PowerScale: Czas w klastrze nie jest zsynchronizowany z usługą Active Directory

Summary: Czas w klastrze nie jest zsynchronizowany z kontrolerem domeny usługi Active Directory.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Jeśli czas usługi Active Directory różni się od czasu klastra o więcej niż cztery minuty, uwierzytelnianie klientów może zakończyć się niepowodzeniem. Klaster przyłączony do domeny usługi AD musi ściśle odpowiadać czasowi kontrolera domeny. Zegary węzłów mogą różnić się o sekundy lub do minuty, ale różnica czterech minut lub więcej może powodować następujące objawy:

  • Klienci z systemem Windows nie mogą uwierzytelnić się w klastrze.
  • Alerty są wysyłane o błędach synchronizacji czasu.
  • Polecenie /var/log/messages Plik zawiera wpisy podobne do poniższych:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

W OneFS synchronizacją czasu zarządza się na dwa sposoby:

  • Wewnętrzna synchronizacja czasu (w obrębie węzłów klastra)

  • Zewnętrzna synchronizacja czasu (poza klastrem)

Gdy klaster przyłącza się do domeny usługi AD, domyślnie używa protokołu SMB (Server Messenger Block) do zewnętrznej synchronizacji czasu, z dokładnością co do sekundy. Wewnętrznie protokół NTP (Network Time Protocol) zarządza synchronizacją czasu z dokładnością do milisekund.

Aby zapobiec dużym korekcjom czasu podczas synchronizacji z kontrolerem domeny usługi AD, skonfiguruj kontroler tak, aby używał protokołu NTP zamiast protokołu SMB w celu uzyskania większej precyzji. Znaczące korekty mogą powodować problemy z wydajnością, takie jak wygaśnięcie zgłoszeń Kerberos i wyzwalanie błędów uwierzytelniania.

Resolution

Sprawdź przesunięcie czasowe między klastrem a domenami:

Uruchom poniższe polecenia, aby sprawdzić datę i godzinę na węzłach i kontrolerach domeny:

 

# isi_for_array -s data
# isi_for_array -s /usr/podobnie/bin/lw-get-dc-czas <domain_name>

 

Upewnij się, że synchronizacja czasu jest prawidłowo skonfigurowana:

Wykonaj wszystkie poniższe czynności, aby skonfigurować kontrolery domeny usługi AD i zapewnić prawidłową synchronizację klastra z kontrolerami usługi AD.

Konfiguracja NTP na serwerach Active Directory:

W przypadku systemu Windows 2003–2012 Server skonfiguruj usługę NTP tak, aby wskazywała serwery NTP. Szczegółowe informacje można znaleźć na stronie Narzędzia i ustawieniaKliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. usług Windows Time S w witrynie Microsoft TechNet w sieci Web.

NUTA
Upewnij się, że dwa kontrolery domeny usługi AD są dostępne w celu zapewnienia nadmiarowości, jeśli jeden z nich stanie się nieosiągalny. Czas musi być zgodny z dokładną hierarchią, albo z publicznych serwerów NTP, albo z wewnętrznego źródła, takiego jak system wyposażony w GPS.

Sprawdź, czy kontrolery domeny usługi AD obsługują protokół NTP i czy protokół NTP nie jest blokowany przez zaporę lub inne ustawienia:

  1. Otwórz połączenie SSH w węźle w klastrze i zaloguj się przy użyciu konta „root”.

  2. Uruchom poniższe polecenia, w których <ipaddr1> i <ipaddr2> to adresy IP pierwszego i drugiego kontrolera domeny usługi AD:

 

ntpdate -q -u <ipaddr1>
ntpdate -q -u <ipaddr2>

  

Jeśli kontrolery domeny usługi AD obsługują protokół NTP, dane wyjściowe dla każdego polecenia wyglądają podobnie do następujących:

serwer <ipaddr1>, warstwa 1, przesunięcie 0,427215, opóźnienie 0,04138
11 maja 15:45:46 ntpdate[79498]: regulacja przesunięcia serwera <czasu ipaddr1> 0,427215 s


Jeśli kontrolery domeny usługi AD nie obsługują protokołu NTP, dane wyjściowe wyglądają podobnie do poniższych. W takim przypadku należy skontaktować się z administratorem domeny w celu uzyskania pomocy.

 

B5-10-3: 11 maja 15:49:40 ntpdate[79741]: nie znaleziono serwera odpowiedniego do synchronizacji

 

Ustaw czas w klastrze tak, aby odpowiadał czasowi na kontrolerze domeny usługi AD:

  1. Otwórz połączenie SSH w węźle w klastrze i zaloguj się przy użyciu konta „root”.
  2. Uruchom poniższe polecenie, w którym <ippaddr1> to adres IP kontrolera domeny usługi AD, z którym ma być synchronizowany klaster:

isi_for_array -s "ntpdate -u -b <ipaddr1>"

 

Dane wyjściowe wyglądają podobnie do następujących:

 

Przykład-1: 11 maja 15:49:48 ntpdate[79756]: czas kroku serwer <ipaddr1> przesunięcie 0.541754 s
przykład-2: 11 maja 15:49:48 ntpdate[99580]: step time server <ipaddr1> offset 0.541843 sec
example-3: 11 maja 15:49:48 ntpdate[63251]: czas kroku serwer <ipaddr1> przesunięcie 0.480573 s

 

Usuń plik ntp.drift:

Polecenie ntp.drift jest zapisem dryfu zegara systemowego. System odtworzy ten plik po zgromadzeniu wystarczającej ilości danych.

  1. otwórz połączenie SSH na dowolnym węźle w klastrze i zaloguj się przy użyciu konta „głównego”.

  2. Uruchom jedno z następujących poleceń z wiersza poleceń, w zależności od używanej wersji OneFS:

isi_for_array -sX "rm -fv /zmienna/awaria/ntp.drift"

Skonfiguruj klaster tak, aby używał kontrolerów domeny usługi AD jako serwerów NTP:

  1. Otwórz sieciowy interfejs administracyjny OneFS i wykonaj jedną z następujących czynności:

  • W OneFS 7.0 i nowszych kliknij kartę NTP Cluster Management > General Settings>.

  • Dla każdego kontrolera domeny usługi AD wprowadź adres IP w polu Adres IP serwera lub nazwę hosta , a następnie kliknij przycisk Dodaj.

  1. Kliknij przycisk Prześlij.

Alternatywnie możesz wykonać to zadanie z wiersza polecenia:

  1. Otwórz połączenie SSH w węźle w klastrze i zaloguj się przy użyciu konta „root”.

  2. Uruchom poniższe polecenie, w którym <ipaddr1> i <ipaddr2> to adresy IP pierwszego i drugiego kontrolera domeny usługi AD:

 

isi_ntp_config dodać serwer <iPadDR1>
isi_ntp_config dodać serwer <iPadDR2>

 

NUTA
Propagacja nowych ustawień NTP do wszystkich węzłów w klastrze może potrwać 23 godziny. Węzły chimer synchronizują swoje czasy z kontrolerami domeny usługi AD, a węzły w klastrze synchronizują swoje czasy z węzłami chimer.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.