PowerScale: OneFS: Asiakkaat eivät voi todentaa tai muodostaa yhteyttä solmuihin, kun AD-toimialueella näkyy offline-tila

Summary: Offline-tilassa toimiva Active Directory -palvelu vaikuttaa kaikkiin asiakkaisiin, jotka käyttävät sitä autentikointiin, protokollasta riippumatta. Seuraavassa on vianmääritysohjeet klusterisolmujen todennuksen ratkaisemiseksi, kun AD näkyy offline-tilassa. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Asiakkaat eivät pysty todentamaan joihinkin tai kaikkiin klusterin solmuihin, mikä aiheuttaa ajoittaisen tai täydellisen tietojen käyttökatkoksen (DU). Minkä tahansa protokollan käyttö vaikuttaa, jos käyttäjä on riippuvainen offline-AD-palveluntarjoajasta, vaikka yleisin näkemämme protokolla on SMB. On monia tilanteita, jotka voivat johtaa tähän skenaarioon joko klusterin laajuisesti tai solmukohtaisesti. SMB-asiakkaat eivät voi muodostaa yhteyttä klusterin solmuihin, kun LSASS (Local Security Authority Subsystem Service )Tämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon. -palvelu menettää yhteyden toimialueen ohjauskoneeseen.

Kun LSASS:n yhteys toimialueen ohjauskoneeseen katkeaa, /var/log/lsassd.log tiedostossa ilmenee seuraavankaltakaltaisia virheitä:

2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online

 

Vaihtoehtoisesti, jos Active Directoryn tila tarkistetaan isi-todennuksella, voidaan esittää samanlainen tulos:

testcluster-1# isi auth status
ID                                           Active Server      Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System                    -                  active
lsa-file-provider:System                     -                  active
-----------------------------------------------------------------------
Total: 3
 
 
 
Alla on esimerkkejä yleisistä tilanteista, jotka johtavat offline-AD-palveluntarjoajaan, sekä ohjeet tunnistamiseen ja ratkaisemiseen.
 

Eri klusteri lisätty samaan AD-toimialueeseen käyttäen samaa konetiliä kuin olemassa oleva klusteri:
Jos uusi klusteri on äskettäin liitetty samaan toimialueeseen, tarkista, että uusi klusteri ei käytä samaa tietokonetiliä kuin alkuperäinen klusteri. Suorita seuraava komento uudessa klusterissa (ja näyttää toimialueen online-tilassa) isäntänimen ja konetilin tarkistamiseksi:
  
# isi auth ads view <domain>

(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$

 
Jos uusi klusteri käyttää alkuperäisen klusterin konetiliä (molemmat käyttävät ISITEST-ohjelmaa ja niillä on sama isäntänimi), poistu toimialueesta uudesta klusterista ja liitä toimialue uudelleen vanhasta klusterista. Liity sitten uuteen klusteriin uudelleen ja varmista, että saman konetilin nimeä ei ole määritetty. Jos ongelmia ilmenee, ota yhteys tukeen.
 

Konetilin salasana / AD:stä poistettu tili:
Jos klusteri liitettiin Active Directoryyn, mutta nyt se ei näytä mitään isi-auth-tilassa (lsa-activedirectorylle ei näy mitään), tarkista, poistettiinko konetili Active Directory -puolella. Klusteri voidaan liittää uudelleen toimialueeseen uuden konetilin luomiseksi Active Directoryssa ja todennuksen palauttamiseksi.
 

DNS estää SRV-haun. Jos näin tapahtuu, varmista, että DNS on määritetty hyväksymään kyselyt asiaankuuluvan solmun IP-osoitteista. 
dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com

; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV

;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59
 

 

Cause

Local Security Authority Subsystem Service (LSASS)Tämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon. voi menettää yhteyden yhdistetyn toimialueen ohjauskoneeseen laitteisto-ongelmien, yhteysongelmien tai DNS-välimuistin myrkytyksenTämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon. vuoksi. Vaihtoehtoisesti tämä voi johtua siitä, että klusteriin on lisätty solmu eikä solmulla ole ollut verkkoyhteyttä. Jos toimialueen ohjauskone ei jostain syystä ole käytettävissä, osa toimialuetiedoista saattaa jäädä täyttämättä, kun solmu käynnistetään uudelleen tai LSASS käynnistetään uudelleen. Yleensä ensisijaisen toimialueen toimialueen GUID-tunnus jää täyttämättä. Tämä johtaa siihen, että kyseiseen solmuun yhteyden muodostavien käyttäjien todennus ei voi olla valmis.

Resolution

Vaihtoehtoinen menetelmä 1 – Laitteistoyhteysongelmien tutkiminen:

  • Etsi laitteistoyhteysongelmia tiedostosta /var/log/messages . Lokitiedoston viestit ilmaisevat, onko solmun verkkoportti "Up"-tilassa vai ei. Tarkista klusterin muiden solmujen /var/log/messages-tiedostosta , ilmeneekö verkkoyhteysongelma koko klusterissa.
  • Katso toimialueen ohjauskoneen järjestelmä- ja sovellustapahtumalokeja. Lokitiedostot saattavat sisältää virheitä ohjain- tai laitteisto-ongelmista, jotka liittyvät verkkoyhteyden katkeamiseen.


Vaihtoehtoinen menetelmä 2 - DNS-välimuistimyrkytyksen tutkiminen:

Jos verkkoyhteysongelma ei liity laitteistoon, tarkista Active Directory -domainien _mscds DNS-vyöhykkeen palvelutietueet (SRV). DNS-pyynnön pakettijäljitys klusterista DNS-palvelimeen näyttää virheellisiä tai puuttuvia tietoja. Jos SRV-tietueisiin on rekisteröity virheellisiä tietoja tai jos toimialueen ohjauskoneilla ei ole kaikkia _mscds DNS -vyöhykkeen tietueita , klusterin solmut ilmoittavat toimialueen olevan offline-tilassa, kun ne yrittävät muodostaa yhteyden toimialueen ohjauskoneeseen. SRV-tietueiden päivittäminen nykyisillä tiedoilla tai vaihtaminen toiseen DNS-palvelimeen ratkaisee DNS-välimuistin myrkytyksen.

Esimerkki 1

Tämä paketin jäljitys näyttää luettelon DNS-palvelimista ja SRV-tietueista, jotka palautettiin klusterin solmuihin. SRV:n tietuetietoja ei ollut saatavilla dc2.domain.com.

Ei. Aikalähteen kohdeprotokollan pituustiedot 5
16:40:19.061003 1.1.1.1 1.1.1.2 DNS 110 Standard kysely SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 Vakiokyselyn vastaus SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.2 DNS 87 Vakiokysely A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Standard kyselyvastaus, ei sellaista nimeä
Esimerkki 2

Tässä pakettijäljityksessä solmu etsii SRV-tietueen _ldap._tcp.dc._msdcs.domain.com, mutta mitään tietoja ei palauteta asiakkaalle.

Ei. Aikalähteen kohdeprotokollan pituustiedot 15
16:40:21.458636 1.1.1.1 1.1.1.2 DNS 100 Standard kysely SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1.1 DNS 100 Standard kyselyvastaus, ei tällaista nimeä


Varmista tässä tilanteessa verkko- ja Active Directory -tiimin kanssa, että DNS SRV -tietueet ovat oikein ja palautuvat toimialueen ohjauskoneeseen.

Vaihtoehtoinen menetelmä 3 - Päivitä LSASS:

  1. Avaa SSH-yhteys solmuun ja kirjaudu root-tilillä.
  2.  Varmista, että todennusdaemon ei ole yhteydessä AD:hen, jossa <nodeID> on äskettäin lisätyn solmun solmunumero:

    isi_for_array -n <nodeID> 'isi auth ads list'

    Jos solmu on liitetty toimialueeseen, näkyviin tulee seuraavankaltainen tulos:
     
    cluster-1: Name            Authentication Status DC Name Site
    cluster-1: --------------------------------------------------------------------
    cluster-1: LAB.EXAMPLE.COM Yes            online -       Default-First-Site-Name
    cluster-1: --------------------------------------------------------------------
    cluster-1: Total: 1
     
  3.  Varmista, että toimialueen GUID-tunnusta ei ole täytetty. Jos lsass ei hae määrityksiä oikein, se ei täytä toimialueen GUID-arvoa:

    isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Seuraavankaltainen tulos tulee näkyviin:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID:
     
  4. Suorita seuraava komento äskettäin lisätyssä solmussa:

    isi_for_array -n < node_range> /usr/equalwise/bin/lwsm refresh lsass
     
  5. Varmista, että uusi solmu ilmoittaa olevansa yhteydessä AD-palveluntarjoajaan.

    isi_for_array -n < node_range> 'isi auth ads list -v'
     
  6.  Varmista, että GUID-arvo tulee näkyviin:

    isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Seuraavankaltainen tulos tulee näkyviin:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
     
  7. Varmista Windows-asiakasohjelmassa, että käyttäjä voi todentaa klusteriin yhdistämällä aseman ja määrittämällä juuri lisätyn solmun IP-osoitteen.

Tilapäismenetelmä 4 - Käynnistä LSASS uudelleen:

1. Avaa SSH-yhteys äskettäin lisättyyn solmuun ja kirjaudu root-tilillä.
2. Luettelo käytettävissä olevista toimialueen ohjauskoneista, joissa <domain_name> on sen toimialueen täydellinen toimialuenimi (FQDN), johon klusteri on liitetty:

isi auth ads trusts controllers list --provider=<domain_name> -v

3. Muodosta väkisin yhteys toimialueen ohjauskoneeseen, jossa <domain_name> on sen toimialueen täydellinen toimialue, johon klusteri on liitetty, ja <dc_name> on toimialueen ohjauskoneen täydellinen toimialuenimi:

isi auth ads modify <domain_name> --domain-controller <dc_name> --v

4. Päivitä AD:n tila:

isi_classic auth ads status --refresh --all

Tilan pitäisi muuttua online-tilaan alla kuvatulla tavalla:
 

Active Directory Services Status:
Mode:                unprovisioned
Status:              online
Primary Domain:      LAB.EXAMPLE.COM
NetBios Domain:      LAB
Domain Controller:   dc1.lab.example.com
Hostname:            cluster.lab.example.com
Machine Account:     CLUSTER$
 

5. Jos tila näkyy edelleen offline-tilassa, käynnistä todennusdaemon uudelleen (Huomaa, että tämä keskeyttää todennuksen solmuun enintään minuutiksi.): 

Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'

6. Toista vaihe 4.
7. Varmista Windows-asiakasohjelmassa, että käyttäjä voi todentaa klusteriin yhdistämällä aseman ja määrittämällä sen solmun IP-osoitteen, jossa LSASS käynnistettiin uudelleen.

Additional Information

Huomautus toimialueen yhteysongelmien vianmäärityksestä:
Jos poistut domainista ja liityt siihen uudelleen, varmista, että Active Directory -palvelu näkyy kyseisen vyöhykkeen todennuksen tarjoajien luettelossa liittymisen jälkeen.

Tämä example.com verkkotunnus on lisättävä uudelleen, koska se poistettiin Valtuutuksen tarjoajat -osiosta:

isi zone zones list -v:

                       Name: accesszonedev1
                       Path: /ifs/accesszone1
                   Groupnet: groupnet0
              Map Untrusted: -
             Auth Providers:  lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
               NetBIOS Name: -
         User Mapping Rules:
       Home Directory Umask: 0077
         Skeleton Directory: /usr/share/skel
         Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
                    Zone ID: 2


WebUI voi olla helpoin tapa lisätä se takaisin ja varmistaa, että sitä haetaan halutussa järjestyksessä. Katso OneFS-versioosi perustuva hallinnointiopas. PowerScale OneFS -tietokeskukset

Affected Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000055836
Article Type: Solution
Last Modified: 16 Oct 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.