PowerScale:Active DirectoryユーザーのOneFS 9.5以降へのアップグレード後に未定義の属性認証エラーが発生する

Summary: 以前のバージョンからOneFS 9.5.x以降のバージョンにアップグレードする場合、アップグレード前のコード チェックで「msds-SupportedEncryptionTypes」の値がNULL/0として識別される場合があります。対処しないと、認証エラー(DU)が発生する可能性があります。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

クラスターがOneFS 9.5にアップグレードされ、マシン アカウント属性の値が msDS-SupportedEncryptionTypes が設定されていない場合、認証に失敗する可能性があります。Active Directoryプロバイダーが、スタイル設定されていない状態であるか、または存在しない場合があります。 isi auth status output.

デフォルトでは、クラスターが最初にActive Directoryに参加したときに、この値は31(16進数では0xF1)に設定されます。DellサポートのPowerScale OneFS製品ページにある『 OneFS 9.5セキュリティ構成ガイド』によると、SMBおよびKerberosでは多くの暗号化タイプがサポートされています。
 

注:Dellマニュアル ページには認証が必要です。

だれかが msDS-SupportedEncryptionTypesこれは、機能するために必要な暗号化タイプを除外しない場合に許容されます。たとえば、RC4.

のサポートを省略するように値を調整したい場合があります。高度な機能が有効になっているプロパティの属性の例:

msDS-SupportedEncryptionTypes 属性の値は <not-set> と表示されます。

図1: の値 msDS-SupportedEncryptionTypes 属性は <not-set>と表示されます。

Powershellの例:

DistinguishedName : CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
DNSHostName       : ninefiveoh.testdomain.local
Enabled           : True
Name              : NINEFIVEOH
ObjectClass       : computer
ObjectGUID        : 8dbed342-6a12-41ff-889f-8249cc39b673
SamAccountName    : NINEFIVEOH$
SID               : S-1-5-21-3532647020-1821455699-3245163308-1110
UserPrincipalName :

上記の出力には、属性 msDS-SupportedEncryptionTypesこれは通常、整数値を報告します

以下は、別のクラスターの例です。属性に設定値が入力されていることがわかります。

DistinguishedName             : CN=COREBUDDY,CN=Computers,DC=testdomain,DC=local
DNSHostName                   : corebuddy.testdomain.local
Enabled                       : True
msDS-SupportedEncryptionTypes : 31   <<<<<<<<<<<<<<<<
Name                          : COREBUDDY
ObjectClass                   : computer
ObjectGUID                    : e29236a7-cc36-4686-bca9-010ba4143ca3
SamAccountName                : COREBUDDY$
SID                           : S-1-5-21-3532647020-1821455699-3245163308-1104
UserPrincipalName             :

もう1つの症状は、特定のメッセージが表示されることです /var/log/lsass.d.log ファイルは次のとおりです。

2023-04-14T02:40:07.877593+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:07.877656+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.
2023-04-14T02:40:23.903189+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:23.903268+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.

これが問題であることを確認するには、管理者はActive Directory内のクラスターのマシンアカウントオブジェクトを確認する必要があります。これは、次の 2 つの方法のいずれかで実行できます。

  • DC で、Active Directory ユーザーとコンピューター (ADUC) を開きます。
    1. ウィンドウの上部のリボンで、[ 表示 ]を選択し、[ 高度な機能]をクリックします。
    2. オブジェクト(Object)を右クリックしてアトリビュート エディタ(Attribute Editor)タブに移動し、スクロールして msDS-SupportedEncryptionTypes 属性。
    3. [ 属性 ] フィールドをダブルクリックし、新しいウィンドウに表示される 10 進数を確認します。
  • 正しいマシン アカウント名を使用して、DC で次の Powershell コマンドを使用します。 
    Get-ADComputer -Identity <machine account name> -Properties msDS-SupportedEncryptionTypes

上記の場合、管理者は、この問題を解決するために、ドメインレベルの権限を持つActive Directoryのアカウントを使用する必要があります。

Cause

の手動削除 msDS-SupportedEncryptionTypes 属性を指定すると、Active DirectoryはNULL値を報告します。これにより、セキュリティ サポートを強化するための一連の機能強化の一環として、新しいコードのチェックが失敗します

この値を設定せずにActive Directoryに参加した古いクラスターも、この問題の影響を受ける可能性があります。これは、Active Directoryへの再参加が実行されない限り、値が設定されないためです。

Resolution

回避策:
属性を空の値以外の値に変更してください。安全なオプションは、セキュリティ要件に応じてデフォルト値の31または24を選択することです。これは、UIまたはPowerShellを使用して実行されます。

値の一覧と、値がサポートする暗号化の種類の一覧については、 Microsoft の Web サイト ブログを参照してください。 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

次のコマンド (正しいコンピューター アカウント名と整数が挿入されている) は、UI の代わりに DC の Active Directory 管理者が属性に値を割り当てるために使用できます。

Set-ADComputer -Identity COMPUTERNAME$ -Add @{'msDS-SupportedEncryptionTypes'="<INTEGER>"}

以下の例では、 msDS-SupportedEncryptionTypes 属性をクラスター マシン アカウントのデフォルト値 31 に設定します NINEFIVEOH$です。

Set-ADComputer -Identity NINEFIVEOH$ -Add @{'msDS-SupportedEncryptionTypes'="31"}

変更が適用されたら、Active Directory環境内のすべてのドメイン コントローラーにレプリケートする必要があります。後で状態をクリアするには、クラスターでの認証の更新またはターゲットを絞ったLSASSの再起動が必要になる場合があります。

Dellエンジニアリングでは、この問題に対処するOneFS 9.5.0.3のコード機能拡張を公開しています。アップグレード前に値が設定されていないと、IOCAアップグレードの事前チェックが失敗することがあります。管理者が属性を変更するためにADのクラスター権限を制限している場合は、アップグレード アクティビティーが実行される前に、属性を手動で更新する必要があります。クラスターに十分な権限がない場合にアップグレード前に属性をアップデートしないと、データ欠損になります。


注:OneFS 9.5以降では、属性 msDS-SupportedEncryptionTypes間のデッドロックが原因で潜在的なHMONタイムアウトが発生する問題が解決されています。この属性を持たない、またはサポートしていないバージョンのWindows Serverを実行している管理者は、ドメイン コントローラーをアップグレードする必要があります。この要件に対する回避策はありません。OneFSのアップグレード前に、サポートされているバージョンのWindows Serverにドメイン コントローラーがないと、データが使用できなくなる可能性があります。

Additional Information

ここでは、このトピックに関連する役立つ可能性のある推奨リソースをいくつか紹介します。

 

Affected Products

PowerScale OneFS
Article Properties
Article Number: 000212387
Article Type: Solution
Last Modified: 25 Aug 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.