PowerScale: OneFS: AD-server saknar nödvändiga SPN:er Varning för NFS HTTP HDFS
Summary: Administratörer kan ibland observera aviseringar som anger att tjänstens huvudnamn för NFS-, HTTP- eller HDFS-tjänsterna saknas.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Under vissa förhållanden kan en avisering om saknade SPN genereras. SPN-kontroller utförs vanligtvis efter att följande händelser i klustret har inträffat:
- Klustret eller noden startas om
- CELOG-processer och/eller -tjänster återställs
- Periodiska CELOG-kontroller via CELOG-monitorn
- Tillägg av en ny AD-leverantör
- Ändring av nätverkskonfiguration (om poolen har konfigurerats med SmartConnect-zonnamn och alias)
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'
Cause
CELOG-varningssystemet kör regelbundet en kontroll mot varje AD-leverantör för att verifiera att SPN:er är korrekt registrerade och kan rapportera att SPN:er "saknas". Detta inträffar även vid start när noder startas.
Den logik som används vid CELOG-kontrollen är följande:
Den logik som används vid CELOG-kontrollen är följande:
- För varje AD-provider kontrollerar du befintliga registrerade SPN:er mot konfigurerade SmartConnect-zonnamn och alias. Om poolen med ett konfigurerat SmartConnect-zonnamn har ändrats (till exempel inklusive ett nytt alias) kontrollerar en SPN-kontroll mot AD-leverantören mot den uppdaterade informationen.
- Om någon NFS-export har konfigurerats med säkerhetsvarianten "krb5" i tidigare versioner av OneFS förutsätter det att NFS-SPN behövs för varje SC-zon/alias. Från och med 8.0.0.5/8.0.1.2/8.1.0.1 och senare antas NFS saknas som standard (om det inte redan är registrerat). Smakkontrollerna för NFS-exportsäkerhet har tagits bort.
- Om HDFS är licensierat förutsätter OneFS att HDFS-SPN:er behövs för varje SC-zon/alias. Detta gäller även om själva tjänsten inte är aktiverad i klustret.
- HTTP SPN-kontroller görs automatiskt oavsett klusterkonfiguration eftersom tjänsten är aktiverad som standard. Det finns inga särskilda villkor för en HTTP SPN-kontroll.
Obs! CELOG och
isi auth ads spn check utesluter varandra och använder olika funktioner eller logik för att fastställa saknade SPN. Till exempel isi auth ads spn check Kommandot har inga kontroller för NFS-, HTTP- eller HDFS-baserade SPN:er. SC-zoner utan motsvarande SPN antas saknas.
Resolution
Själva aviseringen är av rådgivande karaktär och gäller för en eller flera AD-domäner. SPN krävs inte nödvändigtvis ur ett OneFS-perspektiv, förutom själva klusternamnet, som är registrerat som standard. Standard-SPN:er som dessa bör aldrig tas bort. I stället krävs de för att klienter ska kunna ansluta till klustret med Kerberos-autentisering via SMB, NFS eller HDFS. Kerberos med SMB omfattas av HOST SPN eftersom CIFS ingår i HOST SPN-omfånget.
I administratörsmanualerna för din version av OneFS på PowerScale OneFS Info Hubs finns anvisningar om hur du hanterar SPN från klustret.
Annars kan aviseringen ignoreras om SPN:erna anses vara onödiga, eller om de kan registreras för att förhindra aviseringen i framtiden.
I administratörsmanualerna för din version av OneFS på PowerScale OneFS Info Hubs finns anvisningar om hur du hanterar SPN från klustret.
Annars kan aviseringen ignoreras om SPN:erna anses vara onödiga, eller om de kan registreras för att förhindra aviseringen i framtiden.
Affected Products
PowerScale OneFSProducts
PowerScale OneFSArticle Properties
Article Number: 000167340
Article Type: Solution
Last Modified: 24 May 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.