подскажите по настройке NTP

[n0000b]

Добрый день.
Ребят проблема следующая.
Обратил внимание что хранилка отвалилась от домена AD, зашел смотрю рассинхрон на 6 минут, ну думаю как раз тикет кербероса сдох и все.
Дальше не понял, смотрю сетевые настройки, все Ок.
Смотрю настройки NTP, прописаны все контроллеры домена, все как положено.
DNS отрабатывает, все пучком.
Вроде как все сконфигурировано должным образом, а разбег во времени никуда не делся, хранилка так на локальном времени и живет.
Подскажите в какую сторону копать, линуксойд я посредственный, но в состоянии по ману все сделать.

 

[Yuriy]

Смотрю настройки NTP, прописаны все контроллеры домена, все как положено.

Не надо все контроллеры домена, только "главный", который является сервером времени для домена. Как вариант - прописать NTP сервера из интернета, те же, которые указаны на контроллере домена (он то синхронизируется с NTP серверами?).

FreeNAS случайно не в виртуалке? Там могут быть проблемы со временем.

 

[n0000b]

что вы подразумеваете под словом "главный", у нас развернутая доменная сеть с пятью уровнями, мы на третьем.И время нашему домену растаскивается и домена второго уровня стало быть, согласно иерархии времени в Active Directory.
В любом случае оставил в настройках NTP, только один ip-адрес одного из контроллеров.

Можно как-то принудительно пнуть на синхронизации и по логам посмотреть что не так конкретно, на каком этапе?

 

[Yuriy]

Вероятно, вышестоящий сервер второго уровня с сервером времени недоступен для FreeNAS, что Вы и видите по рассогласованию часов.
Настроить на NTP сервер из интернета Вы можете?

 

[n0000b]

К сожалению пока нет такой возможности, сеть на данный момент изолирована.Пока вручную подогнал время на фринасе -+30 секунд от времени КД.
Заметил странность, беру другие хосты, которые не являются участниками домена AD, ставлю ручную синхронизацию на dc01 и все взлетает.Время синхронизируется.Почему фринас его не подхватывает?Сервер указываю и по ip-aдресу и по fqdn.

 

[chs]

А доступен NTP на контроллере домена к которому Вы обращаетесь ? Или там только Windows Time ?

 

[Yuriy]

А что показывает вывод w32tm /monitor на доменных компах в том же сегменте? Какой сервер времени используется как основной?

FreeNAS ведь введен в домен? Он есть в списке доменных компьютеров в соответствующей оснастке?
При Вашей непростой сети могут быть ограничения по доступу к некоторым КД.

 

[Mihalich]

У меня на роутере NTP поднят, всякие сетевые штуки и юникс машины с ним синхронятся

 

[Yuriy]

Кстати, о какой версии FreeNAS мы говорим?
Я использую только FreeNAS-11.1-U7
Проблем с синхронизацией времени от КД и от внешних NTP серверов не возникало.

 

[n0000b]

А доступен NTP на контроллере домена к которому Вы обращаетесь ? Или там только Windows Time ?

Отдельного NTP нет. Windows Time.

А что показывает вывод w32tm /monitor на доменных компах в том же сегменте? Какой сервер времени используется как основной?

FreeNAS ведь введен в домен? Он есть в списке доменных компьютеров в соответствующей оснастке?
При Вашей непростой сети могут быть ограничения по доступу к некоторым КД.

Вывод w32tm /monitor:

C:\Users\admin>w32tm /monitor
dc01.xxx.yyy.zzz *** PDC ***[10.22.0.10:123]:
ICMP: 0ms задержка
NTP: +0.0000000s смещение относительно dc01.xxx.yyy.zzz
RefID: (неизвестный) [0x500C4D0A]
Страта: 3
dc02.xxx.yyy.zzz[10.22.0.36:123]:
ICMP: 0ms задержка
NTP: -0.0132121s смещение относительно dc01.xxx.yyy.zzz
RefID: dc01.xxx.yyy.zzz [10.22.0.10]
Страта: 4

Предупреждение:
Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
неверно, поскольку поле RefID в пакетах времени различается в
разных реализациях NTP и может не использовать IP-адреса.

Freenas в домен AD введен.Находится на данный момент в статусе Enable, мониторинг включен.
P.S.FreeNAS-11.1-U7

 

[Yuriy]

dc01.xxx.yyy.zzz *** PDC ***[10.22.0.10:123]:
Страта: 3

dc01 - это Ваш основной сервер времени в Вашем сегменте (то, что я назвал "главный"), dc02 - вторичный. Проверьте пингами в обе стороны с FreeNAS и с dc01 по IP и по fqdn доступность. То же с dc02.
Есть вероятность какой то блокировки. А какой сервер Вы указывали при введении FreeNAS в домен? Вероятно один из этих двух?

FreeNAS и dc01, dc02 в одном L2 сегменте? Нет ли какой либо хитрой маршрутизации между ними?
Может, Ваши безопасники блокируют NTP протокол?

 

[n0000b]

При вводе в домен там в оснастке указывается риалм а не конкретный сервер же, указывал xxx.yyy.zzz, доменную учетку админа и все.Он вошел без проблем.Эхо-запросы проходят в обе стороны как по адресу так и по fqdn.Все хосты в одном L2 сегменте.Маршрутизатора между ними нет.

 

[Yuriy]

Так какая версия FreeNAS у Вас?
В FreeNAS 11.2 beta2 была ошибка с NTP сервисом
https://www.ixsystems.com/community...d-from-23-239-26-89-freenas-11-2-beta2.68936/
Часовые пояса на FreeNAS и dc01 совпадают?

 

[n0000b]

Так какая версия FreeNAS у Вас?
В FreeNAS 11.2 beta2 была ошибка с NTP сервисом
https://www.ixsystems.com/community...d-from-23-239-26-89-freenas-11-2-beta2.68936/
Часовые пояса на FreeNAS и dc01 совпадают?

Выше писал что версия FreeNAS-11.1-U7 .Часовой пояс UTC+0700 везде.

 

[Mihalich]

Выше писал что версия FreeNAS-11.1-U7 .Часовой пояс UTC+0700 везде.

Часовой пояс не имеет значения.
Попробуйте вручную синхронизировать:

Code:

# /usr/sbin/ntpdate -u ваш.домен.ру

Обращаю ваша внимание на то, что указывать конкретный сервер не обязательно, домена должно быть достаточно, конечно, при условии правильной его настройки.
Кстати, припоминаю что включал ntp через реестр на контроллерах, оказалось по умолчанию он отключен и использовался только Windows Time.

 

[n0000b]

Это он говорит отставание?
[root@nas01 ~]# ntpdate -u xxx.yyy.zzz
27 Feb 14:27:28 ntpdate[21866]: step time server 10.22.0.10 offset 23.611882 sec

 

[Mihalich]

Да, он, часы убегали вперёд на 23 сек, примерно.
Ещё одна полезная команда:

Code:

ntpdate -q <IP-адрес/FQDN NTP-сервера>

 

[n0000b]

Так, а теперь при потере соединения с КД время собьется или уже нет?Если не собьется то вопрос можно считать решеным.

 

[Mihalich]

Если отваливается первый КД, то Фринас должен синхронизироваться со вторым КД, если и он не доступен, то позже будет произведена ещё одна попытка и т.д. Время, конечно, сбиться не должно, но у вас однозначно возникнут другие проблемы из-за оффлайна двух КД :)

 

[n0000b]

Все ребят всем спасибо, вопрос решен!