PowerScale: OneFS: Klienci nie mogą uwierzytelnić się lub połączyć z węzłami, gdy domena usługi AD wyświetla komunikat "Offline"

Summary: Dostawca usługi Active Directory w trybie offline ma wpływ na każdego klienta, który używa go do uwierzytelniania, niezależnie od protokołu. Poniżej przedstawiono kroki rozwiązywania problemów związanych z uwierzytelnianiem w węzłach klastra, gdy usługa AD wyświetla tryb offline. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Klienci nie mogą uwierzytelnić się w niektórych lub wszystkich węzłach w klastrze, co powoduje przejściową lub całkowitą niedostępność danych (DU). Dostęp za pośrednictwem dowolnego protokołu jest zagrożony, jeśli użytkownik jest zależny od dostawcy usługi AD w trybie offline, chociaż najczęstszym z nich jest protokół SMB. Istnieje wiele okoliczności, które mogą potencjalnie prowadzić do tego scenariusza, zarówno w całym klastrze, jak i w zależności od węzła. Klienci SMB nie mogą łączyć się z węzłami w klastrze, gdy usługa podsystemu urzędu zabezpieczeń lokalnych (LSASS)Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. utraci połączenie z kontrolerem domeny.

Gdy usługa LSASS utraci połączenie z kontrolerem domeny, w pliku /var/log/lsassd.log pojawią się błędy podobne do następujących:

2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online

 

Alternatywnie, jeśli stan usługi Active Directory jest sprawdzany ze statusem isi auth, mogą zostać przedstawione podobne dane wyjściowe:

testcluster-1# isi auth status
ID                                           Active Server      Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System                    -                  active
lsa-file-provider:System                     -                  active
-----------------------------------------------------------------------
Total: 3
 
 
 
Poniżej przedstawiono kilka przykładów typowych sytuacji, które prowadzą do dostawcy usługi AD w trybie offline, wraz z krokami dotyczącymi identyfikowania i rozwiązywania problemów.
 

Inny klaster dodany do tej samej domeny usługi AD przy użyciu tego samego konta komputera co istniejący klaster:
Jeśli nowy klaster został niedawno przyłączony do tej samej domeny, sprawdź, czy nowy klaster nie korzysta z tego samego konta komputera co oryginalny klaster. Uruchom następujące polecenie w nowym klastrze (i wyświetlaniu domeny online), aby zweryfikować nazwę hosta i konto komputera:
  
# isi auth ads view <domain>

(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$

 
Jeśli nowy klaster korzysta z konta komputera oryginalnego klastra (oba używają narzędzia ISITEST i mają tę samą nazwę hosta), opuść domenę z nowego klastra i ponownie przyłącz domenę ze starego klastra. Następnie ponownie dołącz do nowego klastra, upewniając się, że ta sama nazwa konta komputera nie została określona. W przypadku wystąpienia problemów skontaktuj się z pomocą techniczną.
 

Hasło do konta komputera/konto usunięte z usługi AD:
Jeśli klaster został przyłączony do usługi Active Directory, ale teraz nie wyświetla niczego w statusie uwierzytelniania isi (nic nie było wyświetlane w przypadku usługi lsa-activedirectory), sprawdź, czy konto komputera zostało usunięte po stronie usługi Active Directory. Klaster można ponownie przyłączyć do domeny, aby utworzyć nowe konto komputera w usłudze Active Directory i przywrócić uwierzytelnianie.
 

System DNS odmawia wyszukiwania SRV. Jeśli tak się dzieje, sprawdź, czy system DNS jest skonfigurowany do akceptowania zapytań z odpowiednich adresów IP węzłów. 
dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com

; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV

;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59
 

 

Cause

Usługa podsystemu urzędu zabezpieczeń lokalnych (LSASS)Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. może utracić połączenie z podłączonym kontrolerem domeny z powodu problemów ze sprzętem, problemów z łącznością lub zatrucia pamięci podręcznej DNSKliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.. Może się to też zdarzyć, ponieważ do klastra dodano węzeł, który nie miał połączenia z siecią. Jeśli kontroler domeny jest niedostępny z jakiegokolwiek powodu, po ponownym uruchomieniu węzła lub ponownym uruchomieniu usługi LSASS niektóre informacje o domenie mogą pozostać niewypełnione. Zazwyczaj identyfikator GUID domeny dla domeny podstawowej pozostaje niewypełniony. Powoduje to brak możliwości ukończenia uwierzytelniania dla użytkowników łączących się z tym węzłem.

Resolution

Obejście 1 — zbadanie problemów z łącznością sprzętową:

  • Poszukaj problemów z łącznością sprzętową w pliku /var/log/messages . Komunikaty w pliku dziennika wskazują, czy port sieciowy węzła jest w stanie "Up", czy nie. Przyjrzyj się plikowi /var/log/messages w innych węzłach klastra, aby określić, czy problem z łącznością sieciową występuje w całym klastrze.
  • Przyjrzyj się dziennikom zdarzeń systemu i aplikacji w kontrolerze domeny. Te pliki dziennika mogą zawierać błędy dotyczące problemów ze sterownikiem lub sprzętem, które są związane z utratą połączenia z siecią.


Obejście 2 — Zbadaj zatrucie pamięci podręcznej DNS:

Jeśli problem z łącznością sieciową nie jest związany ze sprzętem, należy sprawdzić rekordy usługi (SRV) dla strefy DNS _mscds dla domen usługi Active Directory. Ślad pakietu żądania DNS z klastra do serwera DNS pokazuje nieprawidłowe lub brakujące informacje. Jeśli w rekordach SRV są zarejestrowane niepoprawne informacje lub jeśli kontrolery domeny nie mają wszystkich rekordów w strefie DNS _mscds, węzły w klastrze zgłaszają, że domena jest w trybie offline podczas próby skontaktowania się z kontrolerem domeny. Aktualizacja rekordów SRV przy użyciu bieżących informacji lub zmiana na inny serwer DNS powinna rozwiązać problem z zatruwaniem pamięci podręcznej DNS.

Przykład 1

Ten ślad pakietu zawiera listę serwerów DNS i rekordów SRV, które zostały zwrócone do węzłów w klastrze. Informacje o rekordzie SRV nie były dostępne dla dc2.domain.com.

Nie. Czas Źródło, Miejsce docelowe, Protokół Długość Info
5 16:40:19.061003 1.1.1.1 1.1.1.2 DNS 110 Zapytanie standardowe SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 Standardowa odpowiedź na zapytanie SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.1.2 DNS 87 Standardowe zapytanie A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Standardowa odpowiedź na zapytanie, Brak takiej nazwy
Przykład 2

W tym śledzeniu pakietu węzeł wyszukuje rekord SRV dla _ldap._tcp.dc._msdcs.domain.com, ale żadne informacje nie są zwracane klientowi.

Nie. Czas Źródło Miejsce docelowe Protokół Długość Info
15 16:40:21.458636 1.1.1.1 1.1.1.2 DNS 100 Zapytanie standardowe SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1.1 DNS 100 Standardowa odpowiedź na zapytanie, Brak takiej nazwy


W takiej sytuacji należy współpracować z zespołem ds. sieci i usługi Active Directory, aby upewnić się, że rekordy SRV DNS są dokładne i rozpoznawane na kontrolerze domeny.

Obejście 3 — odświeżenie LSASS:

  1. Otwórz połączenie SSH z węzłem i zaloguj się przy użyciu konta root.
  2.  Sprawdź, czy demon uwierzytelniania nie jest połączony z usługą AD, gdzie <nodeID> to numer ostatnio dodanego węzła:

    isi_for_array -n <nodeID> 'isi auth ads list'

    Jeśli węzeł jest przyłączony do domeny, wyświetlane są dane wyjściowe podobne do następujących:
     
    cluster-1: Name            Authentication Status DC Name Site
    cluster-1: --------------------------------------------------------------------
    cluster-1: LAB.EXAMPLE.COM Yes            online -       Default-First-Site-Name
    cluster-1: --------------------------------------------------------------------
    cluster-1: Total: 1
     
  3.  Sprawdź, czy identyfikator GUID domeny nie jest wypełniony. Jeśli lsass nie pobierze poprawnie konfiguracji, nie wypełni wartości GUID domeny:

    isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Zostaną wyświetlone dane wyjściowe podobne do następujących:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID:
     
  4. Uruchom następujące polecenie na nowo dodanym węźle:

    isi_for_array -n < node_range> /usr/likewise/bin/lwsm refresh lsass
     
  5. Sprawdź, czy nowy węzeł zgłasza, że jest połączony z dostawcą usługi AD.

    isi_for_array -n < node_range> 'isi auth ads list -v'
     
  6.  Upewnij się, że wyświetlana jest wartość GUID:

    isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Zostaną wyświetlone dane wyjściowe podobne do następujących:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
     
  7. Na kliencie z systemem Windows sprawdź, czy użytkownik może uwierzytelnić się w klastrze, mapując dysk, określając adres IP nowo dodanego węzła.

Obejście 4 — uruchom ponownie LSASS:

1. Otwórz połączenie SSH z ostatnio dodanym węzłem i zaloguj się przy użyciu konta root.
2. Wyświetl listę dostępnych kontrolerów domeny, gdzie <domain_name> jest w pełni kwalifikowaną nazwą domeny (FQDN) domeny, do której przyłączony jest klaster:

isi auth ads trusts controllers list --provider=<domain_name> -v

3. Wymuś połączenie z kontrolerem domeny, gdzie <domain_name> to nazwa FQDN domeny, do której przyłączony jest klaster, a <dc_name> to nazwa FQDN kontrolera domeny:

isi auth ads modify <domain_name> --domain-controller <dc_name> --v

4. Odśwież stan usługi AD:

isi_classic auth ads status --refresh --all

Stan powinien zmienić się na online, jak pokazano poniżej:
 

Active Directory Services Status:
Mode:                unprovisioned
Status:              online
Primary Domain:      LAB.EXAMPLE.COM
NetBios Domain:      LAB
Domain Controller:   dc1.lab.example.com
Hostname:            cluster.lab.example.com
Machine Account:     CLUSTER$
 

5. Jeśli stan nadal jest wyświetlany jako offline, uruchom ponownie demona uwierzytelniania (pamiętaj, że spowoduje to przerwanie uwierzytelniania w węźle na maksymalnie minutę): 

Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'

6. Powtórz krok 4.
7. Na kliencie z systemem Windows sprawdź, czy użytkownik może uwierzytelnić się w klastrze, mapując dysk, określając adres IP węzła, na którym ponownie uruchomiono usługę LSASS.

Additional Information

Uwaga dotycząca rozwiązywania problemów z łącznością domeny:
Jeśli opuścisz domenę i ponownie do niej dołączysz, upewnij się, że dostawca usługi Active Directory pojawia się na liście dostawców uwierzytelniania dla odpowiedniej strefy po ponownym dołączeniu.

W przypadku tej domeny example.com należy ją ponownie dodać, ponieważ została usunięta z sekcji Auth Providers:

isi zone zones list -v:

                       Name: accesszonedev1
                       Path: /ifs/accesszone1
                   Groupnet: groupnet0
              Map Untrusted: -
             Auth Providers:  lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
               NetBIOS Name: -
         User Mapping Rules:
       Home Directory Umask: 0077
         Skeleton Directory: /usr/share/skel
         Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
                    Zone ID: 2


WebUI może być najłatwiejszym sposobem na dodanie go z powrotem i upewnienie się, że jest wyszukiwany w żądanej kolejności. Zapoznaj się z odpowiednim podręcznikiem administracyjnym w zależności od używanej wersji OneFS. Centra informacji PowerScale OneFS

Affected Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000055836
Article Type: Solution
Last Modified: 16 Oct 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.