PowerScale : OneFS : Les services d’authentification peuvent échouer si le nom principal de service (SPN) est incorrect ou manquant

Summary: Les services d’authentification peuvent échouer si le nom principal de service (SPN) est incorrect ou manquant dans le compte de la machine du cluster.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms




 

Problème

Si un cluster est joint à un domaine et que l’administrateur tente une nouvelle intégration immédiate avant qu’AD n’ait répliqué le compte à partir de la jonction initiale, cela peut entraîner des problèmes. Le nom principal de service (SPN) du compte d’ordinateur du cluster peut être défini de manière incorrecte. Bien que cet événement soit rare, il provoque des échecs d’authentification.

 

Symptômes

Une fois le cluster joint à un domaine, le cluster ne peut pas authentifier les utilisateurs et les messages d’erreur suivants sont consignés dans /var/log/lsassd.log :

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

 

Cause

Cause

Cause 1 :

Les SPN doivent être uniques au sein d’une forêt Active Directory. En cas de conflit de réplication lorsque deux comptes d’ordinateur sont créés sur deux contrôleurs de domaine différents, AD peut renommer le SPN du compte d’ordinateur du cluster. Lors de l’accès au compte d’ordinateur avec le SPN renommé, des échecs d’authentification peuvent se produire.

Cause 2 :

La deuxième raison pour laquelle ces erreurs se produisent est si le cluster a une zone DNS différente de celle du domaine auquel il est joint. Cela peut entraîner l’enregistrement d’un compte SPN incorrect pour le compte d’ordinateur du cluster dans le domaine Active Directory. Pour vérifier cette cause, exécutez la commande « isi network » et comparez la liste de recherche DNS avec le nom de domaine complet du domaine que vous tentez de rejoindre.

Resolution

Solutions de contournement

Solution de contournement pour la cause 1 :

Contactez un administrateur Active Directory et demandez-lui de supprimer tous les comptes de machine qui ont été créés en joignant le cluster au domaine. Répliquez ces modifications sur les autres contrôleurs de domaine du domaine, puis rejoignez le cluster dans le domaine.

Solution de contournement pour la cause 2 :

Si ceux-ci ne correspondent pas, mettez à jour la liste de recherche DNS pour qu’elle corresponde au FQDN du domaine Active Directory, supprimez le compte d’ordinateur précédemment créé et rejoignez le domaine.

Affected Products

Isilon
Article Properties
Article Number: 000109320
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.