未解決
38 メッセージ
0
1461
WindowsクライアントからShare領域へのアクセスについて
いつもお世話になっております。
isilon無償版シミュレータ(IsilonSD edge system)を使用しているのですが、以下の事象が発生しております。
原因究明にご協力頂けないでしょうか。
<シミュレータのOneFSバージョン>
8.1.0.2
isilon内に特定のグループネットを作成してドメインと通信させ、その中にSMB共有領域を設定しております。
Windows10のクライアントでエクスプローラを起動し、その共有領域へアクセスしようとしたところ、認証画面は出力されるのですが、ドメインユーザのユーザ名およびパスワードを入力したところ認証が失敗してアクセスできません。(FWおよびドメインユーザ情報は問題ございません)
OneFSより「Authentication Provider」より対象のドメインのステータスはオンラインとなっており、Windowsクライアントより共有領域へ接続する際に使用するSIPの名前解決はできております。
ayas
Moderator
Moderator
•
6.5K メッセージ
0
2020年5月10日 23:00
HirokiKawashimaさん
設定に問題ないという前提で、認証がどこから来ているのかを切り分けするだけでも第一歩になるのではないでしょうか。
参考スレッド:Force Windows to authenticate another account to access Isilon
にあるようにローカルユーザとしてアクセスはできるのか、
もしくはドメイン指定ではどうなのか(多分これが失敗しているのだと思うのですが。。)、また他のクライアントからのアクセスはどうなのか、も確認できるとかなり対象が絞れると思います。
後はOneFS 8.1.0.2とWindows10で同じような事象も見つからなかったのですが、以下にトラブルシューティングの項目があるので参考にしてください。
471732 : Isilon: Troubleshooting connections to Isilon cluster SMB shares
HirokiKawashima
38 メッセージ
0
2020年5月11日 00:00
@ayas さま
ご対応ありがとうございます。
rootユーザでのアクセスを試しましたが、接続できませんでした。
ということはisilon上の設定が誤っている可能性が高いという事でしょうか。
ayas
Moderator
Moderator
•
6.5K メッセージ
0
2020年5月11日 01:00
HirokiKawashima
38 メッセージ
0
2020年5月11日 02:00
@ayas さま
ご認識のとおり、ドメインを指定してもアクセスできません。
ADのホストFWのログを確認すると対象グループネットのIPアドレスから通信はきているようです。
isilon側で確認すべき設定項目はございますでしょうか。
ayas
Moderator
Moderator
•
6.5K メッセージ
0
2020年5月11日 21:00
HirokiKawashimaさん
Isilonでのチェック項目のKBのリンクが間違ってました。ごめんなさい。
こちらを参考にできるのではないでしょうか。
471732 : Isilon: Troubleshooting connections to Isilon cluster SMB shares
HirokiKawashima
38 メッセージ
0
2020年5月12日 00:00
@ayas さま
すみません。リンクを開くと「You are not authorized to access this page.」と表示され、ページが見れません。
KBの番号でも検索したのですが、同様の画面となってしまいます。。。
なにか確認する方法はありますでしょうか。
ayas
Moderator
Moderator
•
6.5K メッセージ
0
2020年5月12日 18:00
HirokiKawashimaさん
ご返信をありがとうございます。
ローカルユーザーでのアクセスはできない
→ということはADでの認証がされるように設定はされているよう・・・でもドメイン指定でもログインできない。
そのため他のクライアントではどうなのか、また『ADのホストFWのログを確認すると対象グループネットのIPアドレスから通信はきている』とあるのですが他のクライアントで試してもその認証がきちんと通る、のか、あたりも確認としては有効かと思いました。
なおKBは(ごめんなさい。。閲覧制限有りでした)のでIsilonでのトラブルシューティングとしてこちらを参考にしてみてください。
TROUBLESHOOT WINDOWS ACTIVE DIRECTORY AUTHENTICATION
Page5 からのADチェックから・・・isi smb shares view へ (Page6 )
HirokiKawashima
38 メッセージ
0
2020年6月14日 22:00
@ayas さま
ご案内頂いたトラブルシュートのドキュメントを参照しておりますが、まだ解決しておりません。
特定のユーザでWinクライアントからSMBへアクセスしようとしたところ、ドメインユーザの認証が失敗しておりますが、/var/log/lsass.logを確認したところ、以下のようなログがありました。
ログ上ではユーザはadminとなっておりますが、adminでアクセスしてりません。
他のグループネットで同様の操作を行ったところ(そちらは問題なくドメインユーザ認証ができている)、ログに表示されたのはアクセスを行ったユーザでした。
アクセスしたユーザではなく、adminへ置き換わってしまった原因はなんなのでしょうか。
<lsass.logエラー内容>
2020-06-15T11:25:36+09:00 <30.3> <ホスト名> lsass[3786]: [lsass] Failed to authenticate user (name = 'admin') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = 4294967295
ayas
Moderator
Moderator
•
6.5K メッセージ
0
2020年6月15日 23:00
HirokiKawashimaさん
アップデートをありがとうございます。
お知らせいただいた情報を纏めると‥‥間違っていたら指摘ください。
特定のユーザでクライアントからIsioonのSMBへアクセスしようとしたところ、ドメインユーザの認証が失敗
Adminではアクセスしていないのにadminとなっている・・
<lsass.logエラー内容>
2020-06-15T11:25:36+09:00 <30.3> <ホスト名> lsass[3786]: [lsass] Failed to authenticate user (name = 'admin') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = 4294967295
比較>他のグループネットで同様の操作を行ったところ(そちらは問題なくドメインユーザ認証ができている)、ログに表示されたのはアクセスを行ったユーザ
Root Userでは問題あり。(⇒ADでの認証がされている)
上記から言えるのは・・・・
あるユーザーだけが何故かadminとしてログインしていることにADではなっている。即ちIsilon側ではあるユーザーがadminとして認識されるようになってしまっている可能性があると考えられないでしょうか。
Isilon側で問題のあるUser→adminという置き換えにしてしまう機能はRule設定くらいなのでこのあたりの設定を確認するのが(ログインに問題ないユーザーと比較して)いいかと思います。
Dell EMC PowerScaleOneFS User MappingWP
Page 23
またお送りいただいたエラーですがerror = 40022で調べるとそのアカウントがIsilonで認証失敗している、ということを示しているようなのでたとえADで認証がうまく通っていても(ticket-granting ticket (TGT )を持っていても ) Isilonではうまくいかない(=事実勝手にAdminにされている。。)ということを示しているようにも見えます。
参考KB:469416 : Isilon: Log file:
If receiving failed to refresh machine TGT errors, this means that the machine account password change has failed on the node:
Error: Failed to refresh machine TGT for https://dell.to/3d7tnd8 (error = 40022)
HirokiKawashima
38 メッセージ
0
2020年7月1日 23:00
@ayas 様
連絡が遅くなり失礼しました。
>特定のユーザでクライアントからIsioonのSMBへアクセスしようとしたところ、ドメインユーザの認証が失敗
>Adminではアクセスしていないのにadminとなっている・・
⇒特定のユーザというよりも、そのZONE全体でドメインユーザのアクセスができていない状況です。
また、ドメイン管理者でアクセスしようとしたところ、Adminに置き換わっている
※ドメイン管理者は「Admin」というユーザ名ではありません
>比較>他のグループネットで同様の操作を行ったところ(そちらは問題なくドメインユーザ認証ができている)、ログに表示されたのはアクセスを行ったユーザ
>Root Userでは問題あり。(⇒ADでの認証がされている)
⇒他のグルーネットでは問題なく、認証を行うことができ、SMB共有領域へアクセスできております。
また、問題のグループネットにおける、Root UserでSMB共有領域へのアクセスですが、対象のAccess ZoneのAuthentication Providerに「System」を追加することで、Root Userでのアクセスは可能となっております。
また、ご案内頂いたUser Mappingのドキュメントを参照し、以下ページに記載されているコマンドを確認したところ、「User Mapping Rules: - 」となっており、ユーザマッピングルールは特に設定されておりません。
正常にドメインユーザの認証を行えているZONEについても同様の結果です。
User Mappingのドキュメントの他の項目も確認中となりますが、他に確認すべきことは
ありますでしょうか。
<P25 4.4.3 Specifying the Default UNIX User>
コマンド:isi zone zones view System ※すべてのZONEを確認
ayas
Moderator
Moderator
•
6.5K メッセージ
0
2020年7月3日 00:00
HirokiKawashimaさん、
お知らせをありがとうございます。
上記であれば、(そして問題のないGroupNetでも同様ということなので)Isilon側での設定ではなく、それ以外に
問題のある可能性があるかもしれないです。
HirokiKawashima
38 メッセージ
0
2020年7月12日 17:00
@ayas さま
ご確認ありがとうございます。
isilon側の設定ということでなければ、以下3点を確認する必要があると思っておりますが、他に確認すべき箇所はありますでしょうか。
クライアントからisilonの対象ノードの名前解決およびping疎通はできており、ホストFWを無効にしても事象は変わりません。
また、ADの設定に関してはどの設定を確認すべきかご教授頂けないでしょうか。
・ネットワークにおけるFW
・クライアントのホストFW ※無効にしても事象は変わりません
・ADの設定
ayas
Moderator
Moderator
•
6.5K メッセージ
0
2020年7月12日 20:00
HirokiKawashimaさん
ご返信をありがとうございます。
Isilon側からの情報に関しては前述したとおりになり、ADでの確認に関してはAD側(MS 側)と相談をいただくのがベストだと思います。思いつくとすれば問題ないADの設定との比較、くらいです。