Isilon: Authenticatie via FQDN mislukt, foutmelding "KRB5KRB_AP_ERR_MODIFIED"

Summary: Problemen bij het openen van de FQDN van Isilon-shares. In staat om toegang te krijgen tot hetzelfde via IP. Kerberos-verificatie mislukt bij gebruik van de FQDN, maar NTLM-verificatie mislukt wanneer het IP-adres wordt gebruikt. "Server niet gevonden in Kerberos-database" ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Verificatie via FQDN mislukt met de volgende foutmelding in lsassd.log:
 

cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)


Dit bericht geeft aan dat; Isilon is niet in staat om de klant te herkennen die verzoekt om een van de diensten die Isilon te bieden heeft. Dit zal leiden tot een mislukte verificatie via Kerberos omdat de client geen geldig ticket ontvangt dat Isilon kan herkennen en ontsleutelen. 

Hetzelfde bericht kan worden geïnterpreteerd via netwerktraceringen, wanneer u ziet dat Isilon [10.17.0.154] een "KRB5KRB_AP_ERR_MODIFIED"-pakket terugstuurt naar de client [10.106.12.162] voor een aanvraag voor het instellen van een sessie:


Fout 'KRB5KRB_AP_ERR_MODIFIED'  

Cause

Dit kan verschillende redenen hebben, maar de meest voorkomende worden hieronder opgesomd:

  • Er is een account met dezelfde SPN in het bos. Soms geeft de KDC een foutmelding van KRB_S_PRINCIPAL_UNKNOWN, maar er zijn gevallen waarin het een Kerberos-ticket geeft dat de service [in ons geval is het de Isilon] niet kan ontcijferen en dus een KRB5KRB_AP_ERR_MODIFIED krijgt.
  • De naam van de service-principal staat op het verkeerde Active Directory-account (computer of gebruiker). Ook hier gaat het om een geval van dubbele SPN.
  • Het Active Directory-account waarop de service wordt uitgevoerd, heeft het wachtwoord bijgewerkt/gewijzigd en u ondervindt het probleem vanwege een Active Directory-replicatielatentie- of Active Directory-replicatieprobleem.


Hier probeert de client toegang te krijgen tot een Isilon-share met behulp van de FQDN "mixed.isilon.com".

Laten we nu eens kijken naar het netwerkspoor van deze poging.


Netwerktracering 


1. We zien de juiste naamresolutie, voor "mixed.isilon.com" en de reactie van de DNS-server met het IP-adres van 10.17.0.156 (frames 5042 en 5049)

2. De machine krijgt dan een TGT van de domeincontroller (zie de AS-REQ en AS-REP) (frames 5082 en 5093)

3. De machine vraagt en krijgt vervolgens een Service Ticket voor "mixed.isilon.com" (frames 5101 en 5104). Zoals u hieronder kunt zien, vroeg de machine om een Kerberos-ticket van "mixed.isilon.com"


CName staat voor de naam van de klant en SName staat voor servicenaamuitvoer




4.  De machine gaat vervolgens terug naar de Isilon en probeert zich te authenticeren met behulp van het Kerberos-ticket dat hij zojuist van de domeincontroller heeft gekregen (frames 5107 en 5111). Tijdens de authenticatie reageert de Isilon terug met KRB5KRB_AP_ERR_MODIFIED (frame 5111).


Als u in stap 3 ziet, krijgt de client het Kerberos-ticket van realm "ISILON.COM" terwijl het cluster is toegevoegd aan het vertrouwde domein in dit scenario naar "CORP.COM". Dit betekent dat er een duplicaat van de SPN is geregistreerd in ISILON.COM en dat Isilon het ticket dat door de client wordt gepresenteerd niet kan ontsleutelen, omdat het cluster CORP.COM gebruikt om te verifiëren; Hierdoor mislukt de verificatie.

Voorbeeld van de aanwezigheid van dubbele SPN:

SPN's die worden vermeld in respectievelijk ISILON.COM en CORP.COM 
 

/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

Resolution

Controleer op vertrouwde domeinen en dubbele SPN's op het domein waaraan de Isilon is gekoppeld en het vertrouwde domein:

- De vertrouwde domeinen controleren:

# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>

- Om de aanwezige SPN's in een domein weer te geven:
 

# isi auth ads spn list --provider-name=<Domain name>


Als er dubbele SPN's aanwezig zijn en alleen het hoofddomein wordt gebruikt voor authenticatie, verwijdert u de SPN volgens de KB OneFS: Dubbele SPN's (Service Principal Names) in Active Directory vinden waardoor SMB-clients zich niet kunnen verifiëren bij cluster.

Additional Information

Nuttige link: Een service-principalnaam registreren voor Kerberos-verbindingen


 

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.