PowerScale: OneFS: Jak najít duplicitní hlavní názvy služeb (SPN) ve službě Active Directory, které brání klientům SMB v ověření clusteru

Summary: Jak identifikovat duplicitní hlavní názvy služby ve službě Active Directory, které mohou způsobit selhání ověřování protokolem Kerberos.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Identifikace duplicitních hlavních názvů služby (SPN) v doménách služby Active Directory:

Duplicitní názvy hlavního názvu služby můžou způsobit selhání přihlášení pro přihlášení k účtu služby a přihlášení klienta při ověřování v clusteru. 
 

Duplicitní hlavní název služby (SPN) může způsobit, že se klient pokusí ověřit v nesprávném systému nebo má nesprávný klíč protokolu Kerberos.
Poznámka: http://technet.microsoft.com/en-us/library/cc772897%28v=ws.10%29.aspx

klientů SMB, kteří se ověřují pomocí názvů zón nebo aliasů SmartConnect, se nemusí ověřit ve sdílených složkách clusteru.

V protokolech řadiče domény nebo v protokolu "/var/log/lsassd.log" mohou následující zprávy signalizovat, že jsou přítomny duplicitní hlavní názvy služby (SPN).
 

KDC_ERR_PRINCIPAL_NOT_UNIQUE  - Multiple entries in database

KRB_AP_ERR_MODIFIED   Message stream modified errors

Event ID 11 and/or Event ID 4 on Domain controllers can indicate duplicate SPNs.

Cause

Nesprávná konfigurace hlavních názvů služby (SPN) v prostředí služby Active Directory může vést k duplicitám.

Resolution

Procedura

Existují dvě možnosti, které lze použít k vyhledání duplicitních hlavních názvů služby (SPN). Setspn je nástroj příkazového řádku a LDP je grafické rozhraní dostupné pouze v systému Windows Server 2003 a vyšším. 

Použití setspn
 
Setspn, který je v systému Windows 7, 8, Server 2008 a 2012. V systému Windows Server 2003 jej lze získat pomocí následujícího odkazu: http://support.microsoft.com/kb/970536
V rozhraní příkazového řádku systému Windows použijte příkaz "setspn /?" pro další možnosti příkazu.
Duplicity se hledají pomocí příkazu "setspn -x", který prohledává celou doménovou strukturu a jeho zpracování ve velkých prostředích může nějakou dobu trvat.
Příkaz "setspn q" se dotazuje na název hlavního názvu služby (SPN) a může být lepší pro větší prostředí.

Příklad 1:
Hlavní název služby (SPN ) "HOST/chomper.test.isilon.com" je registrován v clusteru s názvem "isicluster1" a také na serveru Windows s názvem "win2k1".
 

C:>setspn  -x
Checking domain DC=test,DC=isilon,DC=com
Processing Entry 0
HOST/chomper.test.isilon.com is registered on these accounts
                CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
Found 1 group of duplicate SPNs.


  
Příklad 2:
Ve větších prostředích zadejte dotaz pomocí příkazu "setspn q <SPN>"nebo použijte protokol LDP , jak je znázorněno níže.
 

C:>setspn  -q HOST/chomper.test.isilon.com
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/isicluster1
                HOST/isicluster1.test.isilon.com
CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/win2k1
                HOST/win2k1.test.isilon.com
 
Existing SPN found!

Pokud je hlavní název služby (SPN) jinde v prostředí s jiným identifikátorem třídy služby, například CIFS, nenajde se s "setspn -x". Můžete jej vyhledat spuštěním vyhledávání pomocí zástupných znaků:

C:\>setspn -q */isilon
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster2,CN=Computers,DC=test,DC=isilon,DC=com
                cifs/chomper.test.isilon.com



Použití LDP: http://support.microsoft.com/kb/321044

  1. Klikněte na tlačítko Start, klikněte na příkaz Spustit, zadejte LDP a klikněte na tlačítko OK.
  2. Klikněte na Připojení a potom na Připojit.
  3. Ponechte výchozí nastavení a pak klikněte na OK.
    Poznámka: Pokud neobdržíte očekávaný výsledek, zkuste jiné hledání pomocí portu globálního katalogu (3268) namísto výchozího nastavení (389).
  4. Klikněte na Připojení a potom na Svázat.
  5. Ponechte výchozí nastavení a pak klikněte na OK.
  6. Klikněte na Zobrazení a potom na Strom.
  7. V dialogovém okně Stromové zobrazení zadejte do pole BaseDN příkaz DC=test,DC=isilon,DC=com
  8. Klikněte na tlačítko Procházet a potom na tlačítko Hledat.
  9. V dialogovém okně Hledat zadejte do pole BaseDN text DC=test,DC=isilon,DC=com.
  10. V dialogovém okně Hledat zadejte (serviceprincipalname=HOST/<sczonename>) do pole Filtr
  11. V dialogovém okně Atributy zadejte servicePrincipalName.
  12. V části Obor klikněte na položku Podstrom.
  13. Klikněte na Spustit a zavřete dialogové okno Hledat .
  14. Duplicitní názvy SPN mají v seznamu dvě položky, které odkazují na dva různé názvy DNS.
***Searching 
ldap_search_s(Id,  DC=test,DC=isilon,DC=com ,2,
    (serviceprincipalname=HOST/chomper.test.isilon.com) ,attrList, 0 &msg)
    Getting 2 entries:
Dn: CN=ISICLUSTER1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/isicluster1; HOST/isicluster1.test.isilon.com;
      HOST/chomper.test.isilon.com
Dn: CN=WIN2K1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/win2k1; HOST/win2k1.test.isilon.com;
      HOST/chomper.test.isilon.com


 
Usnesení:
Duplicitní položka pro win2k1 pro "HOST/chomper.test.isilon.com" by měla být odebrána z domény Active Directory.

Duplicitní položku může odstranit uživatel s oprávněními správce domény, podnikovým správcem nebo zadanými oprávněními pro správu domény v doméně Active Directory.
Příkaz k odebrání duplicitní položky je "setspn -D <spn><accountname>".

 

 

C:>setspn  D HOST/chomper.test.isilon.com win2k1
Unregistering ServicePrincipalnames for CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
Updated object



Výše uvedený výstup potvrzuje, že registrace "HOST/chomper.test.isilon.com" byla zrušena v počítači win2k1. Nyní je registrován pouze pro účet počítače ISICLUSTER1.

Additional Information

Související články:

"Authentication services can fail, if the Service Principal Name (SPN) is incorrect or missing,"89649
"OneFS: Jak vytvořit účty SPN, aby bylo možné ověřování Kerberos pomocí položek DNS SmartConnect," 16528
"Jak zobrazit seznam SPN v prostředí Microsoft Active Directory,"16589
"Klient SQL nemůže "Bulk Insert" soubory z clusteru Isilon do databáze SQL," 89574
Jak povolit jednotné přihlášení (SSO) v systému Mac OS X ke sdíleným složkám CIFS s povolenou službou Active Directory v systému OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: Klienti SMB2 se nemohou připojit ke clusteru pomocí ověřování Kerberos,"174024
"OneFS: Hlavní názvy služeb pro ověřování protokolem Kerberos," 187999

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000032723
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.