PowerScale OneFS: Active Directory -palvelu katoaa saman toimialueen liittymisyrityksen jälkeen

Kun AD-liittyminen suoritetaan samalla nimellä kuin AD-palveluntarjoaja, johon klusteri on jo liitetty, palveluntarjoaja saattaa kadota. Järjestelmänvalvojat saattavat nähdä liittymisyritykseen liittyvän virheen, mutta virhe voi vaihdella syyn mukaan.

Alla olevassa esimerkissä toistamme ongelman palveluntarjoajan kanssa TESTDOMAIN.LOCAL käyttämällä väärää tiliä liittymisen helpottamiseen.

Tulokset isi auth status ja isi auth ads list -v Osoita ennen komennon suorittamista, että palveluntarjoaja on läsnä:

corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

Alla suoritetaan komento. Huomaa, että luettelossa näkyy virheellinen käyttäjänimi (esimerkissämme käytimme ryhmän nimeä Järjestelmänvalvojat järjestelmänvalvojan tilin sijaan):

corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database

Nyt palveluntarjoaja puuttuu. WebUI:ssa tämä saattaa näkyä muotoilemattomana, mutta komentoriviliittymässä sitä ei ole isi auth status.

orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Koska isi auth status voi osoittaa, että palveluntarjoaja puuttuu muista syistä, meidän on vahvistettava tämä edelleen. Komento isi auth ads list -v ei näytä mitään palveluntarjoajaa vastaavaa tulosta TESTDOMAIN.LOCAL jäljempänä. Tämä tarkoittaa, että kokoonpano ei sisällä puuttuvaa toimialuetta vastaavia merkintöjä.

corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

LSASS-lokeissa näkyy samankaltaisia virheitä, joita on havaittu ensimmäisen komennon suorittamisen aikana:

2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)

Yllä oleva tilanne ei rajoitu virheellisten tunnistetietojen käyttöön. Jos on olemassa jokin ehto, joka aiheuttaisi epäonnistumisen liittyä AD-palveluntarjoajaan, vika johtaa palveluntarjoajan poistamiseen. Jos esimerkiksi konetilin samaa nimeä käytetään muualla toimialuepuuryhmässä tai luotetulla toimialueella, tämä aiheuttaa virheen. Ainoa ero voi olla annettu virhe.

Kun suoritat AD-liittymää jo liitettyä verkkotunnusta vastaan, epäonnistumisen aiheuttavien olosuhteiden olemassaolo johtaa AD-palveluntarjoajan poistamiseen. OneFS käsittelee tätä tarkoituksella uudelleenliittymisyrityksenä. Kun virhe ilmenee, kaikki kyseiseen valtuutuksen tarjoajaan liittyvät määritykset poistetaan.

corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Todennuksen tarjoajien nimet ovat yleisiä, joten kahta samannimistä palveluntarjoajaa ei tueta. Jos muita odottamattomia ehtoja ei ole, jotka estäisivät liittymistoiminnon, toimialueeseen liittyminen uudelleen ratkaisee ongelman.

Jos samaan AD-verkkotunnuspalveluun on liityttävä erillisillä konetileillä, on käytettävä multi-instancing-ominaisuutta. Sitä käsitellään OneFS-hallintaoppaiden vyöhykekohtaiset todennuspalvelut -osassa. Muista, että uudelleen liittynyt AD-palveluntarjoaja on lisättävä takaisin kaikkiin käyttöoikeusvyöhykkeisiin, joilla se aiemmin oli, jotta käyttöoikeus voidaan palauttaa.

Katso OneFS-versiosi ohjeet artikkelista PowerScale OneFS -tietokeskukset .