Isilon: Autentisering över FQDN misslyckas, fel "KRB5KRB_AP_ERR_MODIFIED"

Summary: Problem med att försöka komma åt FQDN för Isilon-resurser. Kan komma åt samma via IP. Kerberos-autentisering misslyckas när du använder FQDN, men NTLM-autentiseringen lyckas när IP-adressen används. "Servern hittades inte i Kerberos-databasen" ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Autentisering över FQDN misslyckas med följande felmeddelande i lsassd.log:
 

cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)


Detta meddelande indikerar att; Isilon kan inte känna igen kunden som begär någon av de tjänster som Isilon har att erbjuda. Detta gör att autentiseringen redundansväxlar över Kerberos eftersom klienten inte har en giltig biljett som Isilon kan känna igen och avkryptera. 

Samma meddelande kan tolkas via nätverksspårningar när du ser Isilon [10.17.0.154] skicka ut "KRB5KRB_AP_ERR_MODIFIED"-paket tillbaka till klienten [10.106.12.162] för en begäran om sessionskonfiguration:


Felet  

Cause

Detta kan hända av flera anledningar, men de vanligaste listas nedan:

  • Det finns ett konto med samma SPN i skogen. Ibland kommer KDC att ge ett fel tillbaka på KRB_S_PRINCIPAL_UNKNOWN, men det finns fall där det kommer att ge en Kerberos-biljett som tjänsten [I vårt fall är det Isilon] inte kan dekryptera och därmed få en KRB5KRB_AP_ERR_MODIFIED.
  • Tjänstens huvudnamn finns på fel Active Directory-konto (dator eller användare). Detta är återigen ett fall av duplicerat SPN.
  • Active Directory-kontot som kör tjänsten har uppdaterat/ändrat sitt lösenord och du upplever problemet på grund av ett Active Directory-replikeringsfördröjnings- eller Active Directory-replikeringsproblem.


Här försöker klienten komma åt en Isilon-resurs med hjälp av FQDN "mixed.isilon.com".

Nu ska vi ta en titt på nätverksspårningen för det här försöket.


Nätverksspårning 


1. Vi ser korrekt namnmatchning för "mixed.isilon.com" och DNS-serverns svar tillbaka med IP-adressen 10.17.0.156 (ramarna 5042 och 5049)

2. Maskinen får sedan en TGT från domänkontrollanten (se AS-REQ och AS-REP) (ramarna 5082 och 5093)

3. Maskinen begär sedan och får en servicebiljett för "mixed.isilon.com" (ramarna 5101 och 5104). Som du kan se nedan bad maskinen om en Kerberos-biljett för "mixed.isilon.com"


CName står för klientnamn och SName står för tjänstnamnutdata




4.  Maskinen går sedan tillbaka till Isilon och försöker autentisera med hjälp av Kerberos-biljetten som den just fick från domänkontrollanten (bild 5107 och 5111). Under autentiseringen svarar Isilon tillbaka med KRB5KRB_AP_ERR_MODIFIED (bildruta 5111).


Om du ser från steg 3 hämtar klienten Kerberos-biljetten från sfären "ISILON.COM" medan klustret är anslutet till sin betrodda domän i det här scenariot till "CORP.COM". Det innebär att det finns ett duplicerat SPN registrerat i ISILON.COM och Isilon kan inte dekryptera biljetten som presenteras av klienten eftersom klustret använder CORP.COM för att autentisera. Detta gör att autentiseringen misslyckas.

Exempel på förekomst av dubbletter av SPN:

SPN som anges i ISILON.COM respektive CORP.COM 
 

/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

Resolution

Sök efter betrodda domäner och dubbletter av SPN på den domän som Isilon är ansluten till och den betrodda domänen:

– Så här kontrollerar du betrodda domäner:

# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>

- Så här listar du SPN:er som finns i en domän:
 

# isi auth ads spn list --provider-name=<Domain name>


Om det finns dubbletter av SPN och endast den primära domänen används för autentisering tar du bort SPN enligt KB OneFS: Så här hittar du dubbletter av SPN (Service Principal Names) i Active Directory som hindrar SMB-klienter från att autentisera till klustret.

Additional Information

Användbar länk: Registrera ett huvudnamn för tjänsten för Kerberos-anslutningar


 

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.