PowerScale: OneFS: Todennuspalvelut voivat epäonnistua, jos palvelun päänimi (SPN) on virheellinen tai puuttuu

Ongelma

Jos klusteri on liitetty toimialueeseen ja järjestelmänvalvoja yrittää liittyä välittömästi uudelleen, ennen kuin AD on replikoinut tilin ensimmäisestä liittymisestä, tämä voi aiheuttaa ongelmia. Klusterin tietokonetilin palvelun päänimi (SPN) on ehkä määritetty väärin. Vaikka tämä tapahtuma on harvinainen, se aiheuttaa todennusvirheitä.

Oireet

Kun klusteri on liitetty toimialueeseen, klusteri ei voi todentaa käyttäjiä ja seuraavat virhesanomat kirjataan kansioon /var/log/lsassd.log:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

Syy

Syy 1:

Palvelun päänimien on oltava yksilöllisiä kaikissa Active Directory -toimialuepuuryhmissä. Jos replikointiristiriita ilmenee, kun kaksi konetiliä luodaan kahteen eri toimialueen ohjauskoneeseen, AD saattaa nimetä klusterin tietokonetilin palvelun päänimen uudelleen. Kun käytät konetiliä uudelleennimetyllä palvelun päänimellä, todennusvirheitä voi ilmetä.

Syy 2:

Toinen syy näihin virheisiin on se, että klusterilla on eri DNS-vyöhyke kuin toimialueella, johon se liitetään. Tämä voi aiheuttaa väärän SPN-tunnuksen rekisteröinnin Active Directory -domainin klusteritietokonetilille. Tarkista tämä syy suorittamalla komento isi network ja vertaamalla DNS-hakuluetteloa sen toimialueen täydelliseen verkkotunnukseen, johon yrität liittyä.

Kiertotavat

Ongelman 1 kiertotapa:

Ota yhteyttä Active Directory -ylläpitäjään ja pyydä häntä poistamaan kaikki laitetilit, jotka on luotu liittämällä klusteri domainiin. Replikoi nämä muutokset toimialueen muihin ohjauskoneisiin ja liitä klusteri sitten uudelleen toimialueeseen.

Ongelman 2 kiertotapa:

Jos nämä eivät täsmää, päivitä DNS-hakuluettelo vastaamaan Active Directory -domainin täydellistä toimialuenimeä, poista aiemmin luotu tietokonetili ja liity domainiin uudelleen.