<div dir="ltr"><div><div><div><div><div><div>yes on the IPA server as well.. the offset isn't that high<br><br>     remote           refid      st t when poll reach   delay   offset  jitter<br>==============================================================================<br>*ip-10-10-1-150.e 132.163.4.101    2 u  119  128  377    0.431   -0.279   0.348<br><br></div><div>So, my NTP server, the ipa client and the IPA master.. all seems to not have a high offset or a jitter.<br></div><div><br></div>There were about 1500 hosts that were alerting for "clock skew" and the issue went away only after I did a resync using ntpdate on all those hosts<br></div><br></div>Is it possible that so many higher number of minor offsets adds up and causes it. Coz from the individual offset it looks much below the 5min limit<br><br></div>Or, is there a way to tell whats the offset limit its actually looking for.<br><br></div>Thanks,<br></div>Rakesh<br><div><div><br><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jan 9, 2017 at 1:42 PM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, Jan 09, 2017 at 01:07:06PM +0530, Rakesh Rajasekharan wrote:<br>
> Hi,<br>
><br>
> I am using a Freeipa 4.2.0 server.<br>
><br>
> I sometimes see, "clock skew too great" errors in /var/log/krb5kdc.log. And<br>
> when this happens, usually logins or new ipa-cleint-install fails.<br>
><br>
> When I checked on one of the hosts for which the clock skew was reported,<br>
><br>
> #> ntpq -p<br>
>     remote           refid      st t when poll reach   delay   offset<br>
> jitter<br>
> ==============================<wbr>==============================<wbr>==================<br>
> *ip-10-10-1-150.e 171.66.97.126    2 u  869 1024  377    0.448    0.047<br>
> 0.142<br>
<br>
</span>In general, 5 minutes is OK at least. But are you sure the server is also<br>
in sync or just the client against an NTP server (iow, are you sure you<br>
are checking the difference between a client and the KDC as well?)<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>