PowerScale: OneFS: На сервері AD відсутні необхідні сповіщення SPN для NFS HTTP HDFS
Zusammenfassung: Іноді адміністратори можуть спостерігати попередження, які вказують на те, що імена керівників служб для служб NFS, HTTP або HDFS відсутні.
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
За певних умов може бути згенеровано сповіщення про відсутність SPN. Перевірка SPN зазвичай виконується після настання таких подій у кластері:
- Перезавантаження кластера або вузла
- Процеси та/або служби CELOG скидаються
- Періодичні перевірки CELOG через монітор CELOG
- Додавання нового постачальника AD
- Зміна конфігурації мережі (якщо пул налаштований з назвами та псевдонімами зон SmartConnect)
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'
Ursache
Система оповіщення CELOG періодично перевіряє кожного постачальника AD, щоб переконатися, що SPN належним чином зареєстровані, і може повідомляти про те, що SPN «відсутні». Це також відбувається під час запуску під час завантаження вузлів.
Логіка, яка використовується при перевірці CELOG, полягає в наступному:
Логіка, яка використовується при перевірці CELOG, полягає в наступному:
- Для кожного постачальника AD перевірте наявні зареєстровані SPN за налаштованими назвами та псевдонімами зон SmartConnect. Якщо пул із налаштованим ім'ям зони SmartConnect було змінено (наприклад, включено новий псевдонім), то перевірка SPN за постачальником AD звіриться з оновленою інформацією.
- У попередніх версіях OneFS, якщо будь-який експорт NFS було налаштовано, має присмак безпеки «krb5», буде вважатися, що NFS SPN потрібні для кожної зони/псевдоніма SC. Починаючи з версій 8.0.0.5/8.0.1.2/8.1.0.1 і пізніших версій, NFS вважається відсутньою за замовчуванням (якщо її ще не зареєстровано). Прибрано перевірку безпеки експорту NFS.
- Якщо HDFS ліцензовано, OneFS припускає, що HDFS SPN потрібні для кожної зони/псевдоніма SC. Це вірно, навіть якщо сама служба не включена на кластері.
- Перевірки HTTP SPN виконуються автоматично незалежно від конфігурації кластера, оскільки службу ввімкнено за замовчуванням. Особливих умов для перевірки HTTP SPN немає.
Примітка: CELOG та
isi auth ads spn check є взаємовиключними один з одним і використовують різні функції або логіку для визначення відсутніх SPN. Наприклад, об'єкт isi auth ads spn check не перевіряє SPN на основі NFS, HTTP або HDFS. Зони СК без відповідного СПН вважаються відсутніми.
Lösung
Саме оповіщення має рекомендаційний характер і стосується одного або кількох доменів AD. SPN не обов'язково потрібні з точки зору OneFS, за винятком самої назви кластера, яка реєструється за замовчуванням. Такі SPN за замовчуванням ніколи не слід видаляти. Скоріше, вони потрібні для того, щоб клієнти могли підключатися до кластера за допомогою автентифікації Kerberos через SMB, NFS або HDFS. Kerbero з SMB підпадають під дію SPN HOST, оскільки CIFS знаходиться під егідою області SPN HOST.
Перегляньте посібники з адміністрування вашої версії OneFS на сторінці PowerScale OneFS Info Hubs, щоб дізнатися, як керувати SPN із кластера.
В іншому випадку оповіщення може бути проігноровано, якщо SPN буде визнано непотрібним, або їх можна зареєструвати, щоб запобігти появі оповіщення в майбутньому.
Перегляньте посібники з адміністрування вашої версії OneFS на сторінці PowerScale OneFS Info Hubs, щоб дізнатися, як керувати SPN із кластера.
В іншому випадку оповіщення може бути проігноровано, якщо SPN буде визнано непотрібним, або їх можна зареєструвати, щоб запобігти появі оповіщення в майбутньому.
Betroffene Produkte
PowerScale OneFSProdukte
PowerScale OneFSArtikeleigenschaften
Artikelnummer: 000167340
Artikeltyp: Solution
Zuletzt geändert: 24 Mai 2024
Version: 5
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.