PowerScale: OneFS: AD 도메인에 "오프라인"이 표시되면 클라이언트가 인증하거나 노드에 연결할 수 없음
Summary: 오프라인 Active Directory 공급자는 프로토콜에 관계없이 인증에 사용하는 모든 클라이언트에 영향을 줍니다. AD가 오프라인으로 표시될 때 클러스터 노드에 대한 인증을 확인하는 문제 해결 단계는 다음과 같습니다.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
클라이언트가 클러스터의 일부 또는 모든 노드를 인증할 수 없어 간헐적 또는 전체 DU(Data Unavailability)가 발생합니다. 사용자가 오프라인 AD 공급업체에 의존하는 경우 모든 프로토콜을 통한 액세스가 영향을 받지만 가장 일반적인 것은 SMB입니다. 여러 가지 상황에서 클러스터 전체 또는 노드별로 이러한 시나리오가 발생할 수 있습니다. LSASS( Local Security Authority Subsystem Service )
LSASS와 도메인 컨트롤러의 연결이 끊어지면 다음과 유사한 오류가 /var/log/lsassd.log 파일에 나타납니다.
2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
또는 Active Directory의 상태가 isi auth status로 검토되는 경우 유사한 출력이 표시될 수 있습니다.
testcluster-1# isi auth status
ID Active Server Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System - active
lsa-file-provider:System - active
-----------------------------------------------------------------------
Total: 3
다음은 오프라인 AD 공급업체로 이어지는 일반적인 상황의 몇 가지 예와 식별 및 해결 방법에 대한 단계입니다.
기존 클러스터와 동일한 시스템 계정을 사용하여 동일한 AD 도메인에 추가된 다른 클러스터:
새 클러스터가 최근에 동일한 도메인에 가입된 경우 새 클러스터가 원래 클러스터와 동일한 시스템 계정을 사용하고 있지 않은지 확인합니다. 새 클러스터에서 다음 명령을 실행하여(온라인 도메인 표시) 호스트 이름과 시스템 계정을 확인합니다.
# isi auth ads view <domain>
(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$
새 클러스터가 원래 클러스터의 시스템 계정을 사용하는 경우(둘 다 ISITEST를 사용하고 동일한 호스트 이름을 가짐) 새 클러스터에서 도메인을 탈퇴하고 이전 클러스터의 도메인에 다시 가입합니다. 그런 다음 동일한 시스템 계정 이름이 지정되지 않도록 새 클러스터에 다시 연결합니다. 문제가 있는 경우 지원 부서에 문의하십시오.
컴퓨터 계정 암호/AD에서 삭제된 계정:
클러스터가 Active Directory에 가입되었지만 isi 인증 상태에 아무 것도 표시되지 않는 경우( lsa-activedirectory에 대해 아무 것도 표시되지 않음) 컴퓨터 계정이 Active Directory 쪽에서 삭제되었는지 확인합니다. 클러스터를 도메인에 다시 연결하여 Active Directory에서 새 시스템 계정을 생성하고 인증을 복원할 수 있습니다.
DNS가 SRV 조회를 거부하고 있습니다. 이 경우 DNS가 관련 노드 IP의 쿼리를 수락하도록 구성되어 있는지 확인합니다.
dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com
; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV
;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59
Cause
LSASS(Local Security Authority Subsystem Service)
Resolution
해결 방법 1 - 하드웨어 연결 문제 조사:
- /var/log/messages 파일에서 하드웨어 연결 문제를 찾습니다. 로그 파일의 메시지는 노드 네트워크 포트가 "Up" 상태인지 여부를 나타냅니다. 클러스터의 다른 노드에서 /var/log/messages 파일을 확인하여 네트워크 연결 문제가 클러스터 전체에서 발생하는지 확인합니다.
- 도메인 컨트롤러에서 시스템 및 응용 프로그램 이벤트 로그를 확인합니다. 이러한 로그 파일에는 네트워크 연결 끊김과 관련된 드라이버 또는 하드웨어 문제에 대한 오류가 포함될 수 있습니다.
해결 방법 2 - DNS 캐시 중독 조사:
네트워크 연결 문제가 하드웨어와 관련이 없는 경우 Active Directory 도메인의 _mscds DNS 영역에 대한 서비스(SRV) 레코드를 검사해야 합니다. 클러스터에서 DNS 서버로의 DNS 요청 패킷 추적에 잘못되거나 누락된 정보가 표시됩니다. SRV 레코드에 잘못된 정보가 등록되어 있거나 도메인 컨트롤러에 _mscds DNS 영역의 일부 레코드가 없는 경우 클러스터의 노드는 도메인 컨트롤러에 연결하려고 할 때 도메인이 오프라인 상태임을 보고합니다. SRV 레코드를 현재 정보로 업데이트하거나 다른 DNS 서버로 변경하면 DNS 캐시 중독이 해결됩니다.
예제 1
이 패킷 추적은 클러스터의 노드로 반환된 DNS 서버 및 SRV 레코드 목록을 표시합니다. SRV 레코드 정보를 dc2.domain.com 에 사용할 수 없습니다.
아니요. 시간 원본 대상 프로토콜 길이 정보
5 16:40:19.061003 1.1.1.1 1.1.1.2 DNS 110 표준 쿼리 SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 표준 쿼리 응답 SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.1.2 DNS 87 표준 쿼리 A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 표준 쿼리 응답, 해당 이름 없음
예제 2
이 패킷 추적에서 노드는 SRV 레코드에서 _ldap._tcp.dc._msdcs.domain.com 조회하지만 클라이언트에 정보가 반환되지 않습니다.
아니요. 시간 원본 대상 프로토콜 길이 정보
15 16:40:21.458636 1.1.1.1 1.1.1.2 DNS 100 표준 쿼리 SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1.1 DNS 100 표준 쿼리 응답, 해당 이름 없음
이 경우 네트워킹 및 Active Directory 팀과 협력하여 DNS SRV 레코드가 정확하고 도메인 컨트롤러로 확인되도록 하세요.
해결 방법 3 - LSASS 새로 고침:
- 노드에 대한 SSH 연결을 열고 "root" 계정을 사용하여 로그인합니다.
- 인증 데몬이 AD에 연결되어 있지 않은지 확인합니다. 여기서 <nodeID>는 최근에 추가된 노드의 노드 번호입니다.
isi_for_array -n <nodeID> 'isi auth ads list'
노드가 도메인에 연결된 경우 다음과 유사한 출력이 표시됩니다.
cluster-1: Name Authentication Status DC Name Site
cluster-1: --------------------------------------------------------------------
cluster-1: LAB.EXAMPLE.COM Yes online - Default-First-Site-Name
cluster-1: --------------------------------------------------------------------
cluster-1: Total: 1
- 도메인 GUID가 채워지지 않았는지 확인합니다. lsass가 구성을 올바르게 검색하지 않으면 도메인 GUID 값이 채워지지 않습니다.
isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"
다음과 유사한 출력이 나타납니다.
cluster-1: Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1: Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1: Domain GUID:
- 새로 추가된 노드에서 다음 명령을 실행합니다.
isi_for_array -n < node_range> /usr/likewise/bin/lwsm refresh lsass
- 새 노드가 AD 공급업체에 연결되어 있다고 보고하는지 확인합니다.
isi_for_array -n < node_range> 'isi auth ads list -v'
- GUID 값이 나타나는지 확인합니다.
isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"
다음과 유사한 출력이 나타납니다.
cluster-1: Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1: Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1: Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
- Windows 클라이언트에서 사용자가 드라이브를 매핑하고 새로 추가된 노드의 IP 주소를 지정하여 클러스터에 인증할 수 있는지 확인합니다.
해결 방법 4 - LSASS를 재시작합니다.
1. 최근에 추가된 노드에 대한 SSH 연결을 열고 "root" 계정을 사용하여 로그인합니다.
2. 사용 가능한 도메인 컨트롤러를 나열합니다. 여기서< domain_name>는 클러스터가 조인된 도메인의 FQDN(Fully Qualified Domain Name)입니다.isi auth ads trusts controllers list --provider=<domain_name> -v
3. 도메인 컨트롤러에 강제로 연결합니다. 여기서< domain_name>는 클러스터가 조인<된 도메인의 FQDN이고 dc_name>는 도메인 컨트롤러의 FQDN입니다.isi auth ads modify <domain_name> --domain-controller <dc_name> --v
4. AD 상태 새로 고침:isi_classic auth ads status --refresh --all
아래와 같이 상태가온라인으로 변경됩니다.
Active Directory Services Status:
Mode: unprovisioned
Status: online
Primary Domain: LAB.EXAMPLE.COM
NetBios Domain: LAB
Domain Controller: dc1.lab.example.com
Hostname: cluster.lab.example.com
Machine Account: CLUSTER$
5. 상태가 여전히 오프라인으로 표시되면 인증 데몬을 재시작합니다(노드에 대한 인증이 최대 1분 동안 중단됨). Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'
6. 4단계를 반복합니다.
7. Windows 클라이언트에서 드라이브를 매핑하고 LSASS가 재시작된 노드의 IP 주소를 지정하여 사용자가 클러스터에 인증할 수 있는지 확인하십시오.
Additional Information
도메인 연결 문제에 대한 문제 해결 참고 사항:
도메인에서 나갔다가 다시 가입하는 경우 다시 가입한 후 해당 영역에 대한 인증 공급자 목록에 Active Directory 공급자가 표시되는지 확인합니다.
이 example.com 도메인의 경우 Auth Providers 섹션에서 제거되었으므로 다시 추가해야 합니다.
isi zone zones list -v:
Name: accesszonedev1
Path: /ifs/accesszone1
Groupnet: groupnet0
Map Untrusted: -
Auth Providers: lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
NetBIOS Name: -
User Mapping Rules:
Home Directory Umask: 0077
Skeleton Directory: /usr/share/skel
Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
Zone ID: 2
WebUI는 다시 추가하고 원하는 순서대로 검색되도록 하는 가장 쉬운 방법일 수 있습니다. OneFS 버전에 따라 해당하는 관리 가이드를 참조하십시오. PowerScale OneFS 정보 허브
Affected Products
Isilon, PowerScale OneFSArticle Properties
Article Number: 000055836
Article Type: Solution
Last Modified: 16 Oct 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.