PowerScale: OneFS: Dubbele SPN's (Service Principal Names) in Active Directory vinden waardoor SMB-clients zich niet kunnen verifiëren bij het cluster

Summary: Dubbele namen van service-principals in Active Directory identificeren, waardoor Kerberos-authenticatie kan mislukken.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Identificeer dubbele SPN's in Active Directory-domeinen:

Dubbele SPN-namen kunnen leiden tot aanmeldingsfouten voor serviceaccount- en clientaanmeldingen bij authenticatie bij het cluster. 
 

Een dubbele SPN kan ertoe leiden dat een client probeert zich bij het verkeerde systeem te verifiëren of de verkeerde Kerberos-sleutel heeft.
Referentie: http://technet.microsoft.com/en-us/library/cc772897%28v=ws.10%29.aspx

SMB-clients die zich verifiëren met behulp van SmartConnect-zonenamen of aliassen kunnen mogelijk niet worden geverifieerd bij de clustershares.

In de logboeken van de domeincontroller of de /var/log/lsassd.log kunnen de volgende berichten aangeven dat er dubbele SPN's aanwezig zijn.
 

KDC_ERR_PRINCIPAL_NOT_UNIQUE  - Multiple entries in database

KRB_AP_ERR_MODIFIED   Message stream modified errors

Event ID 11 and/or Event ID 4 on Domain controllers can indicate duplicate SPNs.

Cause

De onjuiste configuratie van SPN's in de Active Directory-omgeving kan leiden tot duplicaten.

Resolution

Procedure

Er zijn twee opties die kunnen worden gebruikt om dubbele SPN's te vinden. Setspn is een opdrachtregelhulpprogramma en LDP is een grafische interface die alleen beschikbaar is op Windows Server 2003 en hoger. 

Met behulp van setspn
 
Setspn die zich in Windows 7, 8, Server 2008 en 2012 bevindt. Voor Windows Server 2003 kunt u deze verkrijgen via de volgende koppeling: http://support.microsoft.com/kb/970536
Gebruik in de opdrachtregelinterface van Windows "setspn /?" voor extra opties voor de opdracht.
Duplicaten worden gevonden met behulp van "setspn -x", dit doorzoekt het hele forest en kan enige tijd duren om te verwerken in grote omgevingen.
De opdracht "setspn q" zoekt op SPN-naam en is mogelijk beter voor grotere omgevingen.

Voorbeeld 1:
De SPN "HOST/chomper.test.isilon.com" is geregistreerd bij zowel het cluster met de naam "isicluster1" als bij een Windows-server met de naam "win2k1".
 

C:>setspn  -x
Checking domain DC=test,DC=isilon,DC=com
Processing Entry 0
HOST/chomper.test.isilon.com is registered on these accounts
                CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
Found 1 group of duplicate SPNs.


  
Voorbeeld 2:
Voer in grotere omgevingen een query uit met behulp van"setspn q <SPN>"of gebruik LDP zoals hieronder wordt weergegeven.
 

C:>setspn  -q HOST/chomper.test.isilon.com
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/isicluster1
                HOST/isicluster1.test.isilon.com
CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/win2k1
                HOST/win2k1.test.isilon.com
 
Existing SPN found!

Als er elders in de omgeving een SPN is met een andere serviceklasse-identifier, zoals CIFS, wordt deze niet gevonden met "setspn -x". U kunt ernaar zoeken door een zoekopdracht met jokertekens uit te voeren:

C:\>setspn -q */isilon
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster2,CN=Computers,DC=test,DC=isilon,DC=com
                cifs/chomper.test.isilon.com



LDP gebruiken: http://support.microsoft.com/kb/321044

  1. Klik op Start, klik op Uitvoeren, typ LDP en klik vervolgens op OK.
  2. Klik op Verbinding en klik vervolgens op Verbinden.
  3. Laat de standaardinstellingen staan en klik vervolgens op OK.
    Opmerking: Als u niet het verwachte resultaat krijgt, probeert u een andere zoekopdracht met behulp van de algemene cataloguspoort (3268) in plaats van de standaardinstelling (389).
  4. Klik op Verbinding en klik vervolgens op Binden.
  5. Laat de standaardinstellingen staan en klik vervolgens op OK.
  6. Klik op Weergeven en klik vervolgens op Structuur.
  7. Typ in het dialoogvenster Boomstructuurweergave DC=test,DC=isilon,DC=com in het vak BaseDN
  8. Klik op Bladeren en klik vervolgens op Zoeken.
  9. Typ in het dialoogvenster Zoeken DC=test,DC=isilon,DC=com in het vak BaseDN .
  10. Typ in het dialoogvenster Zoeken (serviceprincipalname=HOST/<sczonename>) in het vak Filter
  11. Typ servicePrincipalName in het dialoogvenster Kenmerken .
  12. Klik onder Bereik op Substructuur.
  13. Klik op 'Voer' en sluit het dialoogvenster 'Zoeken '.
  14. Duplicaten van SPN's hebben twee vermeldingen weergegeven die naar twee verschillende DN's verwijzen
***Searching 
ldap_search_s(Id,  DC=test,DC=isilon,DC=com ,2,
    (serviceprincipalname=HOST/chomper.test.isilon.com) ,attrList, 0 &msg)
    Getting 2 entries:
Dn: CN=ISICLUSTER1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/isicluster1; HOST/isicluster1.test.isilon.com;
      HOST/chomper.test.isilon.com
Dn: CN=WIN2K1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/win2k1; HOST/win2k1.test.isilon.com;
      HOST/chomper.test.isilon.com


 
Resolutie:
De dubbele vermelding voor win2k1 voor "HOST/chomper.test.isilon.com" moet worden verwijderd uit het Active Directory-domein.

De dubbele vermelding kan worden verwijderd door een gebruiker met domeinbeheerders-, Enterprise- of opgegeven domeinbeheerrechten op het Active Directory-domein.
De opdracht voor het verwijderen van een dubbele vermelding is "setspn -D <spn><accountname>".

 

 

C:>setspn  D HOST/chomper.test.isilon.com win2k1
Unregistering ServicePrincipalnames for CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
Updated object



De bovenstaande uitvoer bevestigt dat "HOST/chomper.test.isilon.com" is gederegistreerd van de computer win2k1. Het is nu alleen geregistreerd op het ISICLUSTER1-computeraccount.

Additional Information

Gerelateerde artikelen:

"Authentication services can fail if the Service Principal Name (SPN) is incorrect or missing,"89649
"OneFS: Hoe maak je SPN-accounts aan om Kerberos-authenticatie toe te staan met behulp van SmartConnect DNS-vermeldingen,"16528
"Een SPN-lijst weergeven in een Microsoft Active Directory-omgeving;"16589
"SQL-client kan geen bestanden van een Isilon-cluster in bulk invoegen in een SQL-database," 89574
"Mac OS X single sign-on (SSO) inschakelen naar CIFS-shares met Active Directory in OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: SMB2-clients cannot connect to the cluster using Kerberos authentication,"174024
"OneFS: Service Principal Names for Kerberos Authentication," 187999

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000032723
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.