PowerScale: OneFS: Klienter kan ikke godkjenne eller koble til noder når AD-domenet viser "Frakoblet"

Summary: En frakoblet Active Directory-leverandør påvirker alle klienter som bruker den til godkjenning, uavhengig av protokoll. Du finner feilsøkingstrinnene for å løse godkjenning til klyngenoder når AD vises som frakoblet. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Klienter kan ikke godkjenne til noen eller alle noder i klyngen, noe som forårsaker uregelmessig eller total datautilgjengelighet (DU). Tilgang over en hvilken som helst protokoll påvirkes hvis brukeren er avhengig av en frakoblet AD-leverandør, selv om den vanligste vi ser er SMB. Det er mange omstendigheter som potensielt kan føre til dette scenariet, enten i hele klyngen eller på en nodespesifikk basis. SMB-klienter kan ikke koble til noder i klyngen når LSASS (Local Security Authority Subsystem Service )Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. mister tilkoblingen til domenekontrolleren.

Når LSASS mister forbindelsen med domenekontrolleren, vises feil som ligner på følgende i /var/log/lsassd.log-filen :

2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online

 

Alternativt, hvis statusen for Active Directory gjennomgås med isi-autorisasjonsstatus, kan lignende utdata presenteres:

testcluster-1# isi auth status
ID                                           Active Server      Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System                    -                  active
lsa-file-provider:System                     -                  active
-----------------------------------------------------------------------
Total: 3
 
 
 
Nedenfor finner du noen eksempler på vanlige situasjoner som fører til en frakoblet AD-leverandør, med fremgangsmåter for hvordan du identifiserer og løser problemet.
 

Ulike klynger lagt til samme AD-domene med samme maskinkonto som den eksisterende klyngen:
Hvis en ny klynge nylig ble koblet til det samme domenet, må du kontrollere at den nye klyngen ikke bruker samme maskinkonto som den opprinnelige klyngen. Kjør følgende kommando på den nye klyngen (og vis domene online) for å bekrefte vertsnavnet og maskinkontoen:
  
# isi auth ads view <domain>

(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$

 
Hvis den nye klyngen bruker maskinkontoen til den opprinnelige klyngen (begge bruker ISITEST og har samme vertsnavn), forlater du domenet fra den nye klyngen og blir med i domenet igjen fra den gamle klyngen. Bli deretter med i den nye klyngen igjen, og kontroller at det samme maskinkontonavnet ikke er angitt. Hvis det er problemer, kontakter du kundestøtte.
 

Maskinkontopassord/-konto slettet fra AD:
Hvis klyngen ble koblet til Active Directory, men nå ikke viser noe i isi-autentiseringsstatus (ingenting vises for lsa-activedirectory), kontrollerer du om maskinkontoen ble slettet på Active Directory-siden. Klyngen kan kobles til domenet på nytt for å opprette en ny maskinkonto i Active Directory og gjenopprette godkjenning.
 

DNS avviser SRV-oppslaget. Hvis dette skjer, må du kontrollere at DNS er konfigurert til å godta spørringer fra de relevante node-IP-ene. 
dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com

; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV

;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59
 

 

Cause

LSASS (Local Security Authority Subsystem Service)Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. kan miste tilkoblingen til den tilkoblede domenekontrolleren på grunn av maskinvareproblemer, tilkoblingsproblemer eller skade av DNS-hurtigbufferenDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.. Dette kan også skje fordi en node ble lagt til i klyngen, og noden ikke hadde nettverkstilkobling. Hvis domenekontrolleren av en eller annen grunn ikke er tilgjengelig, kan noe av domeneinformasjonen forbli ufylt når en node startes på nytt eller LSASS startes på nytt. Vanligvis forblir domene-GUIDen for det primære domenet ikke fylt ut. Dette fører til at godkjenningen ikke kan fullføres for brukere som kobler til noden.

Resolution

Løsning 1 – undersøk problemer med maskinvaretilkobling:

  • Se etter problemer med maskinvaretilkoblingen i / var/log/messages-filen . Meldinger i loggfilen angir om nodenettverksporten er i "Opp"-tilstand eller ikke. Se på /var/log/messages-filen på andre noder i klyngen for å finne ut om problemet med nettverkstilkoblingen oppstår i hele klyngen.
  • Se på system- og programhendelsesloggene i domenekontrolleren. Disse loggfilene kan inneholde feil om driver- eller maskinvareproblemer knyttet til tap av nettverkstilkobling.


Løsning 2 – undersøke skade på DNS-hurtigbufferen:

Hvis nettverkstilkoblingsproblemet ikke er maskinvarerelatert, bør du kontrollere tjenestepostene (SRV) for _mscds DNS-sonen for Active Directory-domenene. En pakkesporing av DNS-forespørselen fra klyngen til DNS-serveren viser feil eller manglende informasjon. Hvis feil informasjon er registrert i SRV-postene, eller hvis domenekontrollerne ikke har alle postene i _mscds DNS-sonen , rapporterer nodene i klyngen at domenet er frakoblet når de prøver å kontakte domenekontrolleren. Oppdatering av SRV-postene med gjeldende informasjon eller endring til en annen DNS-server skal løse skade på DNS-hurtigbufferen.

Eksempel 1

Denne pakkesporingen viser listen over DNS-servere og SRV-poster som ble returnert til nodene i klyngen. SRV-postinformasjon var ikke tilgjengelig for dc2.domain.com.

Nei. Time Source Destination Protocol Lengde Info
5 16:40:19.061003 1.1.1.1 1.1.1.2 DNS 110 Standard query SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 Standard query response SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.1.2 DNS 87 Standard query A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Standard spørringssvar, Ingen slikt navn
Eksempel 2

I denne pakkesporingen slår en node opp SRV-posten for _ldap._tcp.dc._msdcs.domain.com, men ingen informasjon returneres til klienten.

Nei. Time Source Destination Protocol Lengde Info
15 16:40:21.458636 1.1.1.1 1.1.1.2 DNS 100 Standard spørring SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1.1 DNS 100 Standard spørring svar, Ingen slikt navn


I så fall må du samarbeide med nettverks- og Active Directory-teamet for å sikre at DNS SRV-postene er nøyaktige og løses til domenekontrolleren.

Løsning 3 – oppdater LSASS:

  1. Åpne en SSH-tilkobling til noden og logg på med "root" -kontoen.
  2.  Kontroller at godkjenningsbakgrunnsprosessen ikke er koblet til AD, der <nodeID> er nodenummeret til noden som nylig er lagt til:

    isi_for_array -n <nodeID> 'isi auth ads list'

    Hvis noden er koblet til domenet, vises utdata som ligner på følgende:
     
    cluster-1: Name            Authentication Status DC Name Site
    cluster-1: --------------------------------------------------------------------
    cluster-1: LAB.EXAMPLE.COM Yes            online -       Default-First-Site-Name
    cluster-1: --------------------------------------------------------------------
    cluster-1: Total: 1
     
  3.  Kontroller at domene-GUIDen ikke fylles ut. Hvis lsass ikke henter konfigurasjonen på riktig måte, fyller den ikke ut en domene-GUID-verdi:

    isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Det vises utdata som ligner på disse:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID:
     
  4. Kjør følgende kommando på den nylig tilføyde noden:

    isi_for_array -n < node_range> /usr/likeledes/bin/lwsm refresh lsass
     
  5. Kontroller at den nye noden rapporterer at den er koblet til en AD-leverandør.

    isi_for_array -n < node_range> 'isi auth ads list -v'
     
  6.  Kontroller at GUID-verdien vises:

    isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Det vises utdata som ligner på disse:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
     
  7. I Windows-klienten kontrollerer du at brukeren kan godkjennes i klyngen ved å tilordne en stasjon og angi IP-adressen til noden som nylig er lagt til.

Løsning 4 – start LSASS på nytt:

1. Åpne en SSH-tilkobling til den nylig tillagte noden, og logg på med "root" -kontoen.
2. Oppgi tilgjengelige domenekontrollere, der <domain_name> er det fullstendige domenenavnet (FQDN) til domenet klyngen er koblet til:

isi auth ads trusts controllers list --provider=<domain_name> -v

3. Koble til en domenekontroller med tvang, der <domain_name> er FQDN for domenet klyngen er koblet til, og <dc_name> er FQDN for domenekontrolleren:

isi auth ads modify <domain_name> --domain-controller <dc_name> --v

4. Oppdater AD-status:

isi_classic auth ads status --refresh --all

Statusen skal endres til online som vist nedenfor:
 

Active Directory Services Status:
Mode:                unprovisioned
Status:              online
Primary Domain:      LAB.EXAMPLE.COM
NetBios Domain:      LAB
Domain Controller:   dc1.lab.example.com
Hostname:            cluster.lab.example.com
Machine Account:     CLUSTER$
 

5. Hvis statusen fortsatt vises som frakoblet, starter du godkjenningsbakgrunnsprosessen på nytt (Merk at dette vil avbryte godkjenningen til noden i opptil et minutt.): 

Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'

6. Gjenta trinn 4.
7. På Windows-klienten må du kontrollere at brukeren kan godkjenne til klyngen ved å tilordne en stasjon, og angi IP-adressen til noden der LSASS ble startet på nytt.

Additional Information

Feilsøkingsmerknad for problemer med domenetilkobling:
Hvis du forlater og kobler deg til domenet på nytt, må du bekrefte at Active Directory-leverandøren vises i listen over godkjenningsleverandører for den aktuelle sonen etter at du har blitt med på nytt.

For dette example.com domenet må det legges til på nytt siden det ble fjernet fra Auth Providers-delen:

isi zone zones list -v:

                       Name: accesszonedev1
                       Path: /ifs/accesszone1
                   Groupnet: groupnet0
              Map Untrusted: -
             Auth Providers:  lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
               NetBIOS Name: -
         User Mapping Rules:
       Home Directory Umask: 0077
         Skeleton Directory: /usr/share/skel
         Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
                    Zone ID: 2


WebUI kan være den enkleste måten å legge den til igjen og sørge for at den blir søkt i ønsket rekkefølge. Se den gjeldende administrasjonsveiledningen basert på din versjon av OneFS. Informasjonshuber i PowerScale OneFS

Affected Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000055836
Article Type: Solution
Last Modified: 16 Oct 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.