PowerScale: OneFS: Tiden på klyngen synkroniseres ikke med Active Directory

• Windows-klienter kan ikke godkendes til klyngen.
• Der sendes advarsler om tidssynkroniseringsfejl.
• Ikonet /var/log/messages fil indeholder poster, der ligner følgende:
   

  2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
  2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

I OneFS administreres tidssynkronisering på to måder:

• Intern tidssynkronisering (inden for klyngenoderne)

• Ekstern tidssynkronisering (uden for klyngen)

Når en klynge tilsluttes et AD-domæne, bruger den som standard SMB (Server Messenger Block) til ekstern tidssynkronisering, der er nøjagtig til sekundet. Internt administrerer Network Time Protocol (NTP) tidssynkronisering med millisekunders præcision.

For at forhindre store tidskorrektioner ved synkronisering med en AD-domænecontroller skal du konfigurere controlleren til at bruge NTP i stedet for SMB for større præcision. Væsentlige justeringer kan forårsage problemer med ydeevnen, f.eks. at Kerberos-billetter ser ud til at være udløbet og udløser godkendelsesfejl.

Kontrollér tidsforskydningen mellem klyngen og domænerne:

# isi_for_array -s date
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

Bekræft, at tidssynkroniseringen er konfigureret korrekt:

Udfør alle nedenstående trin for at konfigurere AD-domænecontrollerne og sikre, at klyngen synkroniseres korrekt med AD-controllerne.

Konfigurer NTP på Active Directory-servere:

For Windows 2003 - 2012 Server skal du konfigurere NTP til at referere til dine NTP-servere. Du kan finde flere oplysninger på siden Windows Time Services-værktøjer og -indstillinger på webstedet Microsoft TechNet.

SEDDEL:
Sørg for, at to AD-domænecontrollere er tilgængelige for redundans, hvis den ene ikke kan nås. Tiden skal følge et nøjagtigt hierarki, enten fra offentlige NTP-servere eller en intern kilde såsom et GPS-udstyret system.

Kontroller, at AD-domænecontrollerne understøtter NTP, og at NTP ikke er blokeret af en firewall eller andre indstillinger:

1. Åbn en SSH -forbindelse på en hvilken som helst node i klyngen, og log ind ved hjælp af "root"-kontoen.
2. Kør følgende kommandoer, hvor <ipaddr1> og <ipaddr2> er IP-adresserne på den første og anden AD-domænecontroller:
   

   ntpdate -q -u <ipaddr1>
   ntpdate -q -u <ipaddr2>

Hvis AD-domænecontrollerne understøtter NTP, ser outputtet for hver kommando nogenlunde ud som følger:

server <ipaddr1>, stratum 1, offset 0.427215, delay 0.04138
11 May 15:45:46 ntpdate[79498]: adjust time server <ipaddr1> offset 0.427215 sec

Hvis AD-domænecontrollerne ikke understøtter NTP, ser outputtet ud som følgende, i hvilket tilfælde du skal kontakte domæneadministratoren for at få hjælp.

b5-10-3: 11 May 15:49:40 ntpdate[79741]: no server suitable for synchronization found

Indstil tiden på klyngen, så den svarer til tiden på AD-domænecontrolleren:

1. Åbn en SSH -forbindelse på en hvilken som helst node i klyngen, og log ind ved hjælp af "root"-kontoen.
2. Kør følgende kommando, hvor <ippaddr1> er IP-adressen på den AD-domænecontroller, som klyngen skal synkronisere med:

   isi_for_array -s "ntpdate -u -b <ipaddr1>"

Outputtet ser sådan ud:

example-1: 11 May 15:49:48 ntpdate[79756]: step time server <ipaddr1> offset 0.541754 sec
example-2: 11 May 15:49:48 ntpdate[99580]: step time server <ipaddr1> offset 0.541843 sec
example-3: 11 May 15:49:48 ntpdate[63251]: step time server <ipaddr1> offset 0.480573 sec

Slet filen ntp.drift:

Ikonet ntp.drift Fil er en registrering af systemurets urdrift. Systemet genopretter denne fil, når den har akkumuleret tilstrækkelige data.

1. Åbn en SSH -forbindelse på en hvilken som helst node i klyngen, og log ind ved hjælp af "root"-kontoen.

2. Kør en af følgende kommandoer fra kommandolinjen, afhængigt af hvilken version af OneFS du kører:

   isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Konfigurer klyngen til at bruge AD-domænecontrollere som NTP-servere:

1. Åbn OneFS-webadministrationsgrænsefladen, og gør et af følgende:

• I OneFS WebUI skal du klikke på fanen Klyngeadministration > Generelle indstillinger > NTP .

• For hver AD-domænecontroller skal du indtaste IP-adressen i feltet Server-IP eller værtsnavn og derefter klikke på Tilføj.

2. Klik på Send.

Alternativt kan du udføre denne opgave fra kommandoprompten:

1. Åbn en SSH -forbindelse på en hvilken som helst node i klyngen, og log ind ved hjælp af "root"-kontoen.

2. Kør følgende kommando, hvor <ipaddr1> og <ipaddr2> er IP-adresserne på den første og anden AD-domænecontroller:

   isi_ntp_config add server <ipaddr1>
   isi_ntp_config add server <ipaddr2>