen aikavinouma:

# isi_for_array -s date
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

Varmista, että ajan synkronointi on määritetty oikein:

Määritä AD-toimialueen ohjauspalvelimet ja varmista, että klusteri synkronoituu oikein AD-ohjauskoneiden kanssa, suorittamalla alla olevat vaiheet.

NTP:n määrittäminen Active Directory -palvelimissa:

Windows 2003–2012 Server: määritä NTP viittaamaan NTP-palvelimiin. Lisätietoja on Microsoft TechNet -sivuston Windows-aikapalveluiden työkalut ja asetukset -sivulla.

MUISTIINPANO:
Varmista, että kaksi AD-toimialueen ohjauskonetta on käytettävissä vikasietoisuutta varten, jos toiseen ei saada yhteyttä. Ajan on noudatettava tarkkaa hierarkiaa joko julkisilta NTP-palvelimilta tai sisäisestä lähteestä, kuten GPS:llä varustetusta järjestelmästä.

Varmista, että AD-toimialueen ohjauspalvelimet tukevat NTP:tä ja että palomuuri tai muut asetukset eivät estä NTP:tä:

1. Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.
2. Suorita seuraavat komennot, joissa <ipaddr1> ja <ipaddr2> ovat ensimmäisen ja toisen AD-toimialueen ohjauskoneen IP-osoitteita:
   

   ntpdate -q -u <ipaddr1>
   ntpdate -q -u <ipaddr2>

Jos AD-toimialueen ohjauspalvelimet tukevat NTP:tä, kunkin komennon tulos näyttää seuraavanlaiselta:

server <ipaddr1>, stratum 1, offset 0.427215, delay 0.04138
11 May 15:45:46 ntpdate[79498]: adjust time server <ipaddr1> offset 0.427215 sec

Jos AD-toimialueen ohjauspalvelimet eivät tue NTP:tä, tulos näyttää seuraavanlaiselta, jolloin ota yhteyttä toimialueen järjestelmänvalvojaan.

b5-10-3: 11 May 15:49:40 ntpdate[79741]: no server suitable for synchronization found

Määritä klusterin aika vastaamaan AD-toimialueen ohjauskoneen aikaa:

1. Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.
2. Suorita seuraava komento, jossa <ippaddr1> on sen AD-toimialueen ohjauskoneen IP-osoite, jonka kanssa haluat synkronoida klusterin:

   isi_for_array -s "ntpdate -u -b <ipaddr1>"

Tulos näyttää seuraavanlaiselta:

example-1: 11 May 15:49:48 ntpdate[79756]: step time server <ipaddr1> offset 0.541754 sec
example-2: 11 May 15:49:48 ntpdate[99580]: step time server <ipaddr1> offset 0.541843 sec
example-3: 11 May 15:49:48 ntpdate[63251]: step time server <ipaddr1> offset 0.480573 sec

Poista ntp.drift-tiedosto:

pikanäppäimellä ntp.drift Tiedosto on järjestelmän kellon siirtymän tietue. Järjestelmä luo tiedoston uudelleen, kun siihen on kertynyt riittävästi tietoja.

1. Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.

2. Suorita komentorivillä jokin seuraavista komennoista käytössä olevan OneFS-version mukaan:

   isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Määritä klusteri käyttämään AD-toimialueen ohjauskoneita NTP-palvelimina:

1. Avaa OneFS-hallintakäyttöliittymä ja tee jokin seuraavista:

• Valitse OneFS-verkkokäyttöliittymässä Cluster Management > General Settings > NTP -välilehti.

• Kirjoita kunkin AD-toimialueen ohjauskoneen IP-osoite Palvelimen IP or hostname -ruutuun ja valitse sitten Add.

2. Valitse Submit.

Vaihtoehtoisesti voit suorittaa tämän tehtävän komentokehotteessa:

1. Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.

2. Suorita seuraava komento, jossa <ipaddr1> ja <ipaddr2> ovat ensimmäisen ja toisen AD-toimialueen ohjauskoneen IP-osoitteita:

   isi_ntp_config add server <ipaddr1>
   isi_ntp_config add server <ipaddr2>