Thebitstreamer

In tutte le reti organizzate in dominii è fondamentale che tutti i computer che vivono nello stesso dominio abbiano l’ora sincronizzata.

Era vero per NIS, NIS+, Windows NT4 Domain e lo è ancor di più nei dominii Active Directory per via della presenza di Kerberos e di un mucchio di altre funzionalità in cui la sincronizzazione degli orologi è un prerequisito fondamentale per il loro corretto funzionamento.

Finché le macchine sono rimaste fisiche questo problema è stato scarsamente trattato, anzi, ignorato. Ora che anche i server sono virtualizzati può accadere che si verifichino errori correlati alla

Nell’ambito della ricerca delle motivazioni di strani errori nella copia di file tra due server ho notato la seguente entry in System Log:

Event Type: Warning
Event Source: LSASRV
Event Category: SPNEGO (Negotiator)
Event ID: 40960
Date: 16/04/2008
Time: 02:16:16
User: N/A
Computer: MYAPPSVR
Description:
The Security System detected an authentication error for the server cifs/MyFileSVR.local The failure code from authentication protocol Kerberos was “The time at the Primary Domain Controller is different than the time at the Backup Domain Controller or member server by too large an amount.(0xc0000133)”.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Data: 0000: 33 01 00 c0 3..À

Visti gli argomenti è certo si tratti della copia di un file dal server verso il fileserver.

Indigando sulle possibili cause del problema, visto che periodicamente un servizio riallinea gli orologi in tutte le macchine nel dominio, ho pensato che, trattandosi di macchine virtuali, l’unica possibilità era che un carico elevato impedisse la corretta erogazione del clock sulla macchina virtuale e quindi una virtual machine molto stressata potesse avere problemi di allineamento dell’orologio.

Lo stesso problema di carico potrebbe comportare la difficolta del servizio Windows Time di riallineare il clock del server a quello della PDC emulator del dominio. Il mancato allineamento degli orologi scatena l’incosistenza del ticket Kerberos e dunque l’impossibilità di verificare le credenziali dell’utente da parte del server remoto CIFS che quindi nega l’accesso alla risorsa.

Questa tesi è confermata dal grafico di utilizzo di CPU da parte di Vmware su base mensile:

Questo conferma le mie convinzioni riguardo la virtualizzazione che, parimenti ad altre tecnologie del passato, ha sicuramente contribuito a portare la tecnologia avanti ma ha riversato, sulle spalle dei poveri sysman, nuovi problemi spesso su componenti spesso trascurati in precedenza.

Ogni medaglia ha il suo rovescio…