PowerScale. OneFS. Время в кластере не синхронизировано с Active Directory

• Клиенты Windows не могут аутентифицироваться в кластере.
• Отправляются оповещения об ошибках синхронизации времени.
• Переменная /var/log/messages Файл содержит записи, аналогичные следующей:
   

  2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
  2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

В OneFS синхронизация времени управляется двумя способами:

• Внутренняя синхронизация времени (в узлах кластера)

• Внешняя синхронизация времени (за пределами кластера)

Когда кластер присоединяется к домену AD, он по умолчанию использует блок SMB (Server Messenger) для внешней синхронизации времени с точностью до секунды. Внутри системы протокол NTP (Network Time Protocol) управляет синхронизацией времени с точностью до миллисекунды.

Чтобы избежать больших временных корректировок при синхронизации с контроллером домена Active Directory, настройте контроллер для использования NTP вместо SMB для большей точности. Значительные корректировки могут привести к проблемам производительности, например к тому, что срок действия билетов Kerberos истек, что приведет к ошибкам проверки подлинности.

Проверьте разницу во времени между кластером и доменами:

# isi_for_array -s date
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

Убедитесь, что синхронизация времени настроена правильно.

Выполните все указанные ниже действия, чтобы настроить контроллеры домена Active Directory и обеспечить правильную синхронизацию кластера с контроллерами Active Directory.

Настройте NTP на серверах Active Directory.

Для Windows 2003 - 2012 Server настройте NTP так, чтобы он ссылался на серверы NTP. Дополнительные сведения см. на странице Средства и настройки служб времени Windows на веб-сайте Microsoft TechNet.

ЗАМЕТКА:
Убедитесь, что два контроллера домена Active Directory доступны для резервирования, если один из них станет недоступен. Время должно соответствовать точной иерархии, либо из общедоступных серверов NTP, либо из внутреннего источника, такого как система с GPS.

Убедитесь, что контроллеры домена Active Directory поддерживают NTP и что NTP не заблокирован межсетевым экраном или другими параметрами.

1. Установите соединение по протоколу SSH с узлом и войдите в систему с помощью учетной записи root.
2. Выполните следующие команды, где <ipaddr1> и <ipaddr2> — IP-адреса первого и второго контроллеров домена Active Directory;
   

   ntpdate -q -u <ipaddr1>
   ntpdate -q -u <ipaddr2>

Если контроллеры домена Active Directory поддерживают NTP, выходные данные каждой команды выглядят следующим образом:

server <ipaddr1>, stratum 1, offset 0.427215, delay 0.04138
11 May 15:45:46 ntpdate[79498]: adjust time server <ipaddr1> offset 0.427215 sec

Если контроллеры домена Active Directory не поддерживают NTP, выходные данные будут выглядеть следующим образом, и в этом случае следует обратиться за помощью к администратору домена.

b5-10-3: 11 May 15:49:40 ntpdate[79741]: no server suitable for synchronization found

Установите время в кластере таким образом, чтобы оно совпадало со временем контроллера домена Active Directory.

1. Установите соединение по протоколу SSH с узлом и войдите в систему с помощью учетной записи root.
2. Выполните следующую команду, где <ippaddr1> — IP-адрес контроллера домена Active Directory, с которым должен синхронизироваться кластер:

   isi_for_array -s "ntpdate -u -b <ipaddr1>"

Выходные данные выглядят следующим образом:

example-1: 11 May 15:49:48 ntpdate[79756]: step time server <ipaddr1> offset 0.541754 sec
example-2: 11 May 15:49:48 ntpdate[99580]: step time server <ipaddr1> offset 0.541843 sec
example-3: 11 May 15:49:48 ntpdate[63251]: step time server <ipaddr1> offset 0.480573 sec

Удалите файл ntp.drift:

Переменная ntp.drift Файл — это запись дрейфа системных часов. Система повторно создает этот файл после накопления достаточного объема данных.

1. Установите соединение по протоколу SSH с узлом и войдите в систему с помощью учетной записи root.

2. Выполните одну из следующих команд в командной строке в зависимости от используемой версии OneFS:

   isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Настройте кластер для использования контроллеров домена Active Directory в качестве серверов NTP.

1. Откройте веб-интерфейс администрирования OneFS и выполните одно из следующих действий.

• В веб-интерфейсе OneFS выберите вкладку «Cluster Management > General Settings > » NTP .

• Для каждого контроллера домена Active Directory введите IP-адрес в поле Server IP or hostname , а затем нажмите Add.

2. Нажмите кнопку Submit.

Кроме того, эту задачу можно выполнить из командной строки:

1. Установите соединение по протоколу SSH с узлом и войдите в систему с помощью учетной записи root.

2. Выполните следующую команду, в которой <ipaddr1> и <ipaddr2> — IP-адреса первого и второго контроллеров домена Active Directory;

   isi_ntp_config add server <ipaddr1>
   isi_ntp_config add server <ipaddr2>