PowerScale: OneFS: Os clients não conseguem autenticar ou se conectar aos nós quando o domínio do AD mostra "Offline"

Summary: Um provedor do Active Directory off-line afeta qualquer cliente que o usa para autenticação, independentemente do protocolo. As etapas de solução de problemas para resolver a autenticação nos nós do cluster quando o AD aparece off-line estão abaixo. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Os clients não conseguem se autenticar em alguns ou todos os nós do cluster, causando indisponibilidade de dados intermitente ou total (DU). O acesso a qualquer protocolo será afetado se o usuário depender de um provedor do AD off-line, embora o mais comum seja SMB. Há muitas circunstâncias que podem levar a esse cenário, seja em todo o cluster ou em uma base específica do nó. Os clients SMB não podem se conectar aos nós do cluster quando o Local Security Authority Subsystem Service (LSASS)Esse hiperlink direcionará você para um site fora da Dell Technologies. perde sua conexão com o controlador de domínio.

Quando o LSASS perde sua conexão com o controlador de domínio, erros semelhantes aos seguintes aparecem no arquivo /var/log/lsassd.log :

2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online

 

Como alternativa, se o status do Active Directory for revisado com isi auth status, um resultado semelhante poderá ser apresentado:

testcluster-1# isi auth status
ID                                           Active Server      Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System                    -                  active
lsa-file-provider:System                     -                  active
-----------------------------------------------------------------------
Total: 3
 
 
 
Veja abaixo alguns exemplos de situações comuns que levam a um provedor de AD off-line, com etapas sobre como identificar e resolver.
 

Cluster diferente adicionado ao mesmo domínio do AD usando a mesma conta de máquina do cluster existente:
Se um novo cluster ingressou recentemente no mesmo domínio, verifique se o novo cluster não está usando a mesma conta de computador do cluster original. Execute o seguinte comando no novo cluster (e mostrando o domínio on-line) para verificar o nome do host e a conta da máquina:
  
# isi auth ads view <domain>

(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$

 
Se o novo cluster estiver usando a conta de máquina do cluster original (ambos usando ISITEST e tem o mesmo nome de host), saia do domínio do novo cluster e ingresse novamente no domínio do cluster antigo. Em seguida, ingresse novamente no novo cluster, garantindo que o mesmo nome de conta de máquina não seja especificado. Se houver problemas, entre em contato com o suporte.
 

Senha da conta de máquina/conta excluída do AD:
Se o cluster foi associado ao Active Directory, mas agora não mostra nada no status isi auth (nada mostrado para lsa-activedirectory), verifique se a conta da máquina foi excluída no lado do Active Directory. O cluster pode ser reingressado no domínio para criar uma nova conta de máquina no Active Directory e restaurar a autenticação.
 

O DNS está recusando a pesquisa SRV. Se isso estiver acontecendo, verifique se o DNS está configurado para aceitar consultas dos IPs de nó relevantes. 
dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com

; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV

;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59
 

 

Cause

O Serviço de Subsistema de Autoridade de Segurança Local (LSASS)Esse hiperlink direcionará você para um site fora da Dell Technologies. pode perder sua conexão com o controlador de domínio conectado devido a problemas de hardware, problemas de conectividade ou envenenamentoEsse hiperlink direcionará você para um site fora da Dell Technologies. de cache DNS. Como alternativa, isso pode acontecer porque um nó foi adicionado ao cluster e o nó não tem conectividade de rede. Se o controlador de domínio estiver indisponível por qualquer motivo, quando um nó for reinicializado ou o LSASS for reiniciado, algumas das informações de domínio poderão permanecer não preenchidas. Normalmente, o GUID do domínio primário permanece não preenchido. Isso faz com que a autenticação não possa ser concluída para os usuários que se conectam a esse nó.

Resolution

Solução temporária 1 – Investigue problemas de conectividade de hardware:

  • Procure problemas de conectividade de hardware no arquivo /var/log/messages . As mensagens no arquivo de log indicam se a porta de rede do nó está em um estado "Up" ou não. Analise o arquivo /var/log/messages em outros nós do cluster para determinar se o problema de conectividade de rede ocorre em todo o cluster.
  • Analise os logs de eventos do sistema e do aplicativo no controlador de domínio. Esses arquivos de log podem incluir erros sobre problemas de driver ou hardware relacionados à perda de conectividade de rede.


Solução temporária 2 – Investigue o envenenamento do cache DNS:

Se o problema de conectividade de rede não estiver relacionado ao hardware, você deverá inspecionar os registros de serviço (SRV) da zona DNS _mscds dos domínios do Active Directory. Um rastreamento de pacotes da solicitação DNS do cluster para o servidor DNS mostra informações incorretas ou ausentes. Se informações incorretas forem registradas nos registros SRV ou se os controladores de domínio não tiverem todos os registros na zona DNS _mscds, os nós do cluster relatarão que o domínio está off-line quando tentarem entrar em contato com o controlador de domínio. Atualizar os registros SRV com informações atuais ou alterar para um servidor DNS diferente deve resolver o envenenamento de cache DNS.

Exemplo 1

Esse rastreamento de pacotes mostra a lista de servidores DNS e registros SRV que foram retornados aos nós do cluster. As informações do registro SRV não estavam disponíveis para dc2.domain.com.

Não. Time Source Destination Protocol Length Info
5 16:40:19.061003 1.1.1.1 1.1.1.2 DNS 110 Standard query SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 Standard query response SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.1.2 DNS 87 Standard query A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Standard query response, sem esse nome
Exemplo 2

Nesse rastreamento de pacotes, um nó procura o registro SRV em busca de _ldap._tcp.dc._msdcs.domain.com, mas nenhuma informação é retornada ao client.

Não. Time Source Destination Protocol Length Info
15 16:40:21.458636 1.1.1.1 1.1.1.2 DNS 100 Standard query SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1.1 DNS 100 Standard query response, No such name


Nessa situação, trabalhe com sua equipe de sistema de rede e Active Directory para garantir que os registros SRV DNS sejam precisos e resolvidos para o controlador de domínio.

Solução temporária 3 – Atualize o LSASS:

  1. Abra uma conexão SSH com o nó e faça log-in usando a conta "root".
  2.  Verifique se o daemon de autenticação não está conectado ao AD, em que <nodeID> é o número do nó adicionado recentemente:

    isi_for_array -n <nodeID> 'isi auth ads list'

    Se o nó estiver associado ao domínio, um resultado semelhante ao seguinte será exibido:
     
    cluster-1: Name            Authentication Status DC Name Site
    cluster-1: --------------------------------------------------------------------
    cluster-1: LAB.EXAMPLE.COM Yes            online -       Default-First-Site-Name
    cluster-1: --------------------------------------------------------------------
    cluster-1: Total: 1
     
  3.  Verifique se o GUID do domínio não está preenchido. Se o lsass não recuperar sua configuração corretamente, ele não preencherá um valor GUID de domínio:

    isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Um resultado parecido com este será exibido:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID:
     
  4. Execute o seguinte comando no nó recém-adicionado:

    isi_for_array -n < node_range> /usr/likewise/bin/lwsm refresh lsass
     
  5. Verifique se o novo nó está relatando que está conectado a um provedor do AD.

    isi_for_array -n < node_range> 'isi auth ads list -v'
     
  6.  Verifique se o valor GUID é exibido:

    isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Um resultado parecido com este será exibido:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
     
  7. No client do Windows, verifique se o usuário pode se autenticar no cluster mapeando uma unidade, especificando o endereço IP do nó recém-adicionado.

Solução temporária 4 – Reinicie o LSASS:

1. Abra uma conexão SSH com o nó recém-adicionado e faça log-in usando a conta "root".
2. Liste os controladores de domínio disponíveis, em que <domain_name> é o nome de domínio totalmente qualificado (FQDN) do domínio ao qual o cluster está associado:

isi auth ads trusts controllers list --provider=<domain_name> -v

3. Conecte-se à força a um controlador de domínio, em que< domain_name> é o FQDN do domínio ao qual o cluster está associado e <dc_name> é o FQDN do controlador de domínio:

isi auth ads modify <domain_name> --domain-controller <dc_name> --v

4. Atualize o status do AD:

isi_classic auth ads status --refresh --all

O status deve mudar para on-line, conforme mostrado abaixo:
 

Active Directory Services Status:
Mode:                unprovisioned
Status:              online
Primary Domain:      LAB.EXAMPLE.COM
NetBios Domain:      LAB
Domain Controller:   dc1.lab.example.com
Hostname:            cluster.lab.example.com
Machine Account:     CLUSTER$
 

5. Se o status ainda for exibido como off-line, reinicie o daemon de autenticação (Observe que isso interromperá a autenticação no nó por até um minuto): 

Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'

6. Repita a etapa 4.
7. No client Windows, verifique se o usuário pode se autenticar no cluster mapeando uma unidade, especificando o endereço IP do nó no qual o LSASS foi reiniciado.

Additional Information

Nota de solução de problemas de conectividade de domínio:
Se você sair e ingressar novamente no domínio, confirme se o provedor do Active Directory aparecerá na lista de provedores de autenticação da zona relevante depois que você reingressar.

Para esse domínio example.com, ele deve ser adicionado novamente, pois foi removido da seção Auth Providers:

isi zone zones list -v:

                       Name: accesszonedev1
                       Path: /ifs/accesszone1
                   Groupnet: groupnet0
              Map Untrusted: -
             Auth Providers:  lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
               NetBIOS Name: -
         User Mapping Rules:
       Home Directory Umask: 0077
         Skeleton Directory: /usr/share/skel
         Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
                    Zone ID: 2


A WebUI pode ser a maneira mais fácil de adicioná-la novamente e garantir que ela seja pesquisada na ordem desejada. Consulte o guia de administração aplicável com base em sua versão do OneFS. Hubs de informações do PowerScale OneFS

Affected Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000055836
Article Type: Solution
Last Modified: 16 Oct 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.