PowerScale:OneFS:如果服務主體名稱 (SPN) 不正確或缺失,身份驗證服務可能會失敗
Summary: 如果群集計算機帳戶中的服務主體名稱 (SPN) 不正確或缺失,身份驗證服務可能會失敗。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
問題
如果叢集已加入網域,且系統管理員在 AD 從初始加入時複製帳戶之前嘗試立即重新加入,這可能會導致問題。群集計算機帳戶的服務主體名稱 (SPN) 可能設置不正確。儘管此事件不常見,但它會導致身份驗證失敗。
症狀
成功將叢集加入網域後,叢集無法驗證使用者,並且會將下列錯誤訊息記錄到 /var/log/lsassd.log:
Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]
Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]
Cause
原因
原因 1:
SPN 在 Active Directory 樹系中必須是唯一的。如果在兩個不同的域控制器上創建兩個計算機帳戶時發生複製衝突,則 AD 可能會重命名群集的電腦帳戶的 SPN。使用重命名的SPN訪問計算機帳戶時,可能會發生身份驗證失敗。
原因 2:
發生這些錯誤的第二個原因是群集的 DNS 區域與其加入的域不同。這可能會導致在 Active Directory 域中為群集電腦帳戶註冊了錯誤的 SPN 帳戶。若要檢查此原因,請執行「isi network」命令,並將 DNS 搜尋清單與您嘗試加入的網域的完整網域名稱進行比較。
Resolution
因應措施
原因 1 的因應措施:
聯絡 Active Directory 系統管理員,並請他們移除將叢集加入網域而建立的所有機器帳戶。將這些更改複製到域中的其他域控制器,然後將群集重新加入域。
原因 2 的因應措施:
如果這些不符合,請更新 DNS 搜尋清單,以符合 Active Directory 網域的 FQDN,刪除先前建立的電腦帳戶,然後重新加入網域。
Affected Products
IsilonArticle Properties
Article Number: 000109320
Article Type: Solution
Last Modified: 28 Nov 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.