PowerScale: OneFS: Klienter kan inte autentisera eller ansluta till noder när AD-domänen visar "Offline"

Klienter kan inte autentisera till vissa eller alla noder i klustret, vilket orsakar tillfällig eller total dataotillgänglighet (DU). Åtkomst via alla protokoll påverkas om användaren är beroende av en offline-AD-leverantör, även om den vanligaste vi ser är SMB. Det finns många omständigheter som kan leda till det här scenariot, antingen i hela klustret eller på nodspecifik basis. SMB-klienter kan inte ansluta till noder i klustret när LSASS ( Local Security Authority Subsystem Service ) förlorar anslutningen till domänkontrollanten.

När LSASS förlorar anslutningen till domänkontrollanten visas fel som liknar följande i filen /var/log/lsassd.log :

2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online

Alternativt, om status för Active Directory granskas med isi auth-status, kan liknande utdata presenteras:

testcluster-1# isi auth status
ID                                           Active Server      Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System                    -                  active
lsa-file-provider:System                     -                  active
-----------------------------------------------------------------------
Total: 3

# isi auth ads view <domain>

(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$

dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com

; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV

;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59

LSASS ( Local Security Authority Subsystem Service) kan förlora anslutningen till den anslutna domänkontrollanten på grund av maskinvaruproblem, anslutningsproblem eller på grund av DNS-cacheförgiftning. Alternativt kan detta inträffa på grund av att en nod har lagts till i klustret och noden inte har någon nätverksanslutning. Om domänkontrollanten av någon anledning inte är tillgänglig kan en del av domäninformationen förbli ofylld när en nod startas om eller LSASS startas om. Vanligtvis förblir domän-GUID för den primära domänen ofylld. Detta resulterar i att autentiseringen inte kan slutföras för användare som ansluter till noden.

Lösning 1 – Undersök problem med maskinvaruanslutning:

• Leta efter problem med maskinvaruanslutning i filen /var/log/messages . Meddelanden i loggfilen anger om nodnätverksporten är i ett "Upp"-läge eller inte. Titta på filen /var/log/messages på andra noder i klustret för att avgöra om problemet med nätverksanslutningen uppstår i hela klustret.
• Titta på system- och programhändelseloggarna i domänkontrollanten. Dessa loggfiler kan innehålla fel om drivrutins- eller maskinvaruproblem som är relaterade till förlusten av nätverksanslutning.

Lösning 2 – Undersök DNS-cacheförgiftning:

Om problemet med nätverksanslutningen inte är maskinvarurelaterat bör du granska tjänstposterna (SRV) för den _mscds DNS-zonen för Active Directory-domänerna. En paketspårning av DNS-begäran från klustret till DNS-servern visar felaktig eller saknad information. Om felaktig information registreras i SRV-posterna, eller om domänkontrollanterna inte har alla poster i DNS-zonen _mscds, rapporterar noderna i klustret att domänen är offline när de försöker kontakta domänkontrollanten. Uppdatering av SRV-posterna med aktuell information eller byte till en annan DNS-server bör lösa DNS-cacheförgiftning.

Exempel 1

Den här paketspårningen visar listan över DNS-servrar och SRV-poster som returnerades till noderna i klustret. SRV-postinformation var inte tillgänglig för dc2.domain.com.

Nej.
5 16:40:19.061003 1.1.1.1.1 1.1.1.2 DNS 110 Standardfråga SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 Standardfrågesvar SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.1.2 DNS 87 Standardfråga A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Standardfrågesvar, inget sådant namn

Exempel 2

I den här paketspårningen letar en nod upp SRV-posten efter _ldap._tcp.dc._msdcs.domain.com, men ingen information returneras till klienten.

Nej.
15 16:40:21.458636 1.1.1.1.1 1.1.1.2 DNS 100 Standard query SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1.1 DNS 100 Standard query response, No such name

I det här fallet bör du samarbeta med ditt nätverks- och Active Directory-team för att säkerställa att DNS SRV-posterna är korrekta och matchas för domänkontrollanten.

Lösning 3 – Uppdatera LSASS:

1. Öppna en SSH-anslutning till noden och logga in med rotkontot.
2.  Kontrollera att autentiseringsdaemonen inte är ansluten till AD, där <nodeID> är nodnumret för den nyligen tillagda noden:
   
   isi_for_array -n <nodeID> 'isi auth ads list'
   
   Om noden är ansluten till domänen visas utdata som liknar följande:
    
   cluster-1: Name            Authentication Status DC Name Site
cluster-1: --------------------------------------------------------------------
cluster-1: LAB.EXAMPLE.COM Yes            online -       Default-First-Site-Name
cluster-1: --------------------------------------------------------------------
cluster-1: Total: 1
    
3.  Kontrollera att domän-GUID inte är ifyllt. Om lsass inte hämtar sin konfiguration korrekt kommer den inte att fylla i ett domän-GUID-värde:
   
   isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"
   
   Utdata som liknar följande visas:
    
   cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain GUID:
    
4. Kör följande kommando på den nyligen tillagda noden:
   
   isi_for_array -n < node_range> /usr/likewise/bin/lwsm refresh lsass
    
5. Kontrollera att den nya noden rapporterar att den är ansluten till en AD-leverantör.
   
   isi_for_array -n < node_range> 'isi auth ads list -v'
    
6.  Kontrollera att GUID-värdet visas:
   
   isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"
   
   Utdata som liknar följande visas:
    
   cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
cluster-1:   Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
    
7. På Windows-klienten kontrollerar du att användaren kan autentisera till klustret genom att mappa en enhet och ange IP-adressen för den nyss tillagda noden.

Lösning 4 – Starta om LSASS:

1. Öppna en SSH-anslutning till den nyligen tillagda noden och logga in med rotkontot.
2. Visa en lista över tillgängliga domänkontrollanter, där <domain_name> är det fullständigt kvalificerade domännamnet (FQDN) för den domän som klustret är anslutet till:

isi auth ads trusts controllers list --provider=<domain_name> -v

3. Anslut med tvång till en domänkontrollant, där <domain_name> är FQDN för den domän som klustret är anslutet till och <dc_name> är FQDN för domänkontrollanten:

isi auth ads modify <domain_name> --domain-controller <dc_name> --v

4. Uppdatera AD-status:

isi_classic auth ads status --refresh --all

Statusen bör ändras till online enligt nedan:
 

5. Om statusen fortfarande visas som offline startar du om autentiseringsdaemonen (observera att detta avbryter autentiseringen till noden i upp till en minut.): 

Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'

6. Upprepa steg 4.
7. På Windows-klienten kontrollerar du att användaren kan autentisera till klustret genom att mappa en enhet och ange IP-adressen för noden där LSASS startades om.

Felsökningsmeddelande för problem med domänanslutning:
Om du lämnar och återansluter till domänen kontrollerar du att Active Directory-providern visas i listan över autentiseringsproviders för den relevanta zonen när du har anslutit igen.

För den här example.com domänen måste den läggas till igen eftersom den togs bort från avsnittet Autentiseringsproviders:

isi zone zones list -v:

                       Name: accesszonedev1
                       Path: /ifs/accesszone1
                   Groupnet: groupnet0
              Map Untrusted: -
             Auth Providers:  lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
               NetBIOS Name: -
         User Mapping Rules:
       Home Directory Umask: 0077
         Skeleton Directory: /usr/share/skel
         Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
                    Zone ID: 2

WebUI kan vara det enklaste sättet att lägga till det igen och se till att det söks i önskad ordning. Se tillämplig administrationsmanual baserat på din version av OneFS. PowerScale OneFS informationshubbar