PowerScale: Klusterin aikaa ei synkronoida Active Directoryn kanssa

Summary: Klusterin aikaa ei synkronoida Active Directory -toimialueen ohjauskoneen kanssa.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Jos Active Directoryn aika poikkeaa klusteriajasta yli neljä minuuttia, asiakkaiden todennus saattaa epäonnistua. AD-toimialueeseen liitetyn klusterin on vastattava tarkasti toimialueen ohjauskoneen aikaa. Solmujen kellot voivat vaihdella sekunteina tai jopa minuutin välein, mutta vähintään neljän minuutin ero voi aiheuttaa seuraavia oireita:

  • Windows-asiakkaat eivät pysty todentamaan klusteria.
  • Ajan synkronointivirheistä lähetetään hälytyksiä.
  • pikanäppäimellä /var/log/messages Tiedosto sisältää seuraavanlaisia merkintöjä:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

OneFS:ssä ajan synkronointia hallitaan kahdella tavalla:

  • Sisäinen aikasynkronointi (klusterisolmujen sisällä)

  • Ulkoinen aikasynkronointi (klusterin ulkopuolella)

Kun klusteri liittyy AD-toimialueeseen, se käyttää oletusarvoisesti SMB (Server Messenger Block) -toimintoa ulkoiseen aikasynkronointiin sekunnin tarkkuudella. Sisäisesti Network Time Protocol (NTP) hallitsee ajan synkronointia millisekunnin tarkkuudella.

Voit estää suuret aikakorjaukset synkronoitaessa AD-toimialueen ohjauskoneen kanssa määrittämällä ohjauskoneen käyttämään NTP:tä SMB:n sijaan tarkkuuden parantamiseksi. Merkittävät muutokset voivat aiheuttaa suorituskykyongelmia, kuten Kerberos-lippujen näyttämisen vanhentuneina ja todennusvirheiden laukaisemisen.

Resolution

Tarkista klusterin ja toimialueiden välinen aikavinouma:

Tarkista solmujen ja toimialueen ohjauskoneiden päivämäärä ja kellonaika suorittamalla seuraavat komennot:

 

# isi_for_array -s päivämäärä
# isi_for_array -s /usr/samoin/bin/lw-get-dc-time <domain_name>

 

Varmista, että ajan synkronointi on määritetty oikein:

Määritä AD-toimialueen ohjauspalvelimet ja varmista, että klusteri synkronoituu oikein AD-ohjauskoneiden kanssa, suorittamalla alla olevat vaiheet.

NTP:n määrittäminen Active Directory -palvelimissa:

Windows 2003–2012 Server: määritä NTP osoittamaan NTP-palvelimiin. Lisätietoja on Microsoft TechNet -sivuston Windows Time S -palvelujen työkalut ja asetuksetTämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon. -sivulla.

MUISTIINPANO
Varmista, että kaksi AD-toimialueen ohjauskonetta on käytettävissä vikasietoisuutta varten, jos toiseen ei saada yhteyttä. Ajan on noudatettava tarkkaa hierarkiaa joko julkisilta NTP-palvelimilta tai sisäisestä lähteestä, kuten GPS:llä varustetusta järjestelmästä.

Varmista, että AD-toimialueen ohjauspalvelimet tukevat NTP:tä ja että palomuuri tai muut asetukset eivät estä NTP:tä:

  1. Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.

  2. Suorita seuraavat komennot, joissa <ipaddr1> ja <ipaddr2> ovat ensimmäisen ja toisen AD-toimialueen ohjauskoneen IP-osoitteita:

 

ntpdate -q -u <ipaddr1 ntpdate -q -u <ipaddr2>
>

  

Jos AD-toimialueen ohjauspalvelimet tukevat NTP:tä, kunkin komennon tulos näyttää seuraavanlaiselta:

Palvelin <iPadDR1>, kerros 1, siirtymä 0,427215, viive 0,04138
11. toukokuuta 15:45:46 NTPDATE[79498]: Säädä aikaa Palvelin <iPadDr1> offset 0,427215 sekuntia


Jos AD-toimialueen ohjauspalvelimet eivät tue NTP:tä, tulos näyttää seuraavanlaiselta, jolloin ota yhteyttä toimialueen järjestelmänvalvojaan.

 

B5-10-3: 11. toukokuuta 15:49:40 ntpdate[79741]: synkronointiin sopivaa palvelinta ei löytynyt

 

Määritä klusterin aika vastaamaan AD-toimialueen ohjauskoneen aikaa:

  1. Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.
  2. Suorita seuraava komento, jossa <ippaddr1> on sen AD-toimialueen ohjauskoneen IP-osoite, jonka kanssa haluat synkronoida klusterin:

isi_for_array -s "ntpdate -u -b <ipaddr1>"

 

Tulos näyttää seuraavanlaiselta:

 

Esimerkki-1: 11. toukokuuta 15:49:48 ntpdate[79756]: Vaiheaikapalvelin <iPaddr1> offset 0.541754 sek
Esimerkki-2: 11. toukokuuta 15:49:48 ntpdate[99580]: Vaiheaikapalvelin <iPaddr1> offset 0.541843 sek
Esimerkki-3: 11. toukokuuta 15:49:48 ntpdate[63251]: Vaiheaikapalvelin <iPaddr1> offset 0,480573 sekuntia

 

Poista ntp.drift-tiedosto:

pikanäppäimellä ntp.drift Tiedosto on järjestelmän kellon siirtymän tietue. Järjestelmä luo tiedoston uudelleen, kun siihen on kertynyt riittävästi tietoja.

  1. Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.

  2. Suorita komentorivillä jokin seuraavista komennoista käytössä olevan OneFS-version mukaan:

isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Määritä klusteri käyttämään AD-toimialueen ohjauskoneita NTP-palvelimina:

  1. Avaa OneFS-hallintakäyttöliittymä ja tee jokin seuraavista:

  • Valitse OneFS 7.0:ssa ja uudemmissa versioissa Cluster Management > General Settings > NTP -välilehti.

  • Kirjoita kunkin AD-toimialueen ohjauskoneen IP-osoite Palvelimen IP or hostname -ruutuun ja valitse sitten Add.

  1. Valitse Submit.

Vaihtoehtoisesti voit suorittaa tämän tehtävän komentokehotteessa:

  1. Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.

  2. Suorita seuraava komento, jossa <ipaddr1> ja <ipaddr2> ovat ensimmäisen ja toisen AD-toimialueen ohjauskoneen IP-osoitteita:

 

isi_ntp_config lisätä palvelimen <ipaddr1>
isi_ntp_config lisätä palvelimen <ipaddr2>

 

MUISTIINPANO
Voi kestää 23 tuntia, ennen kuin uudet NTP-asetukset leviävät klusterin kaikkiin solmuihin. Khimmeerisolmut synkronoivat aikansa AD-toimialueen ohjauskoneisiin, ja klusterin solmut synkronoivat aikansa summerisolmuihin.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.