AD服务器时间同步异常

发布时间:  2016-11-02 浏览次数:  431 下载次数:  0
问题描述

两套FA环境对接,A局点FA已经搭建完成,各个组件运行正常,B局点FA环境搭建完成后,AD服务器加入A局点主AD域后,B局点FA平台告警,AD服务器时间同步异常。

告警信息


处理过程

1.使用命令强制B局点AD时间同步, cmd命令下执行 gpupdate /force,强制同步组策略,使用w32tm /resync同步时间成功。告警未消失

2.手动清除告警后,重启ITA服务器。告警恢复

3.把B局点AD上的时间同步源指向A局点主AD的IP, 在B局点AD上执行CMD命令

  a.停止时间服务器 net stop w32time

  b.设置时钟源地址 32tm /config /syncfromflags:manual /manualpeerlist:IP或者域名

  c.使配置生效 w32tm /config /reliable:yes

  d.启动时间服务 net start w32time

 告警依旧未消失。

4.把B局点FA平台域组件监控关闭。FA平台-系统管理-初始化配置-域/OU,把域控的监控状态都关闭。告警不会再出现。

根因

确认为R6版本新增的功能。对于AD状态监控,R6版本增加对域控时间与PDC时间的对比查询。

从Monitor日志看,B套环境能查询到DC[10.14.222.1/2]的时间,但查询PDC(即A套环境主AD时)[10.14.202.1]时,查询失败。原因为ITA查询PDC系统时间需要和PDC角色所在DC通过sk进行身份认证,但B环境(222网段)ITA系统上未配置PDC(A环境202网段)的角色所在的DC,导致查询PDC时间时身份认证失败,无法对配置的域控和域PDC的时间进行比对,因而返回了本AD监控状态ERROR。

当前配置中两套环境使用相同的域,域控的时间会和PDC角色同步,ITA上关闭第二套的AD监控不影响任何业务情况,此情形下可直接关闭第二套的AD监控。对域的监控通过第一套环境里面的监控实现,此操作对用户业务不会有影响。


解决方案
对第二套FA平台AD域的监控进行关闭,同时不影响业务使用。

END