PowerScale: OneFS: Czas w klastrze nie jest zsynchronizowany z usługą Active Directory

• Klienci z systemem Windows nie mogą uwierzytelnić się w klastrze.
• Alerty są wysyłane o błędach synchronizacji czasu.
• Polecenie /var/log/messages Plik zawiera wpisy podobne do poniższych:
   

  2014-04-07T04:15:01-03:00 <4.5> example-1(id1) lsass[60726]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Clock skew too great)
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Resetting schannel due to status STATUS_TIME_DIFFERENCE_AT_DC (0xc0000133) while authenticating user 'LAB\jdoe'
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] AD_NetrlogonOpenSchannel(dc1.example.com) failed with 3221225779 (0xc0000133) (symbol: 'STATUS_TIME_DIFFERENCE_AT_DC')
  2014-04-07T07:41:28-03:00 <30.3> example-3(id3) lsass[59264]: [lsass] Network error connecting to EXAMPLE.COM. Error code: 40134 (symbol: LW_ERROR_RPC_ERROR)
  2014-04-07T07:41:28-03:00 <30.5> example-3(id3) lsass[59264]: [lsass] Domain 'example.com' is now offline

W OneFS synchronizacją czasu zarządza się na dwa sposoby:

• Wewnętrzna synchronizacja czasu (w obrębie węzłów klastra)

• Zewnętrzna synchronizacja czasu (poza klastrem)

Gdy klaster przyłącza się do domeny usługi AD, domyślnie używa protokołu SMB (Server Messenger Block) do zewnętrznej synchronizacji czasu, z dokładnością co do sekundy. Wewnętrznie protokół NTP (Network Time Protocol) zarządza synchronizacją czasu z dokładnością do milisekund.

Aby zapobiec dużym korekcjom czasu podczas synchronizacji z kontrolerem domeny usługi AD, skonfiguruj kontroler tak, aby używał protokołu NTP zamiast protokołu SMB w celu uzyskania większej precyzji. Znaczące korekty mogą powodować problemy z wydajnością, takie jak wygaśnięcie zgłoszeń Kerberos i wyzwalanie błędów uwierzytelniania.

Sprawdź przesunięcie czasowe między klastrem a domenami:

# isi_for_array -s date
# isi_for_array -s /usr/likewise/bin/lw-get-dc-time <domain_name>

Upewnij się, że synchronizacja czasu jest prawidłowo skonfigurowana:

Wykonaj wszystkie poniższe czynności, aby skonfigurować kontrolery domeny usługi AD i zapewnić prawidłową synchronizację klastra z kontrolerami usługi AD.

Konfiguracja NTP na serwerach Active Directory:

W przypadku systemu Windows Server 2003–2012 skonfiguruj usługę NTP tak, aby odwoływała się do serwerów NTP. Szczegółowe informacje można znaleźć na stronie Narzędzia i ustawienia usług czasowych systemu Windows w witrynie Microsoft TechNet w sieci Web.

NUTA:
Upewnij się, że dwa kontrolery domeny usługi AD są dostępne w celu zapewnienia nadmiarowości, jeśli jeden z nich stanie się nieosiągalny. Czas musi być zgodny z dokładną hierarchią, albo z publicznych serwerów NTP, albo z wewnętrznego źródła, takiego jak system wyposażony w GPS.

Sprawdź, czy kontrolery domeny usługi AD obsługują protokół NTP i czy protokół NTP nie jest blokowany przez zaporę lub inne ustawienia:

1. Otwórz połączenie SSH w węźle w klastrze i zaloguj się przy użyciu konta „root”.
2. Uruchom poniższe polecenia, w których <ipaddr1> i <ipaddr2> to adresy IP pierwszego i drugiego kontrolera domeny usługi AD:
   

   ntpdate -q -u <ipaddr1>
   ntpdate -q -u <ipaddr2>

Jeśli kontrolery domeny usługi AD obsługują protokół NTP, dane wyjściowe dla każdego polecenia wyglądają podobnie do następujących:

server <ipaddr1>, stratum 1, offset 0.427215, delay 0.04138
11 May 15:45:46 ntpdate[79498]: adjust time server <ipaddr1> offset 0.427215 sec

Jeśli kontrolery domeny usługi AD nie obsługują protokołu NTP, dane wyjściowe wyglądają podobnie do poniższych. W takim przypadku należy skontaktować się z administratorem domeny w celu uzyskania pomocy.

b5-10-3: 11 May 15:49:40 ntpdate[79741]: no server suitable for synchronization found

Ustaw czas w klastrze tak, aby odpowiadał czasowi na kontrolerze domeny usługi AD:

1. Otwórz połączenie SSH w węźle w klastrze i zaloguj się przy użyciu konta „root”.
2. Uruchom poniższe polecenie, w którym <ippaddr1> to adres IP kontrolera domeny usługi AD, z którym ma być synchronizowany klaster:

   isi_for_array -s "ntpdate -u -b <ipaddr1>"

Dane wyjściowe wyglądają podobnie do następujących:

example-1: 11 May 15:49:48 ntpdate[79756]: step time server <ipaddr1> offset 0.541754 sec
example-2: 11 May 15:49:48 ntpdate[99580]: step time server <ipaddr1> offset 0.541843 sec
example-3: 11 May 15:49:48 ntpdate[63251]: step time server <ipaddr1> offset 0.480573 sec

Usuń plik ntp.drift:

Polecenie ntp.drift jest zapisem dryfu zegara systemowego. System odtwarza ten plik po zgromadzeniu wystarczającej ilości danych.

1. Otwórz połączenie SSH w węźle w klastrze i zaloguj się przy użyciu konta „root”.

2. Uruchom jedno z następujących poleceń z wiersza poleceń, w zależności od używanej wersji OneFS:

   isi_for_array -sX "rm -fv /var/crash/ntp.drift"

Skonfiguruj klaster tak, aby używał kontrolerów domeny usługi AD jako serwerów NTP:

1. Otwórz sieciowy interfejs administracyjny OneFS i wykonaj jedną z następujących czynności:

• W OneFS WebUI kliknij kartę NTP Cluster Management > General Settings>.

• Dla każdego kontrolera domeny usługi AD wprowadź adres IP w polu Adres IP serwera lub nazwę hosta , a następnie kliknij przycisk Dodaj.

2. Kliknij przycisk Prześlij.

Alternatywnie możesz wykonać to zadanie z wiersza polecenia:

1. Otwórz połączenie SSH w węźle w klastrze i zaloguj się przy użyciu konta „root”.

2. Uruchom poniższe polecenie, w którym <ipaddr1> i <ipaddr2> to adresy IP pierwszego i drugiego kontrolera domeny usługi AD:

   isi_ntp_config add server <ipaddr1>
   isi_ntp_config add server <ipaddr2>