PowerScale: OneFS: Jak znaleźć zduplikowane nazwy główne usługi (SPN) w usłudze Active Directory, uniemożliwiające klientom SMB uwierzytelnianie w klastrze

Summary: Identyfikowanie zduplikowanych głównych nazw usług w usłudze Active Directory, które mogą powodować niepowodzenie uwierzytelniania Kerberos.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Identyfikowanie zduplikowanych nazw SPN w domenach usługi Active Directory:

Zduplikowane nazwy nazw SPN mogą powodować błędy logowania do kont usługi i loginów klientów podczas uwierzytelniania w klastrze. 
 

Zduplikowana nazwa SPN może spowodować, że klient podejmie próbę uwierzytelnienia w niewłaściwym systemie lub będzie miał nieprawidłowy klucz Kerberos.
Dokumentacja: http://technet.microsoft.com/en-us/library/cc772897%28v=ws.10%29.aspx

Klienci SMB uwierzytelniający się przy użyciu nazw stref lub aliasów SmartConnect mogą nie być w stanie uwierzytelnić się w udziałach klastra.

W dziennikach kontrolera domeny lub w "/var/log/lsassd.log" następujące komunikaty mogą wskazywać, że istnieją zduplikowane nazwy SPN.
 

KDC_ERR_PRINCIPAL_NOT_UNIQUE  - Multiple entries in database

KRB_AP_ERR_MODIFIED   Message stream modified errors

Event ID 11 and/or Event ID 4 on Domain controllers can indicate duplicate SPNs.

Cause

Nieprawidłowa konfiguracja nazw SPN w środowisku usługi Active Directory może spowodować duplikaty.

Resolution

Procedura

Istnieją dwie opcje, których można użyć do znalezienia zduplikowanych nazw SPN. Setspn to narzędzie wiersza poleceń, a LDP to interfejs graficzny dostępny tylko w systemie Windows Server 2003 lub nowszym. 

Korzystanie z setspn
 
Setspn, który znajduje się w systemach Windows 7, 8, Server 2008 i 2012. W przypadku systemu Windows Server 2003 można go uzyskać za pomocą następującego łącza: http://support.microsoft.com/kb/970536
W interfejsie wiersza polecenia systemu Windows użyj polecenia "setspn /?", aby uzyskać dodatkowe opcje polecenia.
Duplikaty są znajdowane przy użyciu polecenia "setspn -x", które przeszukuje cały las i może zająć trochę czasu na przetworzenie w dużych środowiskach.
Polecenie "setspn q" wysyła zapytanie według nazwy SPN i może być lepsze w przypadku większych środowisk.

Przykład 1:
Nazwa SPN "HOST/chomper.test.isilon.com" jest zarejestrowana zarówno w klastrze o nazwie "isicluster1", jak i na serwerze Windows o nazwie "win2k1".
 

C:>setspn  -x
Checking domain DC=test,DC=isilon,DC=com
Processing Entry 0
HOST/chomper.test.isilon.com is registered on these accounts
                CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
Found 1 group of duplicate SPNs.


  
Przykład 2:
W większych środowiskach wykonaj zapytanie przy użyciu polecenia "setspn q <SPN">lub użyj protokołu LDP, jak pokazano poniżej.
 

C:>setspn  -q HOST/chomper.test.isilon.com
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/isicluster1
                HOST/isicluster1.test.isilon.com
CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/win2k1
                HOST/win2k1.test.isilon.com
 
Existing SPN found!

Jeśli w innym miejscu środowiska istnieje nazwa SPN z innym identyfikatorem klasy usługi, takim jak CIFS, nie zostanie ona odnaleziona za pomocą polecenia "setspn -x". Możesz go wyszukać, uruchamiając wyszukiwanie z symbolami wieloznacznymi:

C:\>setspn -q */isilon
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster2,CN=Computers,DC=test,DC=isilon,DC=com
                cifs/chomper.test.isilon.com



Korzystanie z protokołu LDP: http://support.microsoft.com/kb/321044

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz LDP, a następnie kliknij przycisk OK.
  2. Kliknij przycisk Połączenie, a następnie kliknij przycisk Połącz.
  3. Pozostaw ustawienia domyślne, a następnie kliknij przycisk OK.
    Uwaga: Jeśli nie uzyskasz oczekiwanego wyniku, spróbuj ponownie wyszukać przy użyciu portu wykazu globalnego (3268) zamiast ustawienia domyślnego (389).
  4. Kliknij pozycję Połączenie, a następnie kliknij pozycję Powiąż.
  5. Pozostaw ustawienia domyślne, a następnie kliknij przycisk OK.
  6. Kliknij przycisk Widok, a następnie kliknij przycisk Drzewo.
  7. W oknie dialogowym Widok drzewa wpisz DC=test,DC=isilon,DC=com w polu BaseDN
  8. Kliknij przycisk Przeglądaj, a następnie kliknij przycisk Wyszukaj.
  9. W oknie dialogowym Wyszukiwanie wpisz DC=test,DC=isilon,DC=com w polu BaseDN .
  10. W oknie dialogowym Wyszukiwanie wpisz (serviceprincipalname=HOST/<sczonename>) w polu Filtr
  11. W oknie dialogowym Atrybuty wpisz servicePrincipalName.
  12. W obszarze Zakres kliknij pozycję Poddrzewo.
  13. Kliknij przycisk Uruchom, a następnie zamknij okno dialogowe Wyszukaj .
  14. Zduplikowane nazwy SPN mają na liście dwa wpisy wskazujące na dwa różne numery nazw
***Searching 
ldap_search_s(Id,  DC=test,DC=isilon,DC=com ,2,
    (serviceprincipalname=HOST/chomper.test.isilon.com) ,attrList, 0 &msg)
    Getting 2 entries:
Dn: CN=ISICLUSTER1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/isicluster1; HOST/isicluster1.test.isilon.com;
      HOST/chomper.test.isilon.com
Dn: CN=WIN2K1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/win2k1; HOST/win2k1.test.isilon.com;
      HOST/chomper.test.isilon.com


 
Rezolucja:
Zduplikowany wpis dla win2k1 dla "HOST/chomper.test.isilon.com" powinien zostać usunięty z domeny Active Directory.

Zduplikowany wpis może zostać usunięty przez użytkownika z uprawnieniami administratora domeny, administratora przedsiębiorstwa lub określonymi uprawnieniami do administrowania domeną w domenie Active Directory.
Polecenie usunięcia zduplikowanego wpisu to "setspn -D <spn><nazwa_>konta".

 

 

C:>setspn  D HOST/chomper.test.isilon.com win2k1
Unregistering ServicePrincipalnames for CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
Updated object



Powyższe dane wyjściowe potwierdzają, że "HOST/chomper.test.isilon.com" zostało wyrejestrowane z komputera win2k1. Jest on teraz zarejestrowany tylko na koncie ISICLUSTER1 komputera.

Additional Information

Artykuły pokrewne:

"Usługi uwierzytelniania mogą ulec awarii, jeśli główna nazwa usługi (SPN) jest nieprawidłowa lub jej brakuje"89649
"OneFS: Jak tworzyć konta SPN, aby zezwolić na uwierzytelnianie Kerberos przy użyciu wpisów DNS SmartConnect,"16528
"Jak wyświetlić listę SPN w środowisku Microsoft Active Directory,"16589
"Klient SQL nie może "Bulk Insert" plików z klastra Isilon do bazy danych SQL," 89574
"How to enable Mac OS X single sign-on (SSO) to to Active Directory-enabled CIFS shares in OneFS 5.5.x – 6.5.x, 16675
Isilon OneFS 7.1.0.0: Klienci SMB2 nie mogą łączyć się z klastrem przy użyciu uwierzytelniania Kerberos174024
OneFS: Główne nazwy usług dla uwierzytelniania Kerberos", 187999

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000032723
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.