Isilon: FQDN üzerinden kimlik doğrulama başarısız, hata "KRB5KRB_AP_ERR_MODIFIED"
Summary: Isilon shares FQDN'sine erişmeye çalışırken sorunlar. Aynısına IP üzerinden erişebilir. FQDN kullanılırken Kerberos kimlik doğrulaması başarısız olur ancak IP adresi kullanıldığında NTLM kimlik doğrulaması başarılı olur. "Sunucu Kerberos veritabanında bulunamadı" ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
FQDN üzerinden kimlik doğrulama şu hata mesajıyla başarısız oluyor: lsassd.log:
cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)
Bu mesaj şunu gösterir; Isilon, Isilon'un sunduğu hizmetlerden birini talep eden müşteriyi tanıyamaz. İstemci, Isilon'un tanıyabileceği ve şifresini çözebileceği geçerli bir anahtar olmayacağından bu durum kimlik doğrulamanın Kerberos yükünü devretmesine neden olur.
Isilon'un [10.17.0.154] oturum kurulum isteği için istemciye [10.106.12.162] "KRB5KRB_AP_ERR_MODIFIED" paketi gönderdiğini gördüğünüzde aynı mesaj ağ izlemeleri üzerinden de yorumlanabilir:
Cause
Bu birkaç nedenden dolayı olabilir, ancak en yaygın olanları aşağıda listelenmiştir:
- Ormanda aynı SPN'ye sahip bir hesap var. Bazen KDC, KRB_S_PRINCIPAL_UNKNOWN bir hata geri verir, ancak hizmetin [Bizim durumumuzda Isilon'dur] şifresini çözemeyeceği ve böylece bir KRB5KRB_AP_ERR_MODIFIED alamayacağı bir Kerberos bileti vereceği durumlar vardır.
- Hizmet Asıl Adı yanlış Active Directory hesabında (Bilgisayar veya Kullanıcı) bulunmaktadır. Bu yine yinelenen bir SPN durumudur.
- Hizmeti çalıştıran Active Directory hesabı parolasını güncelleştirdi/değiştirdi ve Active Directory Çoğaltma Gecikmesi veya Active Directory Çoğaltma sorunu nedeniyle sorunla karşılaşıyorsunuz.
Burada istemci FQDN'yi kullanarak bir Isilon paylaşımına erişmeye çalışıyor"mixed.isilon.com".
Şimdi bu girişimin ağ izine bir göz atalım.
1. "mixed.isilon.com" için uygun ad çözümlemesini ve DNS sunucusu yanıtını 10.17.0.156 IP Adresi (5042 ve 5049 çerçeveleri)
2 ile geri görüyoruz. Makine daha sonra etki alanı denetleyicisinden bir TGT alır (bkz. AS-REQ ve AS-REP) (çerçeve 5082 ve 5093)
3. Makine daha sonra "mixed.isilon.com" (5101 ve 5104 çerçeveleri) için bir Servis Bileti ister ve alır. Aşağıda görebileceğiniz gibi, makine "mixed.isilon.com" Kerberos bileti istiyordu.
CName, İstemci adı anlamına gelir ve SName, Hizmet adı
4 anlamına gelir. Makine daha sonra Isilon'a geri döner ve etki alanı denetleyicisinden (5107 ve 5111 numaralı çerçeveler) aldığı Kerberos anahtarını kullanarak kimlik doğrulamaya çalışır. Kimlik doğrulama sırasında Isilon KRB5KRB_AP_ERR_MODIFIED ile karşılık verir (kare 5111).
3. adımda görüyorsanız istemci, Kerberos biletini "ISILON.COM" bölgesinden alıyor ve bu senaryoda küme güvenilen etki alanına "CORP.COM" olarak katılmış durumda. Bu, ISILON.COM'da kayıtlı yinelenen bir SPN olduğu ve küme kimlik doğrulaması için CORP.COM kullandığından Isilon'un istemci tarafından sunulan biletin şifresini çözemediği anlamına gelir; Bu, kimlik doğrulamanın başarısız olmasına neden olur.
Sırasıyla ISILON.COM ve CORP.COM'de listelenen yinelenen SPN
:SPN'lerin varlığına örnek
/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6
/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6
Resolution
Isilon'un katıldığı etki alanında ve güvenilir etki alanında güvenilir etki alanlarını ve yinelenen SPN'leri kontrol edin:
- Güvenilir etki alanlarını kontrol etmek için:
# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>
- Bir alanda bulunan SPN'leri listelemek için:
# isi auth ads spn list --provider-name=<Domain name>
Yinelenen SPN'ler varsa ve kimlik doğrulama için yalnızca birincil etki alanı kullanılıyorsa KB OneFS'yi takip ederek SPN'yi silin: Active Directory'de SMB istemcilerinin kümede kimlik doğrulamasını engelleyen yinelenen Hizmet Asıl Adlarını (SPN'ler) bulma.
Additional Information
Kullanışlı link: Kerberos bağlantıları için bir hizmet asıl adı kaydetme
Affected Products
IsilonProducts
IsilonArticle Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.