PowerScale. OneFS. Клиенты не могут аутентифицироваться или подключаться к узлам, если для домена Active Directory отображается значение «Автономный режим»
Summary: Автономный поставщик Active Directory влияет на любой клиент, который использует его для проверки подлинности, независимо от протокола. Ниже приведены действия по устранению неполадок для разрешения аутентификации на узлах кластера, когда AD отображается в автономном режиме. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Клиенты не могут выполнить аутентификацию на некоторых или всех узлах в кластере, что приводит к периодической или полной недоступности данных (DU). Доступ по любому протоколу может быть нарушен, если пользователь полагается на автономного поставщика AD, хотя наиболее распространенным из них является SMB. Существует множество обстоятельств, которые потенциально могут привести к такому сценарию как в масштабе кластера, так и в конкретном узле. Клиенты SMB не могут подключаться к узлам в кластере, если служба подсистемы локального центра безопасности (LSASS)
Когда LSASS теряет соединение с контроллером домена, в файле /var/log/lsassd.log появляются ошибки, аналогичные следующим:
2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
В качестве альтернативы, если состояние Active Directory проверяется с помощью статуса «isi auth», могут отображаться аналогичные выходные данные:
testcluster-1# isi auth status
ID Active Server Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System - active
lsa-file-provider:System - active
-----------------------------------------------------------------------
Total: 3
Ниже приведены некоторые примеры распространенных ситуаций, которые приводят к тому, что поставщик AD переходит в автономный режим, с инструкциями по определению и устранению.
Другой кластер, добавленный в один домен AD с использованием той же учетной записи компьютера, что и существующий кластер:
Если новый кластер недавно был присоединен к тому же домену, убедитесь, что новый кластер не использует ту же учетную запись компьютера, что и исходный кластер. Выполните следующую команду для нового кластера (с отображением домена в сети), чтобы проверить имя хоста и учетную запись компьютера:
# isi auth ads view <domain>
(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$
Если новый кластер использует учетную запись компьютера исходного кластера (обе используют ISITEST и имеют одинаковое имя хоста), покиньте домен из нового кластера и снова присоединитесь к домену из старого кластера. Затем снова присоедините новый кластер, убедившись, что не указано то же имя учетной записи компьютера. При возникновении проблем обратитесь в службу поддержки.
Пароль учетной записи компьютера/учетная запись удалена из AD:
Если кластер был присоединен к Active Directory, но теперь в состоянии isi auth ничего не отображается (для lsa-activedirectory ничего не отображается), проверьте, не была ли удалена учетная запись компьютера на стороне Active Directory. Кластер можно снова присоединить к домену, чтобы создать новую учетную запись компьютера в Active Directory и восстановить аутентификацию.
DNS отклоняет поиск SRV. В этом случае убедитесь, что DNS настроен на прием запросов с соответствующих IP-адресов узлов.
dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com
; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV
;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59
Cause
Служба подсистемы локального центра безопасности (LSASS)
Resolution
Временное решение 1 — изучение проблем с подключением оборудования:
- Поищите проблемы с подключением оборудования в файле /var/log/messages . Сообщения в файле журнала указывают, находится ли сетевой порт узла в состоянии «Up». Просмотрите файл /var/log/messages на других узлах кластера, чтобы определить, возникает ли проблема с сетевым подключением в масштабе кластера.
- Просмотрите журналы системных событий и журналов приложений в контроллере домена. Эти файлы журналов могут содержать ошибки, связанные с драйверами или аппаратными проблемами, которые связаны с потерей подключения к сети.
Временное решение 2 - Исследуйте отравление кэша DNS:
Если проблема с сетевым подключением не связана с оборудованием, следует проверить служебные записи (SRV) для зоны DNS _mscds для доменов Active Directory. Трассировка пакетов DNS-запроса от кластера к DNS-серверу показывает неверные или отсутствующие сведения. Если в записях SRV зарегистрирована неверная информация или если контроллеры домена имеют не все записи в зоне DNS _mscds, узлы в кластере сообщают, что домен находится в автономном режиме, при попытке связаться с контроллером домена. Обновление записей SRV текущей информацией или смена DNS-сервера на другой DNS-сервер должны устранить отравление кэша DNS.
Пример 1
Эта трассировка пакетов показывает список DNS-серверов и записей SRV, которые были возвращены узлам в кластере. Информация о записи SRV для dc2.domain.com была недоступна.
Нет. Время Источник Целевая Протокол Длина Информация
5 16:40:19.061003 1.1.1.1 1.1.1.2 DNS 110 Стандартный запрос SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 Стандартный ответ на запрос SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.1.2 DNS 87 Стандартный запрос A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Стандартный ответ на запрос, нет такого имени
Пример 2
При трассировке пакетов узел ищет _ldap._tcp.dc._msdcs.domain.com в записи SRV, но клиенту информация не возвращается.
Нет. Время Источник Целевая Протокол Длина Информация
15 16:40:21.458636 1.1.1.1 1.1.1.2 DNS 100 Стандартный запрос SRV _ldap._tcp.dc._msdcs.domain.com
16:40:21.783630 1.1.1.2 1.1.1.1 DNS 100 Стандартный ответ на запрос, нет такого имени
В этом случае обратитесь к специалистам по сетевым системам и службе Active Directory, чтобы убедиться, что записи DNS SRV точны и разрешаются для контроллера домена.
Временное решение 3 — обновление LSASS:
- Подключитесь к узлу по протоколу SSH и войдите в систему с помощью учетной записи root.
- Убедитесь, что управляющая программа проверки подлинности не подключена к AD, где <nodeID> — номер недавно добавленного узла:
isi_for_array -n <nodeID> 'isi auth ads list'
Если узел присоединен к домену, появится вывод, подобный следующему:
cluster-1: Name Authentication Status DC Name Site
cluster-1: --------------------------------------------------------------------
cluster-1: LAB.EXAMPLE.COM Yes online - Default-First-Site-Name
cluster-1: --------------------------------------------------------------------
cluster-1: Total: 1
- Убедитесь, что GUID домена не заполнен. Если lsass неправильно извлекает свою конфигурацию, он не будет заполнять значение GUID домена:
isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"
Появляется вывод, аналогичный следующему:
cluster-1: Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1: Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1: Domain GUID:
- Выполните следующую команду на новом добавленном узле:
isi_for_array -n < node_range> /usr/likewise/bin/lwsm refresh lsass
- Убедитесь, что новый узел сообщает, что он подключен к поставщику AD.
isi_for_array -n < node_range> 'isi auth ads list -v'
- Убедитесь, что отображается значение GUID:
isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"
Появляется вывод, аналогичный следующему:
cluster-1: Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1: Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1: Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
- На клиенте Windows убедитесь, что пользователь может аутентифицироваться в кластере, сопоставив диск, указав IP-адрес нового добавленного узла.
Временное решение 4 — Перезапустите LSASS:
1. Подключитесь по протоколу SSH к недавно добавленному узлу и войдите в систему с помощью учетной записи root.
2. Выводит список доступных контроллеров домена, где <domain_name> — полное доменное имя (FQDN) домена, к которому присоединен кластер:isi auth ads trusts controllers list --provider=<domain_name> -v
3. Принудительное подключение к контроллеру домена, где <domain_name> — это полностью определенное доменное имя домена, к которому присоединен кластер, а <dc_name> — полностью определенное доменное имя контроллера домена:isi auth ads modify <domain_name> --domain-controller <dc_name> --v
4. Обновить статус AD:isi_classic auth ads status --refresh --all
Состояние должно измениться на «онлайн», как показано ниже:
Active Directory Services Status:
Mode: unprovisioned
Status: online
Primary Domain: LAB.EXAMPLE.COM
NetBios Domain: LAB
Domain Controller: dc1.lab.example.com
Hostname: cluster.lab.example.com
Machine Account: CLUSTER$
5. Если состояние по-прежнему отображается как «offline», перезапустите управляющую программу проверки подлинности (обратите внимание, что это прервет аутентификацию на узле на срок до минуты): Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'
6. Повторите шаг 4.
7. На клиенте Windows убедитесь, что пользователь может аутентифицироваться в кластере, сопоставив накопитель, указав IP-адрес узла, на котором был перезапущен LSASS.
Additional Information
Примечание по устранению неполадок для проблем с подключением к домену:
Если вы покидаете домен и снова присоединяетесь к нему, убедитесь, что поставщик Active Directory отображается в списке поставщиков аутентификации для соответствующей зоны после повторного присоединения.
Для этого домена example.com его необходимо добавить повторно, так как он был удален из раздела Auth Providers:
isi zone zones list -v:
Name: accesszonedev1
Path: /ifs/accesszone1
Groupnet: groupnet0
Map Untrusted: -
Auth Providers: lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
NetBIOS Name: -
User Mapping Rules:
Home Directory Umask: 0077
Skeleton Directory: /usr/share/skel
Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
Zone ID: 2
Веб-интерфейс — это самый простой способ вернуть его обратно и убедиться, что поиск выполняется в нужном порядке. См. соответствующее руководство по администрированию для вашей версии OneFS. Информационные центры для PowerScale OneFS
Affected Products
Isilon, PowerScale OneFSArticle Properties
Article Number: 000055836
Article Type: Solution
Last Modified: 16 Oct 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.