PowerScale: OneFS: Active Directory'de SMB istemcilerinin kümede kimlik doğrulamasını engelleyen yinelenen Hizmet Asıl Adlarını (SPN'ler) bulma

Summary: Active Directory'de Kerberos kimlik doğrulamasının başarısız olmasına neden olabilecek yinelenen Hizmet Asıl Adlarını belirleme.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Active Directory Etki Alanlarında yinelenen SPN'leri belirleyin:

Yinelenen SPN adları, kümede kimlik doğrulaması sırasında hizmet hesabı oturum açma işlemleri ve istemci oturum açma işlemlerinde başarısız oturum açma işlemlerine neden olabilir. 
 

Yinelenen bir SPN, istemcinin yanlış sistemde veya yanlış Kerberos anahtarında kimlik doğrulamayı denemesine neden olabilir.
Referans: SmartConnect bölge adlarını veya diğer adlarını kullanarak kimlik doğrulaması yapan http://technet.microsoft.com/en-us/library/cc772897%28v=ws.10%29.aspx

SMB istemcileri küme paylaşımlarında kimlik doğrulaması yapamayabilir.

Etki alanı denetleyicisi günlüklerinde veya "/var/log/lsassd.log" içinde aşağıdaki iletiler yinelenen SPN'ler olduğunu gösterebilir.
 

KDC_ERR_PRINCIPAL_NOT_UNIQUE  - Multiple entries in database

KRB_AP_ERR_MODIFIED   Message stream modified errors

Event ID 11 and/or Event ID 4 on Domain controllers can indicate duplicate SPNs.

Cause

Active Directory ortamında SPN'lerin yanlış yapılandırılması yinelemelere neden olabilir.

Resolution

Prosedür

Yinelenen SPN'leri bulmak için kullanılabilecek iki seçenek vardır. Setspn bir komut satırı yardımcı programıdır ve LDP yalnızca Windows Server 2003 ve üzeri sürümlerde kullanılabilen bir grafik arabirimdir. 

Setspn'yi
 
kullanmaWindows 7, 8, Server 2008 ve 2012'de bulunan Setspn. Windows Server 2003 için, aşağıdaki bağlantı kullanılarak edinilebilir: http://support.microsoft.com/kb/970536
Windows komut satırı arabiriminde, komutun ek seçenekleri için "setspn /?" kullanın.
Yinelenenler "setspn -x" kullanılarak bulunur, bu tüm ormanda arama yapar ve büyük ortamlarda işlenmesi zaman alabilir.
setspn q" komutu, SPN adına göre sorgu yapar ve daha büyük ortamlar için daha iyi olabilir.

Örnek 1:
HOST/chomper.test.isilon.com" adlı SPN, hem "isicluster1" adlı kümeye hem de "win2k1" adlı bir Windows sunucusuna kaydedilir.
 

C:>setspn  -x
Checking domain DC=test,DC=isilon,DC=com
Processing Entry 0
HOST/chomper.test.isilon.com is registered on these accounts
                CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
Found 1 group of duplicate SPNs.


  
Örnek 2:
Daha büyük ortamlarda, "setspn q <SPN>"kullanarak sorgu yapın veya aşağıda gösterildiği gibi LDP kullanın.
 

C:>setspn  -q HOST/chomper.test.isilon.com
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/isicluster1
                HOST/isicluster1.test.isilon.com
CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/win2k1
                HOST/win2k1.test.isilon.com
 
Existing SPN found!

Ortamın başka bir yerinde CIFS gibi farklı bir hizmet sınıfı tanımlayıcısına sahip bir SPN varsa "setspn -x" ile bulunmaz. Joker karakter araması çalıştırarak bunu arayabilirsiniz:

C:\>setspn -q */isilon
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster2,CN=Computers,DC=test,DC=isilon,DC=com
                cifs/chomper.test.isilon.com



LDP kullanma: http://support.microsoft.com/kb/321044

  1. Başlat a tıklayın, Çalıştır a tıklayın, LDP yazın ve Tamam a tıklayın.
  2. Önce Connection, ardından Connect öğesine tıklayın.
  3. Varsayılan ayarları onaylı halde bırakın ve OK öğesine tıklayın.
    Not: Beklediğiniz sonucu almazsanız, varsayılan ayar (389) yerine Genel Katalog Bağlantı Noktasını (3268) kullanarak başka bir arama yapmayı deneyin.
  4. Bağlantı'yı tıklatın ve sonra Bağla'yı tıklatın.
  5. Varsayılan ayarları onaylı halde bırakın ve OK öğesine tıklayın.
  6. Görünüm'ü tıklatın ve sonra Ağaç'ı tıklatın.
  7. Ağaç Görünümü iletişim kutusunda, BaseDN kutusuna DC=test,DC=isilon,DC=com yazın
  8. Browse öğesine ve ardından Search öğesine tıklayın.
  9. Search iletişim kutusunda BaseDN kutusuna DC=test,DC=isilon,DC=com yazın.
  10. Search iletişim kutusunda, Filter kutusuna (serviceprincipalname=HOST/<sczonename>) yazın
  11. Öznitelikler iletişim kutusuna servicePrincipalName yazın.
  12. Scope altında Subtree öğesine tıklayın.
  13. Çalıştır öğesine tıklayın ve ardından Search iletişim kutusunu kapatın.
  14. Yinelenen SPN'ler, iki farklı Dn'ye işaret eden iki girişe sahiptir
***Searching 
ldap_search_s(Id,  DC=test,DC=isilon,DC=com ,2,
    (serviceprincipalname=HOST/chomper.test.isilon.com) ,attrList, 0 &msg)
    Getting 2 entries:
Dn: CN=ISICLUSTER1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/isicluster1; HOST/isicluster1.test.isilon.com;
      HOST/chomper.test.isilon.com
Dn: CN=WIN2K1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/win2k1; HOST/win2k1.test.isilon.com;
      HOST/chomper.test.isilon.com


 
Çözünürlük:
HOST/chomper.test.isilon.com" için win2k1 için yinelenen giriş Active Directory etki alanından kaldırılmalıdır.

Yinelenen giriş, Active Directory Etki Alanında Etki Alanı Yöneticisi, Enterprise Admin veya belirli etki alanı yönetimi haklarına sahip bir kullanıcı tarafından çıkarılabilir.
Yinelenen girdiyi kaldırma komutu "setspn -D <spn><accountname>" komutudur.

 

 

C:>setspn  D HOST/chomper.test.isilon.com win2k1
Unregistering ServicePrincipalnames for CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
Updated object



Yukarıdaki çıktı, "HOST/chomper.test.isilon.com" öğesinin win2k1 bilgisayarındaki kaydının kaldırıldığını doğrular. Artık yalnızca ISICLUSTER1 makine hesabına kaydedilir.

Additional Information

İlgili Makaleler:

Hizmet Asıl Adı (SPN) yanlış veya eksikse kimlik doğrulama hizmetleri başarısız olabilir,"89649
"OneFS: SmartConnect DNS girişlerini kullanarak Kerberos kimlik doğrulamasına izin vermek için SPN hesapları oluşturma,"16528
,"Microsoft Active Directory ortamında bir SPN listesi nasıl görüntülenir,"16589
,"SQL istemcisi, bir Isilon kümesinden SQL veritabanına dosyaları "Toplu Ekleyemez"," 89574
"OneFS 5.5.x - 6.5.x'te Active Directory özellikli CIFS paylaşımlarında Mac OS X çoklu oturum açma (SSO) nasıl etkinleştirilir, "16675
"Isilon OneFS 7.1.0.0: SMB2 istemcileri, Kerberos kimlik doğrulaması kullanarak kümeye bağlanamıyor,"174024
"OneFS: Kerberos Kimlik Doğrulaması için Hizmet Asıl Adları," 187999

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000032723
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.