PowerScale. OneFS. Как найти дублирующиеся имена субъектов-служб (SPN) в Active Directory, препятствующие аутентификации SMB-клиентов в кластере

Summary: Как выявить дублирующиеся имена субъектов-служб в Active Directory, которые могут привести к сбою проверки подлинности Kerberos.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Выявление дублирующихся имен SPN в доменах Active Directory:

Дублирование имен SPN может привести к сбоям входа для сервисной учетной записи и для входа клиента при аутентификации в кластер. 
 

Дублирование имени участника-пустышка может привести к тому, что клиент попытается выполнить аутентификацию в неправильной системе или использовать неверный ключ Kerberos.
Справка. http://technet.microsoft.com/en-us/library/cc772897%28v=ws.10%29.aspx

SMB-клиенты, выполняющие аутентификацию с использованием имен или псевдонимов зон SmartConnect, могут не иметь возможности аутентифицироваться в общих ресурсах кластера.

В журналах контроллера домена или в «/var/log/lsassd.log» следующие сообщения могут указывать на наличие дублирующихся SPN.
 

KDC_ERR_PRINCIPAL_NOT_UNIQUE  - Multiple entries in database

KRB_AP_ERR_MODIFIED   Message stream modified errors

Event ID 11 and/or Event ID 4 on Domain controllers can indicate duplicate SPNs.

Cause

Неправильная настройка имен SPN в среде Active Directory может привести к появлению дубликатов.

Resolution

Процедура

Для поиска дублирующихся SPN можно использовать два варианта. Setspn — это утилита командной строки, а LDP — это графический интерфейс, доступный только в Windows Server 2003 и более поздних версиях. 

Использование setspn
 
setspn в Windows 7, 8, Server 2008 и 2012. Для Windows Server 2003 его можно получить по следующей ссылке: http://support.microsoft.com/kb/970536
В интерфейсе командной строки Windows используйте «setspn /?» для получения дополнительных параметров команды.
Дубликаты обнаруживаются с помощью команды «setspn -x», при этом выполняется поиск по всему лесу, что может занять некоторое время для обработки в больших средах.
Команда «setspn q» запрашивает имя SPN и может быть более подходящей для более крупных сред.

Пример 1:
Имя SPN «HOST/chomper.test.isilon.com» зарегистрировано как в кластере с именем «isicluster1», так и на сервере Windows с именем «win2k1».
 

C:>setspn  -x
Checking domain DC=test,DC=isilon,DC=com
Processing Entry 0
HOST/chomper.test.isilon.com is registered on these accounts
                CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
Found 1 group of duplicate SPNs.


  
Пример 2:
В более крупных средах запросите «setspn q <SPN»>или LDP, как показано ниже.
 

C:>setspn  -q HOST/chomper.test.isilon.com
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/isicluster1
                HOST/isicluster1.test.isilon.com
CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/win2k1
                HOST/win2k1.test.isilon.com
 
Existing SPN found!

Если в другом месте среды есть имя SPN с другим идентификатором класса обслуживания, например CIFS, оно не будет найдено с помощью команды «setspn -x». Вы можете найти его, выполнив поиск с подстановочными знаками:

C:\>setspn -q */isilon
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster2,CN=Computers,DC=test,DC=isilon,DC=com
                cifs/chomper.test.isilon.com



Использование LDP: http://support.microsoft.com/kb/321044

  1. Нажмите кнопку Пуск, затем нажмите кнопку Выполнить, введите LDP и нажмите кнопку ОК.
  2. Нажмите кнопку Подключение, затем нажмите кнопку Подключить.
  3. Оставьте настройки по умолчанию и нажмите кнопку OK.
    Примечание. Если вы не получили ожидаемого результата, попробуйте выполнить другой поиск, используя порт глобального каталога (3268) вместо параметра по умолчанию (389).
  4. Нажмите кнопку Подключение, затем нажмите кнопку Привязать.
  5. Оставьте настройки по умолчанию и нажмите кнопку OK.
  6. Нажмите Вид, а затем выберите Дерево.
  7. В диалоговом окне Древовидное представление введите DC=test,DC=isilon,DC=com в поле BaseDN
  8. Нажмите кнопку Обзор, затем выберите Поиск.
  9. В диалоговом окне Поиск введите DC=test,DC=isilon,DC=com в поле BaseDN .
  10. В диалоговом окне Поиск введите (serviceprincipalname=HOST/<sczonename>) в поле Фильтр
  11. В диалоговом окне Атрибуты введите servicePrincipalName.
  12. В разделе Область щелкнитеПоддерево.
  13. Нажмите кнопку Выполнить, затем закройте диалоговое окно Поиск.
  14. Дублирующиеся имена SPN содержат две записи, указывающие на два разных отличительных имени
***Searching 
ldap_search_s(Id,  DC=test,DC=isilon,DC=com ,2,
    (serviceprincipalname=HOST/chomper.test.isilon.com) ,attrList, 0 &msg)
    Getting 2 entries:
Dn: CN=ISICLUSTER1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/isicluster1; HOST/isicluster1.test.isilon.com;
      HOST/chomper.test.isilon.com
Dn: CN=WIN2K1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/win2k1; HOST/win2k1.test.isilon.com;
      HOST/chomper.test.isilon.com


 
Резолюция:
Из домена

Active Directory следует удалить повторяющуюся запись для win2k1 для «HOST/chomper.test.isilon.com».Дублирующаяся запись может быть удалена пользователем с правами администратора домена, администратора предприятия или с указанными правами администратора домена в домене Active Directory.
Команда для удаления дублирующейся записи: «setspn -D <spn><accountname>».

 

 

C:>setspn  D HOST/chomper.test.isilon.com win2k1
Unregistering ServicePrincipalnames for CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
Updated object



Приведенный выше вывод подтверждает, что регистрация узла «HOST/chomper.test.isilon.com» отменена на компьютере win2k1. Теперь он зарегистрирован только в учетной записи компьютера ISICLUSTER1.

Additional Information

Связанные статьи:

«Службы аутентификации могут завершиться сбоем, если имя субъекта-службы (SPN) неверно или отсутствует»,89649
«OneFS: Как создать учетные записи SPN, чтобы разрешить аутентификацию Kerberos с помощью записей DNS SmartConnect,"16528
"Просмотр списка SPN в среде Microsoft Active Directory,"16589
"SQL клиент не может "массово вставить" файлы из кластера Isilon в базу данных SQL," 89574
"Как включить единый вход (SSO) Mac OS X в общие папки CIFS с поддержкой Active Directory в OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: Клиенты SMB2 не могут подключаться к кластеру с помощью аутентификации Kerberos»,174024
«OneFS: Имена субъектов-служб для аутентификации Kerberos», 187999

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000032723
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.