PowerScale: OneFS: Klienti se nemohou ověřit nebo se připojit k uzlům, když se doména AD zobrazuje jako "Offline".

Klienti se nemohou ověřit na některých nebo všech uzlech v clusteru, což způsobuje občasnou nebo úplnou nedostupnost dat (DU). Přístup přes libovolný protokol je ovlivněn, pokud je uživatel závislý na offline poskytovateli AD, i když nejběžnější, který vidíme, je SMB. Existuje mnoho okolností, které mohou potenciálně vést k tomuto scénáři, a to buď v rámci celého clusteru, nebo na základě konkrétního uzlu. Klienti SMB se nemohou připojit k uzlům v clusteru, když služba LSASS (Local Security Authority Subsystem Service ) ztratí spojení s řadičem domény.

Když služba LSASS ztratí připojení k řadiči domény, zobrazí se v souboru /var/log/lsassd.log chyby podobné těm následujícím:

2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online

Případně, pokud je stav služby Active Directory zkontrolován pomocí stavu ověřování isi , může být zobrazen podobný výstup:

testcluster-1# isi auth status
ID                                           Active Server      Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System                    -                  active
lsa-file-provider:System                     -                  active
-----------------------------------------------------------------------
Total: 3

# isi auth ads view <domain>

(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$

dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com

; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV

;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59

Služba LSASS (Local Security Authority Subsystem Service) může ztratit připojení k připojenému řadiči domény z důvodu potíží s hardwarem, problémů s připojením nebo z důvodu otravy mezipamětí DNS. K tomu může dojít i proto, že byl do clusteru přidán uzel, který neměl připojení k síti. Pokud je řadič domény z nějakého důvodu nedostupný, mohou při restartování uzlu nebo restartování služby LSASS zůstat některé informace o doméně nevyplněné. Identifikátor GUID domény pro primární doménu obvykle zůstává nevyplněný. To má za následek, že ověřování pro uživatele, kteří se připojují k tomuto uzlu, nemůže být úplné.

Alternativní řešení 1 – Prozkoumání problémů s připojením hardwaru:

• V souboru /var/log/messages vyhledejte problémy s hardwarovým připojením. Zprávy v souboru protokolu indikují, zda je síťový port uzlu ve stavu "Up" či nikoli. Podívejte se na soubor /var/log/messages na jiných uzlech v clusteru a zjistěte, zda k problému s připojením k síti dochází v celém clusteru.
• Podívejte se na protokoly událostí systému a aplikace v řadiči domény. Tyto soubory protokolu mohou obsahovat chyby týkající se problémů s ovladači nebo hardwarem, které souvisejí se ztrátou připojení k síti.

Alternativní řešení 2 – Prozkoumání otravy mezipaměti DNS:

Pokud problém s připojením k síti nesouvisí s hardwarem, měli byste zkontrolovat záznamy služby (SRV) pro zónu DNS _mscds pro domény služby Active Directory. Trasování paketů požadavku DNS z clusteru na server DNS zobrazuje nesprávné nebo chybějící informace. Pokud jsou v záznamech SRV zaregistrovány nesprávné informace nebo pokud řadiče domény nemají všechny záznamy v zóně DNS _mscds, uzly v clusteru při pokusu o kontaktování řadiče domény hlásí, že doména je offline. Aktualizace záznamů SRV aktuálními informacemi nebo změna na jiný server DNS by měla vyřešit otravu mezipaměti DNS.

Příklad 1

Toto trasování paketů zobrazuje seznam serverů DNS a záznamů SRV, které byly vráceny uzlům v clusteru. Informace o záznamu SRV nebyly pro dc2.domain.com k dispozici.

Ne. Zdroj času Cílový protokol Informace o délce
5 16:40:19.061003 1.1.1.1 1.1.1.2 DNS 110 Standardní dotaz SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 Standardní odpověď na dotaz SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.1.2 DNS 87 Standardní dotaz A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Standardní odpověď na dotaz, bez takového názvu

Příklad 2

V tomto trasování paketů uzel vyhledá záznam SRV pro _ldap._tcp.dc._msdcs.domain.com, ale klientovi se nevrátí žádné informace.

Ne. Čas Zdroj Cíl Protokol
Informace o délce 15 16:40:21.458636 1.1.1.1 1.1.1.2 DNS 100 Standardní dotaz SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1.1 DNS 100 Standardní odpověď na dotaz, žádný takový název

V takové situaci spolupracujte s týmem pro sítě a službu Active Directory a ujistěte se, že záznamy DNS SRV jsou přesné a překládají se na řadič domény.

Alternativní řešení 3 – Obnova služby LSASS:

1. Navažte SSH připojení k uzlu a přihlaste se pomocí účtu "root".
2.  Ověřte, že démon ověřování není připojený ke službě AD, kde <nodeID> je číslo uzlu nedávno přidaného uzlu:
   
   isi_for_array -n <nodeID> 'isi auth ads list'
   
   Pokud je uzel připojený k doméně, zobrazí se výstup podobný následujícímu:
    
   cluster-1: Name            Authentication Status DC Name Site
cluster-1: --------------------------------------------------------------------
cluster-1: LAB.EXAMPLE.COM Yes            online -       Default-First-Site-Name
cluster-1: --------------------------------------------------------------------
cluster-1: Total: 1
    
3.  Ověřte, zda není vyplněn identifikátor GUID domény. Pokud služba lsass nenačte svou konfiguraci správně, nenaplní hodnotu GUID domény:
   
   isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"
   
   Zobrazí se výstup podobný následujícímu:
    
   cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain GUID:
    
4. Na nově přidaném uzlu spusťte následující příkaz:
   
   isi_for_array -n < node_range> /usr/likewise/bin/lwsm refresh lsass
    
5. Ověřte, že nový uzel hlásí, že je připojený k poskytovateli služby AD.
   
   isi_for_array -n < node_range> 'isi auth ads list -v'
    
6.  Ujistěte se, že se zobrazí hodnota GUID:
   
   isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"
   
   Zobrazí se výstup podobný následujícímu:
    
   cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
    
7. V klientovi systému Windows ověřte, zda se uživatel může ověřit v clusteru namapováním jednotky a zadáním IP adresy nově přidaného uzlu.

Alternativní řešení 4 – restartujte službu LSASS:

1. Navažte připojení SSH k nedávno přidanému uzlu a přihlaste se pomocí účtu "root".
2. Seznam dostupných řadičů domény, kde <domain_name> je plně kvalifikovaný název domény (FQDN) domény, ke které je cluster připojen:

isi auth ads trusts controllers list --provider=<domain_name> -v

3. Vynuceně se připojte k řadiči domény, kde <domain_name> je plně kvalifikovaný název domény domény, ke které je cluster připojen, a <dc_name> je plně kvalifikovaný název domény řadiče domény:

isi auth ads modify <domain_name> --domain-controller <dc_name> --v

4. Aktualizace stavu AD:

isi_classic auth ads status --refresh --all

Stav by se měl změnit na online, jak je znázorněno níže:
 

5. Pokud se stav stále zobrazuje jako offline, restartujte ověřovacího démona (všimněte si, že to přeruší ověřování uzlu až na minutu.): 

Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'

6. Opakujte krok 4.
7. V klientovi Windows ověřte, že se uživatel může ověřit v clusteru namapováním jednotky zadáním IP adresy uzlu, na kterém byla služba LSASS restartována.

Poznámka k odstraňování problémů s připojením k doméně:
Pokud doménu opustíte a znovu se k ní připojíte, ověřte, zda se poskytovatel služby Active Directory po opětovném připojení zobrazí v seznamu zprostředkovatelů ověřování pro příslušnou zónu.

U této example.com domény je nutné ji znovu přidat, protože byla odebrána z části Zprostředkovatelé ověřování:

isi zone zones list -v:

                       Name: accesszonedev1
                       Path: /ifs/accesszone1
                   Groupnet: groupnet0
              Map Untrusted: -
             Auth Providers:  lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
               NetBIOS Name: -
         User Mapping Rules:
       Home Directory Umask: 0077
         Skeleton Directory: /usr/share/skel
         Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
                    Zone ID: 2

The WebUI může být nejjednodušší způsob, jak jej přidat zpět a ujistit se, že je prohledáván v požadovaném pořadí. Přečtěte si příslušnou příručku pro správu na základě vaší verze systému OneFS. Informační centra k systému PowerScale OneFS