PowerScale: OneFS: На сервері AD відсутні необхідні сповіщення SPN для NFS HTTP HDFS
Summary: Іноді адміністратори можуть спостерігати попередження, які вказують на те, що імена керівників служб для служб NFS, HTTP або HDFS відсутні.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
За певних умов може бути згенеровано сповіщення про відсутність SPN. Перевірка SPN зазвичай виконується після настання таких подій у кластері:
- Перезавантаження кластера або вузла
- Процеси та/або служби CELOG скидаються
- Періодичні перевірки CELOG через монітор CELOG
- Додавання нового постачальника AD
- Зміна конфігурації мережі (якщо пул налаштований з назвами та псевдонімами зон SmartConnect)
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'
Cause
Система оповіщення CELOG періодично перевіряє кожного постачальника AD, щоб переконатися, що SPN належним чином зареєстровані, і може повідомляти про те, що SPN «відсутні». Це також відбувається під час запуску під час завантаження вузлів.
Логіка, яка використовується при перевірці CELOG, полягає в наступному:
Логіка, яка використовується при перевірці CELOG, полягає в наступному:
- Для кожного постачальника AD перевірте наявні зареєстровані SPN за налаштованими назвами та псевдонімами зон SmartConnect. Якщо пул із налаштованим ім'ям зони SmartConnect було змінено (наприклад, включено новий псевдонім), то перевірка SPN за постачальником AD звіриться з оновленою інформацією.
- У попередніх версіях OneFS, якщо будь-який експорт NFS було налаштовано, має присмак безпеки «krb5», буде вважатися, що NFS SPN потрібні для кожної зони/псевдоніма SC. Починаючи з версій 8.0.0.5/8.0.1.2/8.1.0.1 і пізніших версій, NFS вважається відсутньою за замовчуванням (якщо її ще не зареєстровано). Прибрано перевірку безпеки експорту NFS.
- Якщо HDFS ліцензовано, OneFS припускає, що HDFS SPN потрібні для кожної зони/псевдоніма SC. Це вірно, навіть якщо сама служба не включена на кластері.
- Перевірки HTTP SPN виконуються автоматично незалежно від конфігурації кластера, оскільки службу ввімкнено за замовчуванням. Особливих умов для перевірки HTTP SPN немає.
Примітка: CELOG та
isi auth ads spn check є взаємовиключними один з одним і використовують різні функції або логіку для визначення відсутніх SPN. Наприклад, об'єкт isi auth ads spn check не перевіряє SPN на основі NFS, HTTP або HDFS. Зони СК без відповідного СПН вважаються відсутніми.
Resolution
Саме оповіщення має рекомендаційний характер і стосується одного або кількох доменів AD. SPN не обов'язково потрібні з точки зору OneFS, за винятком самої назви кластера, яка реєструється за замовчуванням. Такі SPN за замовчуванням ніколи не слід видаляти. Скоріше, вони потрібні для того, щоб клієнти могли підключатися до кластера за допомогою автентифікації Kerberos через SMB, NFS або HDFS. Kerbero з SMB підпадають під дію SPN HOST, оскільки CIFS знаходиться під егідою області SPN HOST.
Перегляньте посібники з адміністрування вашої версії OneFS на сторінці PowerScale OneFS Info Hubs, щоб дізнатися, як керувати SPN із кластера.
В іншому випадку оповіщення може бути проігноровано, якщо SPN буде визнано непотрібним, або їх можна зареєструвати, щоб запобігти появі оповіщення в майбутньому.
Перегляньте посібники з адміністрування вашої версії OneFS на сторінці PowerScale OneFS Info Hubs, щоб дізнатися, як керувати SPN із кластера.
В іншому випадку оповіщення може бути проігноровано, якщо SPN буде визнано непотрібним, або їх можна зареєструвати, щоб запобігти появі оповіщення в майбутньому.
Affected Products
PowerScale OneFSProducts
PowerScale OneFSArticle Properties
Article Number: 000167340
Article Type: Solution
Last Modified: 24 May 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.