PowerScale: Die Zeit auf dem Cluster ist nicht mit Active Directory synchronisiert.

Summary: Die Zeit auf dem Cluster ist nicht mit dem Active Directory Domain Controller synchronisiert.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Wenn sich die Active Directory-Zeit um mehr als vier Minuten von der Clusterzeit unterscheidet, können Clients möglicherweise nicht authentifiziert werden. Ein Cluster, der mit einer AD-Domain verbunden ist, muss genau mit der Zeit des Domain Controllers übereinstimmen. Die Node-Uhren können um Sekunden oder bis zu einer Minute abweichen, aber eine Abweichung von vier Minuten oder mehr kann die folgenden Symptome verursachen:

  • Windows-Clients können sich nicht beim Cluster authentifizieren.
  • Warnmeldungen werden über Zeitsynchronisationsfehler gesendet.
  • Die Spalte /var/log/messages Die Datei enthält Einträge, die den folgenden ähneln:
      
    2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

Cause

In OneFS wird die Zeitsynchronisation auf zwei Arten verwaltet:

  • Interne Zeitsynchronisation (innerhalb der Cluster-Nodes)

  • Externe Zeitsynchronisation (außerhalb des Clusters)

Wenn ein Cluster einer AD-Domain beitritt, verwendet es standardmäßig Server Messenger Block (SMB) für die externe Zeitsynchronisation, und zwar sekundengenau. Intern verwaltet das Network Time Protocol (NTP) die Zeitsynchronisation mit Genauigkeit von Millisekunden.

Um umfangreiche Zeitkorrekturen bei der Synchronisierung mit einem AD-Domain-Controller zu vermeiden, konfigurieren Sie den Controller so, dass NTP anstelle von SMB verwendet wird, um eine höhere Präzision zu erzielen. Umfangreiche Anpassungen können zu Performanceproblemen führen, z. B. wenn Kerberos-Tickets abgelaufen erscheinen und Authentifizierungsfehler auslösen.

Resolution

Überprüfen Sie die zeitliche Abweichung zwischen dem Cluster und den Domains:

Führen Sie die folgenden Befehle aus, um das Datum und die Uhrzeit auf den Nodes und den Domain Controllern zu überprüfen:

 

# isi_for_array -s date
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

 

Vergewissern Sie sich, dass die Zeitsynchronisierung ordnungsgemäß eingerichtet ist:

Führen Sie alle unten aufgeführten Schritte aus, um die AD-Domain-Controller zu konfigurieren und sicherzustellen, dass das Cluster ordnungsgemäß mit den AD-Controllern synchronisiert wird.

Konfigurieren Sie NTP auf den Active Directory-Servern:

Konfigurieren Sie NTP für Windows 2003-2012 Server so, dass es auf Ihre NTP-Server verweist. Weitere Informationen finden Sie auf der Seite Windows Time Services Tools und EinstellungenDieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies. auf der Microsoft TechNet-Website.

ANMERKUNG
Stellen Sie sicher, dass zwei AD-Domain-Controller für Redundanz verfügbar sind, falls einer nicht mehr erreichbar ist. Die Zeit muss einer genauen Hierarchie folgen, entweder von öffentlichen NTP-Servern oder einer internen Quelle, wie z. B. einem mit GPS ausgestatteten System.

Stellen Sie sicher, dass die AD-Domaincontroller NTP unterstützen und dass NTP nicht durch eine Firewall oder andere Einstellungen blockiert wird:

  1. Öffnen Sie eine SSH-Verbindung auf einem beliebigen Node im Cluster und melden Sie sich mit dem „root“-Konto an.

  2. Führen Sie die folgenden Befehle aus, wobei <ipaddr1> und <ipaddr2> sind die IP-Adressen des ersten und zweiten AD-Domain-Controllers:

 

ntpdate -q -u <ipaddr1>
ntpdate -q -u <ipaddr2>

  

Wenn die AD-Domaincontroller NTP unterstützen, sieht die Ausgabe für jeden Befehl in etwa wie folgt aus:

Server <ipaddr1>, stratum 1, offset 0.427215, delay 0.04138
11 May 15:45:46 ntpdate[79498]: Zeitserver <ipaddr1> offset 0.427215 sec anpassen


Wenn die AD-Domaincontroller NTP nicht unterstützen, sieht die Ausgabe ähnlich wie folgt aus. In diesem Fall sollten Sie sich an den Domainadministrator wenden, um Unterstützung zu erhalten.

 

b5-10-3: 11. Mai 15:49:40 ntpdate[79741]: kein für die Synchronisierung geeigneter Server gefunden

 

Stellen Sie die Uhrzeit auf dem Cluster so ein, dass sie mit der Zeit auf dem AD-Domain-Controller übereinstimmt:

  1. Öffnen Sie eine SSH-Verbindung auf einem beliebigen Node im Cluster und melden Sie sich mit dem „root“-Konto an.
  2. Führen Sie den folgenden Befehl aus, bei dem <ippaddr1> ist die IP-Adresse des AD-Domain-Controllers, mit dem das Cluster synchronisiert werden soll:

isi_for_array -s "ntpdate -u -b <ipaddr1>"

 

Die Ausgabe sieht in etwa wie folgt aus:

 

Beispiel-1: 11. Mai 15:49:48 ntpdate[79756]: Schrittzeitserver <ipaddr1> offset 0.541754 sec
example-2: 11. Mai 15:49:48 ntpdate[99580]: Schrittzeitserver <ipaddr1> offset 0.541843 sec
Beispiel-3: 11. Mai 15:49:48 ntpdate[63251]: Schrittzeitserver <ipaddr1> offset 0,480573 sec

 

Löschen Sie die Datei ntp.drift:

Die Spalte ntp.drift Datei ist ein Datensatz der Zeitabweichung der Systemuhr. Das System erstellt diese Datei neu, nachdem sie genügend Daten gesammelt hat.

  1. Öffnen Sie eine SSH-Verbindung auf einem beliebigen Node im Cluster und melden Sie sich mit dem Konto „root“ an.

  2. Führen Sie einen der folgenden Befehle über die Befehlszeile aus, je nachdem, welche Version von OneFS Sie ausführen:

isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Konfigurieren Sie das Cluster so, dass die AD-Domain-Controller als NTP-Server verwendet werden:

  1. Öffnen Sie die OneFS-Webverwaltungsschnittstelle und führen Sie einen der folgenden Schritte aus:

  • Klicken Sie in OneFS 7.0 und höher auf die Registerkarte Cluster Management > General Settings > NTP .

  • Geben Sie für jeden AD-Domain-Controller die IP-Adresse in das Feld Server-IP oder Hostname ein und klicken Sie dann auf Hinzufügen.

  1. Klicken Sie auf Submit.

Alternativ können Sie diese Aufgabe über die Eingabeaufforderung ausführen:

  1. Öffnen Sie eine SSH-Verbindung auf einem beliebigen Node im Cluster und melden Sie sich mit dem „root“-Konto an.

  2. Führen Sie den folgenden Befehl aus, bei dem <ipaddr1> und <ipaddr2> sind die IP-Adressen des ersten und zweiten AD-Domain-Controllers:

 

isi_ntp_config Server <ipaddr1>
hinzufügen isi_ntp_config Server <ipaddr2 hinzufügen>

 

ANMERKUNG
Es kann 23 Stunden dauern, bis die neuen NTP-Einstellungen auf alle Nodes im Cluster übertragen wurden. Die Chimer-Nodes synchronisieren ihre Zeiten mit den AD-Domain-Controllern und die Nodes im Cluster synchronisieren ihre Zeiten mit den Chimer-Nodes.

Affected Products

PowerScale, Isilon, PowerScale OneFS
Article Properties
Article Number: 000104070
Article Type: Solution
Last Modified: 03 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.