PowerScale: Tiden på klyngen synkroniseres ikke med Active Directory

Summary: Tiden på klyngen synkroniseres ikke med Active Directory-domænecontrolleren.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Hvis Active Directory-tiden afviger mere end fire minutter fra klyngetiden, kan klienterne muligvis ikke godkende. En klynge, der er knyttet til et AD-domæne, skal nøje matche domænecontrollerens tid. Nodeure kan variere med sekunder eller op til et minut, men en forskel på fire minutter eller mere kan forårsage følgende symptomer:

  • Windows-klienter kan ikke godkendes til klyngen.
  • Der sendes advarsler om tidssynkroniseringsfejl.
  • Ikonet /var/log/messages fil indeholder poster, der ligner følgende:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

I OneFS administreres tidssynkronisering på to måder:

  • Intern tidssynkronisering (inden for klyngenoderne)

  • Ekstern tidssynkronisering (uden for klyngen)

Når en klynge tilsluttes et AD-domæne, bruger den som standard SMB (Server Messenger Block) til ekstern tidssynkronisering, der er nøjagtig til sekundet. Internt administrerer Network Time Protocol (NTP) tidssynkronisering med millisekunders præcision.

For at forhindre store tidskorrektioner ved synkronisering med en AD-domænecontroller skal du konfigurere controlleren til at bruge NTP i stedet for SMB for større præcision. Væsentlige justeringer kan forårsage problemer med ydeevnen, f.eks. at Kerberos-billetter ser ud til at være udløbet og udløser godkendelsesfejl.

Resolution

Kontrollér tidsforskydningen mellem klyngen og domænerne:

Kør nedenstående kommandoer for at kontrollere dato og klokkeslæt på noderne og domænecontrollerne:

 

# isi_for_array -s dato
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

 

Bekræft, at tidssynkroniseringen er konfigureret korrekt:

Udfør alle nedenstående trin for at konfigurere AD-domænecontrollerne og sikre, at klyngen synkroniseres korrekt med AD-controllerne.

Konfigurer NTP på Active Directory-servere:

For Windows 2003-2012 Server skal du konfigurere NTP til at pege på dine NTP-servere. Du kan finde flere oplysninger på siden Windows Time S-værktøjer og -indstillingerDette hyperlink fører dig til et websted uden for Dell Technologies. på webstedet Microsoft TechNet.

SEDDEL
Sørg for, at to AD-domænecontrollere er tilgængelige for redundans, hvis den ene ikke kan nås. Tiden skal følge et nøjagtigt hierarki, enten fra offentlige NTP-servere eller en intern kilde såsom et GPS-udstyret system.

Kontroller, at AD-domænecontrollerne understøtter NTP, og at NTP ikke er blokeret af en firewall eller andre indstillinger:

  1. Åbn en SSH -forbindelse på en hvilken som helst node i klyngen, og log ind ved hjælp af "root"-kontoen.

  2. Kør følgende kommandoer, hvor <ipaddr1> og <ipaddr2> er IP-adresserne på den første og anden AD-domænecontroller:

 

ntpdate -q -u <ipaddr1>
ntpdate -q -u <ipaddr2>

  

Hvis AD-domænecontrollerne understøtter NTP, ser outputtet for hver kommando nogenlunde ud som følger:

server <ipaddr1>, stratum 1, forskydning 0,427215, forsinkelse 0,04138
11 maj 15:45:46 ntpdate[79498]: juster tid server <ipaddr1> forskydning 0,427215 sek


Hvis AD-domænecontrollerne ikke understøtter NTP, ser outputtet ud som følgende, i hvilket tilfælde du skal kontakte domæneadministratoren for at få hjælp.

 

B5-10-3: 11 May 15:49:40 ntpdate[79741]: ingen server egnet til synkronisering fundet

 

Indstil tiden på klyngen, så den svarer til tiden på AD-domænecontrolleren:

  1. Åbn en SSH -forbindelse på en hvilken som helst node i klyngen, og log ind ved hjælp af "root"-kontoen.
  2. Kør følgende kommando, hvor <ippaddr1> er IP-adressen på den AD-domænecontroller, som klyngen skal synkronisere med:

isi_for_array -s "ntpdate -u -b <ipaddr1>"

 

Outputtet ser sådan ud:

 

Eksempel-1: 11 maj 15:49:48 ntpdate[79756]: trin tid server <ipaddr1> offset 0,541754 sek
eksempel-2: 11 maj 15:49:48 ntpdate[99580]: trin tid server <ipaddr1> offset 0,541843 sek
eksempel-3: 11 maj 15:49:48 ntpdate[63251]: trin tid server <ipaddr1> offset 0,480573 sek

 

Slet filen ntp.drift:

Ikonet ntp.drift Fil er en registrering af systemurets urdrift. Systemet gendanner denne fil, når den har akkumuleret tilstrækkelige data.

  1. Åbn en SSH-forbindelse på en hvilken som helst node i klyngen, og log på med "root"-kontoen.

  2. Kør en af følgende kommandoer fra kommandolinjen, afhængigt af hvilken version af OneFS du kører:

isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Konfigurer klyngen til at bruge AD-domænecontrollere som NTP-servere:

  1. Åbn OneFS-webadministrationsgrænsefladen, og gør et af følgende:

  • I OneFS 7.0 og nyere skal du klikke på fanen Klyngeadministration > Generelle indstillinger > NTP .

  • For hver AD-domænecontroller skal du indtaste IP-adressen i feltet Server-IP eller værtsnavn og derefter klikke på Tilføj.

  1. Klik på Send.

Alternativt kan du udføre denne opgave fra kommandoprompten:

  1. Åbn en SSH -forbindelse på en hvilken som helst node i klyngen, og log ind ved hjælp af "root"-kontoen.

  2. Kør følgende kommando, hvor <ipaddr1> og <ipaddr2> er IP-adresserne på den første og anden AD-domænecontroller:

 

isi_ntp_config tilføj server <ipaddr1>
isi_ntp_config tilføj server <ipaddr2>

 

SEDDEL
Det kan tage 23 timer, før de nye NTP-indstillinger overføres til alle noderne i klyngen. Chimer-noderne synkroniserer deres tider med AD-domænecontrollerne, og noderne i klyngen synkroniserer deres tider med chimer-noderne.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.