PowerScale: OneFS: Los clientes no pueden autenticarse ni conectarse a los nodos cuando el dominio de AD aparece como "Offline"

Summary: Un proveedor de Active Directory offline afecta a cualquier cliente que lo utilice para la autenticación, independientemente del protocolo. A continuación, se describen los pasos de solución de problemas para resolver la autenticación en los nodos del clúster cuando AD se muestra como offline. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Los clientes no pueden autenticarse en algunos o todos los nodos del clúster, lo que causa una falta de disponibilidad de datos (DU) intermitente o total. El acceso a través de cualquier protocolo se ve afectado si el usuario depende de un proveedor de AD offline, aunque el más común que vemos es SMB. Hay muchas circunstancias que pueden conducir a este escenario, ya sea en todo el clúster o en una base específica del nodo. Los clientes SMB no pueden conectarse a los nodos del clúster cuando el servicio del subsistema de autoridad de seguridad local (LSASS)Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies. pierde su conexión con la controladora de dominio.

Cuando el LSASS pierde su conexión con la controladora de dominio, aparecen errores similares a los siguientes en el archivo /var/log/lsassd.log :

2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online

 

Como alternativa, si se revisa el estado de Active Directory con isi auth status, se puede presentar una salida similar:

testcluster-1# isi auth status
ID                                           Active Server      Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System                    -                  active
lsa-file-provider:System                     -                  active
-----------------------------------------------------------------------
Total: 3
 
 
 
A continuación, se muestran algunos ejemplos de situaciones comunes que conducen a un proveedor de AD offline, con pasos sobre cómo identificarlos y resolverlos.
 

Se agregó un clúster diferente al mismo dominio de AD con la misma cuenta de máquina que el clúster existente:
Si un nuevo clúster se unió recientemente al mismo dominio, verifique que el nuevo clúster no utilice la misma cuenta de máquina que el clúster original. Ejecute el siguiente comando en el nuevo clúster (y muestre el dominio en línea) para verificar el nombre de host y la cuenta de máquina:
  
# isi auth ads view <domain>

(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$

 
Si el nuevo clúster utiliza la cuenta de máquina del clúster original (ambos utilizan ISITEST y tienen el mismo nombre de host), abandone el dominio del nuevo clúster y vuelva a incorporarse al dominio del clúster anterior. A continuación, vuelva a unirse al nuevo clúster, asegurándose de que no se especifique el mismo nombre de cuenta de máquina. Si hay problemas, póngase en contacto con el soporte.
 

Contraseña de la cuenta de máquina/cuenta eliminada de AD:
Si el clúster se unió a Active Directory, pero ahora no muestra nada en isi auth status (no se muestra nada para lsa-activedirectory), compruebe si la cuenta de máquina se eliminó en el lado de Active Directory. El clúster se puede volver a unir al dominio para crear una nueva cuenta de máquina en Active Directory y restaurar la autenticación.
 

El DNS rechaza la búsqueda de SRV. Si esto sucede, verifique que DNS esté configurado para aceptar consultas de las IP de nodo pertinentes. 
dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com

; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV

;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59
 

 

Cause

El servicio de subsistema de autoridad de seguridad local (LSASS)Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies. puede perder su conexión con la controladora de dominio conectada debido a problemas de hardware, problemas de conectividad o por envenenamiento Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.de caché de DNS. Como alternativa, esto puede suceder porque se agregó un nodo al clúster y el nodo no tiene conectividad de red. Si la controladora de dominio no está disponible por algún motivo, cuando se reinicia un nodo o LSASS, parte de la información del dominio puede permanecer sin completar. Por lo general, el GUID de dominio para el dominio principal permanece sin completar. Esto provoca que la autenticación no pueda completarse para los usuarios que se conectan a ese nodo.

Resolution

Solución alternativa 1: investigue los problemas de conectividad de hardware:

  • Busque problemas de conectividad de hardware en el archivo /var/log/messages . Los mensajes en el archivo de registro indican si el puerto de red del nodo está en un estado "activo" o no. Observe el archivo /var/log/messages en otros nodos del clúster para determinar si el problema de conectividad de red se produce en todo el clúster.
  • Observe los registros de eventos del sistema y de la aplicación en la controladora de dominio. Estos archivos de registro pueden incluir errores sobre problemas de controladores o hardware relacionados con la pérdida de conectividad de red.


Solución alternativa 2: investigue el envenenamiento de la caché de DNS:

Si el problema de conectividad de red no está relacionado con el hardware, debe inspeccionar los registros de servicio (SRV) de la zona DNS _mscds para los dominios de Active Directory. Un seguimiento de paquetes de la solicitud de DNS del clúster al servidor DNS muestra información incorrecta o faltante. Si se registra información incorrecta en los registros SRV, o si las controladoras de dominio no tienen todos los registros en la zona DNS _mscds, los nodos del clúster informan que el dominio está offline cuando intentan comunicarse con la controladora de dominio. La actualización de los registros SRV con la información actual o el cambio a un servidor DNS diferente debería resolver el envenenamiento de la caché de DNS.

Ejemplo 1

Este seguimiento de paquetes muestra la lista de servidores DNS y registros SRV que se devolvieron a los nodos del clúster. La información del registro de SRV no estaba disponible para dc2.domain.com.

No. Hora, origen, destino, protocolo, longitud Información
5 16:40:19.061003 1.1.1.1 1.1.1.2 DNS 110 Consulta estándar SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 Respuesta de consulta estándar SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.1.2 DNS 87 Consulta estándar A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Respuesta de consulta estándar, no existe tal nombre
Ejemplo 2

En este seguimiento de paquetes, un nodo busca _ldap._tcp.dc._msdcs.domain.com en el registro SRV, pero no se devuelve ninguna información al cliente.

No. Hora, origen, destino, protocolo, longitud Información 15
16:40:21.458636 1.1.1.1 1.1.1.2 Consulta estándar de DNS 100 SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1.1 Respuesta de consulta estándar de DNS 100, no existe tal nombre


En esta situación, trabaje con el equipo de redes y Active Directory para asegurarse de que los registros SRV de DNS sean precisos y se resuelvan en la controladora de dominio.

Solución alternativa 3: actualice LSASS:

  1. Abra una conexión SSH al nodo e inicie sesión con la cuenta "raíz".
  2.  Verifique que el demonio de autenticación no esté conectado a AD, donde <nodeID> es el número de nodo del nodo agregado recientemente:

    isi_for_array -n <nodeID> 'isi auth ads list'

    Si el nodo está unido al dominio, aparece una salida similar a la siguiente:
     
    cluster-1: Name            Authentication Status DC Name Site
    cluster-1: --------------------------------------------------------------------
    cluster-1: LAB.EXAMPLE.COM Yes            online -       Default-First-Site-Name
    cluster-1: --------------------------------------------------------------------
    cluster-1: Total: 1
     
  3.  Verifique que el GUID del dominio no esté completado. Si lsass no recupera su configuración correctamente, no completará un valor de GUID de dominio:

    isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Aparece una salida similar a lo siguiente:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID:
     
  4. Ejecute el siguiente comando en el nodo recién agregado:

    isi_for_array -n < node_range> /usr/likewise/bin/lwsm refresh lsass
     
  5. Verifique que el nuevo nodo informe que está conectado a un proveedor de AD.

    isi_for_array -n < node_range> 'isi auth ads list -v'
     
  6.  Asegúrese de que aparezca el valor de GUID:

    isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Aparece una salida similar a lo siguiente:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
     
  7. En el cliente de Windows, verifique que el usuario pueda autenticarse en el clúster mediante la asignación de una unidad y la especificación de la dirección IP del nodo recién agregado.

Solución alternativa 4: reinicie LSASS:

1. Abra una conexión SSH al nodo agregado recientemente e inicie sesión con la cuenta "raíz".
2. Enumere los controladores de dominio disponibles, donde< domain_name> es el nombre de dominio calificado (FQDN) del dominio al que se une el clúster:

isi auth ads trusts controllers list --provider=<domain_name> -v

3. Realice la conexión forzada a una controladora de dominio, donde <domain_name> es el FQDN del dominio al que se une el clúster y <dc_name> es el FQDN de la controladora de dominio:

isi auth ads modify <domain_name> --domain-controller <dc_name> --v

4. Actualizar estado de AD:

isi_classic auth ads status --refresh --all

El estado debe cambiar a en línea, como se muestra a continuación:
 

Active Directory Services Status:
Mode:                unprovisioned
Status:              online
Primary Domain:      LAB.EXAMPLE.COM
NetBios Domain:      LAB
Domain Controller:   dc1.lab.example.com
Hostname:            cluster.lab.example.com
Machine Account:     CLUSTER$
 

5. Si el estado aún se muestra como offline, reinicie el demonio de autenticación (tenga en cuenta que esto interrumpirá la autenticación en el nodo durante un minuto): 

Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'

6. Repita el paso 4.
7. En el cliente de Windows, verifique que el usuario pueda autenticarse en el clúster mediante la asignación de una unidad y la especificación de la dirección IP del nodo en el que se reinició LSASS.

Additional Information

Nota de solución de problemas de conectividad de dominio:
Si abandona y vuelve a unirse al dominio, confirme que el proveedor de Active Directory aparezca en la lista de proveedores de autenticación para la zona pertinente después de volver a unirse.

Para este dominio example.com, se debe volver a agregar, ya que se eliminó de la sección Auth Providers:

isi zone zones list -v:

                       Name: accesszonedev1
                       Path: /ifs/accesszone1
                   Groupnet: groupnet0
              Map Untrusted: -
             Auth Providers:  lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
               NetBIOS Name: -
         User Mapping Rules:
       Home Directory Umask: 0077
         Skeleton Directory: /usr/share/skel
         Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
                    Zone ID: 2


La interfaz de usuario web puede ser la manera más fácil de volver a agregarlo y asegurarse de que se busque en el orden deseado. Consulte la guía de administración correspondiente según su versión de OneFS. Centros de información de PowerScale OneFS

Affected Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000055836
Article Type: Solution
Last Modified: 16 Oct 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.