PowerScale: Klyngen synkroniseres ikke med Active Directory

Summary: Tiden på klyngen synkroniseres ikke med Active Directory-domenekontrolleren.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Hvis Active Directory-tiden avviker fra klyngetiden med mer enn fire minutter, kan det hende at klientene ikke godkjennes. En klynge som er koblet til et AD-domene, må samsvare nært med domenekontrollerens tid. Nodeklokker kan variere med sekunder eller opptil et minutt, men en forskjell på fire minutter eller mer kan forårsake følgende symptomer:

  • Windows-klienter kan ikke godkjenne klyngen.
  • Det sendes varsler om tidssynkroniseringsfeil.
  • Informasjonen i /var/log/messages Filen inneholder oppføringer som ligner på følgende:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

I OneFS administreres tidssynkronisering på to måter:

  • Intern tidssynkronisering (innenfor klyngenodene)

  • Ekstern tidssynkronisering (utenfor klyngen)

Når en klynge kobler seg til et AD-domene, bruker den Server Messenger-blokk (SMB) for ekstern tidssynkronisering som standard, nøyaktig til den andre. Internt administrerer Network Time Protocol (NTP) tidssynkronisering med millisekundpresisjon.

Hvis du vil forhindre store korrigeringer ved synkronisering med en AD-domenekontroller, konfigurerer du kontrolleren til å bruke NTP i stedet for SMB for større presisjon. Betydelige justeringer kan forårsake ytelsesproblemer, for eksempel Kerberos-billetter som er utløpt og utløser godkjenningsfeil.

Resolution

Bekreft tidsskjevheten mellom klyngen og domenene:

Kjør kommandoene nedenfor for å kontrollere dato og klokkeslett på nodene og domenekontrollerne:

 

# isi_for_array -s date
# isi_for_array -s /usr/likeledes/bin/lw-get-dc-time <domain_name>

 

Bekreft at tidssynkroniseringen er riktig konfigurert:

Utfør alle trinnene nedenfor for å konfigurere AD-domenekontrollerne og for å sikre at klyngen synkroniseres riktig med AD-kontrollerne.

Konfigurere NTP på Active Directory-servere:

For Windows 2003 - 2012 Server konfigurerer du NTP til å peke på NTP-serverne dine. Hvis du vil ha mer informasjon, kan du se siden Windows Time S ervices Tools and SettingsDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. på webområdet Microsoft TechNet.

NOTAT
Sørg for at to AD-domenekontrollere er tilgjengelige for redundans hvis den ene blir utilgjengelig. Tiden må følge et nøyaktig hierarki, enten fra offentlige NTP-servere eller en intern kilde som et GPS-utstyrt system.

Kontroller at AD-domenekontrollerne støtter NTP, og at NTP ikke er blokkert av en brannmur eller andre innstillinger:

  1. Åpne en SSH-tilkobling på en hvilken som helst node i klyngen, og logg inn ved hjelp av «rot»-kontoen.

  2. Kjør følgende kommandoer, der <ipaddr1> og <ipaddr2> er IP-adressene til den første og andre AD-domenekontrolleren:

 

ntpdate-q-u <ipaddr1>
ntpdate-q-u <ipaddr2>

  

Hvis AD-domenekontrollerne støtter NTP, ser utdataene for hver kommando omtrent slik ut:

server <ipaddr1>, stratum 1, offset 0.427215, forsinkelse 0.04138
11 mai 15:45:46 ntpdate [79498]: justere tid server <ipaddr1> offset 0.427215 sek


Hvis AD-domenekontrollerne ikke støtter NTP, ser utdataene omtrent slik ut, i så fall bør du kontakte domeneadministratoren for å få hjelp.

 

B5-10-3: 11 mai 15:49:40 ntpdate [79741]: ingen server egnet for synkronisering funnet

 

Angi tiden i klyngen slik at den samsvarer med tiden på AD-domenekontrolleren:

  1. Åpne en SSH-tilkobling på en hvilken som helst node i klyngen, og logg inn ved hjelp av «rot»-kontoen.
  2. Kjør følgende kommando der <ippaddr1> er IP-adressen til AD-domenekontrolleren som du vil at klyngen skal synkronisere med:

isi_for_array -s "ntpdate -u -b <ipaddr1>"

 

Utdataene ser omtrent slik ut:

 

Eksempel-1: 11 mai 15:49:48 ntpdate [79756]: trinn tid server <ipaddr1> offset 0,541754 sek
eksempel-2: 11 mai 15:49:48 ntpdate [99580]: trinn tid server <ipaddr1> offset 0,541843 sek
eksempel-3: 11 mai 15:49:48 ntpdate [63251]: trinn tid server <ipaddr1> offset 0,480573 sek

 

Slett filen ntp.drift:

Informasjonen i ntp.drift -filen er en oversikt over klokkedriften til systemklokken. Systemet gjenskaper denne filen etter at den har samlet tilstrekkelig med data.

  1. Åpne en SSH-tilkobling på en hvilken som helst node i klyngen, og logg på ved hjelp av «rot-kontoen».

  2. Kjør én av følgende kommandoer fra kommandolinjen, avhengig av hvilken OneFS-versjon du kjører:

isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Konfigurer klyngen til å bruke AD-domenekontrollerne som NTP-servere:

  1. Åpne webadministrasjonsgrensesnittet for OneFS, og gjør ett av følgende:

  • I OneFS 7.0 og nyere klikker du på Generelle innstillinger > for klyngeadministrasjon > NTP-fanen.

  • For hver AD-domenekontroller skriver du inn IP-adressen i boksen IP- eller vertsnavn for server , og deretter klikker du på Legg til.

  1. Klikk på Send inn.

Du kan også utføre denne oppgaven fra ledeteksten:

  1. Åpne en SSH-tilkobling på en hvilken som helst node i klyngen, og logg inn ved hjelp av «rot»-kontoen.

  2. Kjør følgende kommando, der <ipaddr1> og <ipaddr2> er IP-adressene til den første og andre AD-domenekontrolleren:

 

isi_ntp_config legge til server <ipaddr1>
isi_ntp_config legge til server <ipaddr2>

 

NOTAT
Det kan ta 23 timer før de nye NTP-innstillingene forplanter seg til alle nodene i klyngen. Chimer-nodene synkroniserer tidene sine med AD-domenekontrollerne, og nodene i klyngen synkroniserer tidene sine med kimernodene.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.