PowerScale: Fehler bei der Authentifizierung eines nicht definierten Attributs nach dem Upgrade auf OneFS 9.5 oder höher für Active Directory-Nutzer
Summary: Beim Upgrade von früheren Versionen auf OneFS 9.5.x oder höher können Codeprüfungen vor dem Upgrade einen NULL/0-Wert für "msds-SupportedEncryptionTypes" identifizieren. Wenn dies nicht behoben wird, kann dies zu Authentifizierungsfehlern (DU) führen. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Wenn ein Cluster auf OneFS 9.5 aktualisiert wird und der Wert für das Computerkontoattribut msDS-SupportedEncryptionTypes nicht festgelegt ist, kann die Authentifizierung fehlschlagen. Der Active Directory-Anbieter scheint sich in einem nicht formatierten Zustand zu befinden oder fehlt in isi auth Statusausgabe.
Standardmäßig ist dieser Wert auf 31 (oder 0xF1 in Hexadezimal) festgelegt, wenn das Cluster zum ersten Mal Active Directory beitritt. Gemäß dem OneFS 9.5-Sicherheitskonfigurationsleitfaden, den Sie auf der Dell Support PowerScale OneFS-Produktseite finden, unterstützen wir viele Verschlüsselungstypen für SMB und Kerberos.
Hinweis: Die Seite "Dell Handbücher" erfordert eine Authentifizierung.
Wenn jemand das Attribut für
msDS-SupportedEncryptionTypesklicken, ist dies akzeptabel, wenn die erforderlichen Verschlüsselungstypen, die für die Funktion erforderlich sind, nicht ausgeschlossen werden. Einige können beispielsweise den Wert anpassen, um die Unterstützung für RC4 wegzulassen.
Beispiel für das Attribut aus den Eigenschaften mit aktivierten erweiterten Funktionen:
Abbildung 1: Der Wert für msDS-SupportedEncryptionTypes Attribut wird als <nicht festgelegt> angezeigt.
Beispiel aus PowerShell:
DistinguishedName : CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local DNSHostName : ninefiveoh.testdomain.local Enabled : True Name : NINEFIVEOH ObjectClass : computer ObjectGUID : 8dbed342-6a12-41ff-889f-8249cc39b673 SamAccountName : NINEFIVEOH$ SID : S-1-5-21-3532647020-1821455699-3245163308-1110 UserPrincipalName :
Die obige Ausgabe enthält kein Feld für das Attribut msDS-SupportedEncryptionTypes, die in der Regel einen ganzzahligen Wert meldet.
Unten sehen Sie ein Beispiel aus einem anderen Cluster, in dem der festgelegte Wert für das Attribut ausgefüllt wird:
DistinguishedName : CN=COREBUDDY,CN=Computers,DC=testdomain,DC=local DNSHostName : corebuddy.testdomain.local Enabled : True msDS-SupportedEncryptionTypes : 31 <<<<<<<<<<<<<<<< Name : COREBUDDY ObjectClass : computer ObjectGUID : e29236a7-cc36-4686-bca9-010ba4143ca3 SamAccountName : COREBUDDY$ SID : S-1-5-21-3532647020-1821455699-3245163308-1104 UserPrincipalName :
Ein weiteres Symptom ist, dass bestimmte Meldungen /var/log/lsass.d.log Datei wie unten gezeigt:
2023-04-14T02:40:07.877593+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local 2023-04-14T02:40:07.877656+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list. 2023-04-14T02:40:23.903189+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local 2023-04-14T02:40:23.903268+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.
Um zu bestätigen, dass dies das Problem ist, muss der Administrator das Maschinenkontoobjekt für den Cluster in Active Directory überprüfen. Dies kann auf zwei Arten erfolgen:
- Öffnen Sie auf einem DomänencontrollerActive Directories Users and Computers (ADUC).
- Wählen Sie im oberen Menüband des Fensters View aus und klicken Sie auf Advanced Features.
- Klicken Sie mit der rechten Maustaste auf das Objekt, wechseln Sie zur Registerkarte Attribut-Editor und scrollen Sie, um das Objekt zu finden.
msDS-SupportedEncryptionTypesAttribut. - Doppelklicken Sie auf das Feld Attribut und überprüfen Sie die Dezimalzahl, die im neuen Fenster angezeigt wird.
- Verwenden Sie den folgenden PowerShell-Befehl auf einem DC mit dem richtigen Computerkontonamen.
Get-ADComputer -Identity <machine account name> -Properties msDS-SupportedEncryptionTypes
Für die oben genannten Zwecke müssen Administratoren ein Konto in Active Directory mit Berechtigungen auf Domänenebene verwenden, um das Problem zu beheben.
Cause
Manuelles Löschen der Datei msDS-SupportedEncryptionTypes -Attribut auf dem Maschinenkontoobjekt des Clusters führt dazu, dass Active Directory einen NULL-Wert meldet. Dies schlägt bei den Prüfungen im neueren Code als Teil einer Reihe von Verbesserungen für eine bessere Sicherheitsunterstützung fehl.
Ältere Cluster, die Active Directory beigetreten sind, ohne diesen Wert festzulegen, sind möglicherweise auch anfällig für dieses Problem. Dies liegt daran, dass kein Wert festgelegt wird, es sei denn, es wurde eine erneute Verknüpfung mit Active Directory durchgeführt.
Resolution
Problemumgehung:
Ändern Sie das Attribut in einen anderen Wert als einen leeren Wert. Eine sichere Option ist die Auswahl des Standardwerts 31 oder 24, je nach Sicherheitsanforderungen. Dies erfolgt über die Benutzeroberfläche oder über PowerShell.
Eine Liste der Werte und der unterstützten Verschlüsselungstypen finden Sie im Blog der Microsoft-Website. 
Der folgende Befehl (mit dem richtigen Computerkontonamen und der richtigen Ganzzahl) kann von einem Active Directory-Administrator auf einem DC anstelle der Benutzeroberfläche verwendet werden, um dem Attribut einen Wert zuzuweisen.
Set-ADComputer -Identity COMPUTERNAME$ -Add @{'msDS-SupportedEncryptionTypes'="<INTEGER>"}
Im folgenden Beispiel wird die msDS-SupportedEncryptionTypes Attribut auf den Standardwert 31 für das Cluster-Maschinenkonto NINEFIVEOH$:
Set-ADComputer -Identity NINEFIVEOH$ -Add @{'msDS-SupportedEncryptionTypes'="31"}
Sobald die Änderungen angewendet wurden, müssen sie auf alle Domaincontroller innerhalb der Active Directory-Umgebung repliziert werden. Eine Aktualisierung der Authentifizierung oder ein gezielter LSASS-Neustart auf dem Cluster kann erforderlich sein, um den Zustand danach zu beheben.
Dell Engineering hat Codeverbesserungen in OneFS 9.5.0.3 veröffentlicht, die dieses Problem beheben. AdministratorInnen können weiterhin fehlschlagende IOCA-Upgrade-Vorabprüfungen sehen, wenn vor dem Upgrade kein Wert festgelegt wurde. Wenn ein Administrator die Clusterberechtigungen in AD auf die Änderung von Attributen beschränkt hat, MUSS er das Attribut vor einer Upgradeaktivität manuell aktualisieren. Wenn das Attribut vor dem Upgrade nicht aktualisiert wird und der Cluster nicht über ausreichende Berechtigungen verfügt, führt dies zur Nichtverfügbarkeit von Daten.
Hinweis: OneFS 9.5 und höher erfordert das Attribut
msDS-SupportedEncryptionTypes. Administratoren, die Versionen von Windows Server ausführen, die dieses Attribut nicht aufweisen oder nicht unterstützen, müssen ihre Domain Controller aktualisieren. Für diese Anforderung gibt es keine Problemumgehung. Wenn vor dem OneFS-Upgrade keine Domain Controller auf unterstützten Versionen von Windows Server vorhanden sind, kann dies zur Nichtverfügbarkeit von Daten führen.
Additional Information
Hier sind einige empfohlene Ressourcen zu diesem Thema, die von Interesse sein könnten:
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000212387
Article Type: Solution
Last Modified: 25 Aug 2025
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.