PowerScale: OneFS: Klienter kan ikke godkende eller oprette forbindelse til noder, når AD-domænet viser "Offline"

Klienter kan ikke godkende til nogle eller alle noder i klyngen, hvilket forårsager periodisk eller total datautilgængelighed (DU). Adgang via en protokol påvirkes, hvis brugeren er afhængig af en offline AD-udbyder, selvom den mest almindelige, vi ser, er SMB. Der er mange omstændigheder, der potentielt kan føre til dette scenarie, enten på klyngeniveau eller på nodespecifik basis. SMB-klienter kan ikke oprette forbindelse til noder i klyngen, når LSASS ( Local Security Authority Subsystem Service ) mister forbindelsen til domænecontrolleren.

Når LSASS mister forbindelsen til domænecontrolleren, vises der fejl i stil med følgende i filen /var/log/lsassd.log :

2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online

Alternativt, hvis status for Active Directory gennemses med isi auth-status, kan lignende output vises:

testcluster-1# isi auth status
ID                                           Active Server      Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System                    -                  active
lsa-file-provider:System                     -                  active
-----------------------------------------------------------------------
Total: 3

# isi auth ads view <domain>

(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$

dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com

; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV

;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59

LSASS ( Local Security Authority Subsystem Service) kan miste forbindelsen til den tilsluttede domænecontroller på grund af hardwareproblemer, forbindelsesproblemer eller DNS-cacheforgiftning. Alternativt kan dette ske, fordi der blev føjet en node til klyngen, og noden ikke havde netværksforbindelse. Hvis domænecontrolleren af en eller anden grund ikke er tilgængelig, når en node genstartes, eller LSASS genstartes, forbliver nogle af domæneoplysningerne muligvis ikke udfyldt. Normalt forbliver domæne-GUID'et for det primære domæne ikke udfyldt. Dette resulterer i, at godkendelse ikke kan være komplet for brugere, der opretter forbindelse til den node.

Løsning 1 – Undersøg problemer med hardwaretilslutningen:

• Se efter problemer med hardwareforbindelsen i filen /var/log/messages . Meddelelser i logfilen angiver, om nodenetværksporten er i tilstanden "Op" eller ej. Se på filen /var/log/messages på andre noder i klyngen for at finde ud af, om problemet med netværksforbindelsen opstår i hele klyngen.
• Se på system- og programhændelsesloggene i domænecontrolleren. Disse logfiler kan indeholde fejl om driver- eller hardwareproblemer, der vedrører tab af netværksforbindelse.

Løsning 2 – Undersøg DNS-cacheforgiftning:

Hvis problemet med netværksforbindelsen ikke er hardwarerelateret, bør du undersøge serviceposterne (SRV) for _mscds DNS-zonen for Active Directory-domænerne. En pakkesporing af DNS-anmodningen fra klyngen til DNS-serveren viser forkerte eller manglende oplysninger. Hvis der registreres forkerte oplysninger i SRV-posterne, eller hvis domænecontrollerne ikke har alle posterne i den _mscds DNS-zone, rapporterer noderne i klyngen, at domænet er offline, når de forsøger at kontakte domænecontrolleren. Opdatering af SRV-posterne med aktuelle oplysninger eller skift til en anden DNS-server bør løse DNS-cacheforgiftning.

Eksempel 1

Denne pakkesporing viser listen over DNS-servere og SRV-poster, der blev returneret til noderne i klyngen. Oplysninger om SRV-poster var ikke tilgængelige for dc2.domain.com.

Nej. Tidskilde Destinationsprotokol Længde Info
5 16:40:19.061003 1.1.1.1 1.1.1.2 DNS 110 Standardforespørgsel SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 Standard forespørgselssvar SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.1.2 DNS 87 Standardforespørgsel A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Standardforespørgselssvar, intet sådant navn

Eksempel 2

I denne pakkesporing slår en node SRV-posten op for _ldap._tcp.dc._msdcs.domain.com, men der returneres ingen oplysninger til klienten.

Nej. Tidskilde Destinationsprotokol Længde Info
15 16:40:21.458636 1.1.1.1 1.1.1.2 DNS 100 Standardforespørgsel SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1.1 DNS 100 Standardforespørgselssvar, Intet sådant navn

I denne situation skal du arbejde sammen med dit netværks- og Active Directory-team for at sikre, at DNS SRV-posterne er nøjagtige og svarer til domænecontrolleren.

Løsning 3 – Opdater LSASS:

1. Åbn en SSH-forbindelse til noden, og log ind ved hjælp af "root" -kontoen.
2.  Kontroller, at godkendelsesdæmonen ikke er forbundet til AD, hvor <nodeID er nodenummeret> for den nyligt tilføjede node:
   
   isi_for_array -n <nodeID> 'isi auth ads list'
   
   Hvis noden er knyttet til domænet, vises output, der ligner følgende:
    
   cluster-1: Name            Authentication Status DC Name Site
cluster-1: --------------------------------------------------------------------
cluster-1: LAB.EXAMPLE.COM Yes            online -       Default-First-Site-Name
cluster-1: --------------------------------------------------------------------
cluster-1: Total: 1
    
3.  Kontroller, at domæne-GUID'et ikke er udfyldt. Hvis lsass ikke henter konfigurationen korrekt, udfyldes en domæne-GUID-værdi ikke:
   
   isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"
   
   Et output svarende til følgende vises:
    
   cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain GUID:
    
4. Kør følgende kommando på den nyligt tilføjede node:
   
   isi_for_array -n < node_range> /usr/likewise/bin/lwsm refresh lsass
    
5. Kontrollér, at den nye node rapporterer, at den er forbundet til en AD-udbyder.
   
   isi_for_array -n < node_range> 'isi auth ads list -v'
    
6.  Sørg for, at GUID-værdien vises:
   
   isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"
   
   Et output svarende til følgende vises:
    
   cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
    
7. På Windows-klienten skal du kontrollere, at brugeren kan godkende til klyngen ved at tilknytte et drev og angive IP-adressen for den nyligt tilføjede node.

Løsning 4 – Genstart LSASS:

1. Åbn en SSH-forbindelse til den nyligt tilføjede node, og log ind ved hjælp af "root" -kontoen.
2. Angiv tilgængelige domænecontrollere, hvor <domain_name> er det fulde domænenavn (FQDN) på det domæne, klyngen er tilsluttet:

isi auth ads trusts controllers list --provider=<domain_name> -v

3. Opret forbindelse med magt til en domænecontroller, hvor <domain_name> er FQDN for det domæne, klyngen er tilsluttet, og <dc_name> er domænecontrollerens FQDN:

isi auth ads modify <domain_name> --domain-controller <dc_name> --v

4. Opdater AD-status:

isi_classic auth ads status --refresh --all

Status skal ændres til online som vist nedenfor:
 

5. Hvis status stadig vises som offline, skal du genstarte godkendelsesdæmonen (Bemærk, at dette afbryder godkendelsen til noden i op til et minut.): 

Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'

6. Gentag trin 4.
7. På Windows-klienten skal du kontrollere, at brugeren kan godkende til klyngen ved at tilknytte et drev med angivelse af IP-adressen på den node, som LSASS blev genstartet på.

Bemærkning om fejlfinding af problemer med domæneforbindelsen:
Hvis du forlader domænet og tilslutter dig det igen, skal du bekræfte, at Active Directory-udbyderen vises på listen over godkendelsesudbydere for den relevante zone, når du tilmelder dig igen.

For dette example.com domæne skal det tilføjes igen, da det blev fjernet fra afsnittet Godkendelsesudbydere:

isi zone zones list -v:

                       Name: accesszonedev1
                       Path: /ifs/accesszone1
                   Groupnet: groupnet0
              Map Untrusted: -
             Auth Providers:  lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
               NetBIOS Name: -
         User Mapping Rules:
       Home Directory Umask: 0077
         Skeleton Directory: /usr/share/skel
         Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
                    Zone ID: 2

WebUI kan være den nemmeste måde at tilføje det igen og sikre, at det søges i den ønskede rækkefølge. Se den relevante administrationsvejledning, der er baseret på din version af OneFS. PowerScale OneFS-informationshubs