Шкала потужності: OneFS: Клієнти не можуть пройти автентифікацію або підключитися до вузлів, коли домен AD показує «Офлайн»

Summary: Автономний постачальник Active Directory впливає на будь-якого клієнта, який використовує його для автентифікації, незалежно від протоколу. Нижче наведено кроки з усунення неполадок із розпізнаванням для вузлів кластера, коли AD відображається в автономному режимі. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Клієнти не можуть автентифікуватися на деяких або всіх вузлах кластера, що спричиняє періодичну або повну недоступність даних (DU). Це впливає на доступ за будь-яким протоколом, якщо користувач покладається на постачальника AD в автономному режимі, хоча найпоширенішим з них, який ми бачимо, є SMB. Існує багато обставин, які потенційно можуть призвести до цього сценарію, як на рівні кластера, так і на основі конкретного вузла. Клієнти малого та середнього бізнесу не можуть підключатися до вузлів кластера, коли служба підсистеми локального органу безпеки (LSASS)Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies. втрачає зв'язок із контролером домену.

Коли LSASS втрачає зв'язок з контролером домену, у файлі /var/log/lsassd.log з'являються помилки, подібні до наведених нижче:

2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online

 

Крім того, якщо статус Active Directory переглядається зі статусом аутентифікації isi, можуть бути представлені аналогічні дані:

testcluster-1# isi auth status
ID                                           Active Server      Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System                    -                  active
lsa-file-provider:System                     -                  active
-----------------------------------------------------------------------
Total: 3
 
 
 
Нижче наведено кілька прикладів поширених ситуацій, які призводять до використання постачальника AD в автономному режимі, а також кроки щодо їх виявлення та вирішення.
 

До того самого домену AD додано інший кластер за допомогою того самого комп'ютерного облікового запису, що й наявний кластер.
Якщо новий кластер нещодавно було приєднано до того самого домену, переконайтеся, що новий кластер не використовує той самий обліковий запис комп'ютера, що й вихідний кластер. Запустіть наступну команду на новому кластері (і відображаючи домен в Інтернеті), щоб перевірити ім'я хоста та обліковий запис комп'ютера:
  
# isi auth ads view <domain>

(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$

 
Якщо новий кластер використовує комп'ютерний обліковий запис оригінального кластера (обидва використовують ISITEST і мають однакове ім'я хоста), вийдіть із домену нового кластера та знову приєднайтеся до домену зі старого кластера. Потім знову приєднайтеся до нового кластера, переконавшись, що не вказано те саме ім'я облікового запису машини. Якщо виникнуть проблеми, зверніться до служби підтримки.
 

Пароль облікового запису машини/обліковий запис видалено з AD:
Якщо кластер було приєднано до Active Directory, але тепер він нічого не показує у статусі аутентифікації isi (для lsa-activedirectory нічого не відображається), перевірте, чи не було видалено обліковий запис машини на стороні active directory. Кластер можна повторно приєднати до домену, щоб створити новий обліковий запис машини в Active Directory та відновити автентифікацію.
 

DNS відмовляється виконувати пошук SRV. Якщо це відбувається, переконайтеся, що DNS налаштовано на прийом запитів від відповідних IP-адрес вузлів. 
dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com

; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV

;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59
 

 

Cause

Служба підсистеми локального органу безпеки (LSASS)Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies. може втратити підключення до підключеного контролера домену через проблеми з обладнанням, підключенням або через отруєнняЦе гіперпосилання веде вас на веб-сайт за межами Dell Technologies. кешу DNS. Крім того, це може статися через те, що вузол був доданий до кластера, а вузол не мав підключення до мережі. Якщо контролер домену з будь-якої причини недоступний, під час перезавантаження вузла або перезапуску LSASS частина інформації про домен може залишитися незаповненою. Зазвичай ідентифікатор GUID домену для основного домену залишається незаповненим. Це призводить до того, що автентифікація не може бути повною для користувачів, які підключаються до цього вузла.

Resolution

Спосіб вирішення 1 - Дослідіть проблеми з апаратним підключенням:

  • Шукайте проблеми з апаратним підключенням у файлі /var/log/messages . Повідомлення у файлі журналу вказують, чи знаходиться мережевий порт вузла в стані «Вгору» чи ні. Подивіться на файл /var/log/messages на інших вузлах кластера, щоб визначити, чи виникає проблема з підключенням до мережі на рівні всього кластера.
  • Подивіться на журнали подій системи та програми в контролері домену. Ці файли журналу можуть містити помилки щодо проблем із драйверами або обладнанням, пов'язаних із втратою підключення до мережі.


Обхідний шлях 2 - Розслідуйте отруєння кешу DNS:

Якщо проблема з підключенням до мережі не пов'язана з апаратним забезпеченням, слід перевірити записи служби (SRV) для зони DNS _mscds для доменів Active Directory. Трасування пакетів DNS-запиту з кластера на DNS-сервер показує неправильну або відсутню інформацію. Якщо в записах SRV зареєстрована неправильна інформація або якщо контролери домену не мають усіх записів у зоні DNS _mscds, вузли кластера повідомляють про те, що домен перебуває в автономному режимі під час спроби зв'язатися з контролером домену. Оновлення записів SRV актуальною інформацією або перехід на інший DNS-сервер має вирішити проблему отруєння кешу DNS.

Приклад 1

Це трасування пакетів показує список DNS-серверів і записів SRV, які були повернуті вузлам кластера. Інформація про запис SRV була недоступна для dc2.domain.com.

Ні. Час Джерело Адресат Довжина протоколу Інформація 5
16:40:19.061003 1.1.1.1 1.1.2 DNS 110 Стандартний запит SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1 DNS 1270 Стандартна відповідь на запит SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.2 DNS 87 Стандартний запит A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Стандартна відповідь на запит, без такого імені
Приклад 2

У цьому трасуванні пакетів вузол шукає запис SRV для _ldap._tcp.dc._msdcs.domain.com, але жодна інформація не повертається клієнту.

Ні. Час Джерело Адресат Довжина протоколу Інформація 15
16:40:21.458636 1.1.1.1 1.1.2 DNS 100 Стандартний запит SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1 DNS 100 Стандартна відповідь на запит, без такого імені


У цій ситуації зверніться до команди з підключення до мережі та Active Directory, щоб переконатися, що записи DNS SRV точні та відповідають контролеру домену.

Обхідний шлях 3 – Оновіть LSASS:

  1. Відкрийте SSH-з'єднання з вузлом і авторизуйтесь за допомогою облікового запису "root".
  2.  Переконайтеся, що фонова служба автентифікації не підключена до AD, де <nodeID> – це номер вузла нещодавно доданого вузла:

    isi_for_array -n <nodeID> 'isi auth ads list'

    Якщо вузол об'єднується з доменом, з'являється виведення, подібне до наступного:
     
    cluster-1: Name            Authentication Status DC Name Site
    cluster-1: --------------------------------------------------------------------
    cluster-1: LAB.EXAMPLE.COM Yes            online -       Default-First-Site-Name
    cluster-1: --------------------------------------------------------------------
    cluster-1: Total: 1
     
  3.  Переконайтеся, що ідентифікатор GUID домену не заповнено. Якщо lsass не отримає свої налаштування належним чином, він не заповнюватиме значення GUID домену:

    isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    З'являється результат, подібний до наступного:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID:
     
  4. Виконайте наступну команду на щойно доданому вузлі:

    isi_for_array -n < node_range> /usr/likewise/bin/lwsm refresh lsass
     
  5. Переконайтеся, що новий вузол повідомляє, що він підключений до постачальника AD.

    isi_for_array -n < node_range> 'isi auth ads list -v'
     
  6.  Переконайтеся, що значення GUID відображається:

    isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    З'являється результат, подібний до наступного:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
     
  7. У клієнті Windows переконайтеся, що користувач може автентифікуватися в кластері, зіставивши диск, вказавши IP-адресу щойно доданого вузла.

Спосіб вирішення 4 - Перезапустіть LSASS:

1. Відкрийте SSH-з'єднання з нещодавно доданим вузлом і увійдіть за допомогою облікового запису "root".
2. Список доступних контролерів домену, де <domain_name> – повне доменне ім'я (FQDN) домену, до якого приєднано кластер:

isi auth ads trusts controllers list --provider=<domain_name> -v

3. Примусово підключитися до контролера домену, де <domain_name> – FQDN домену, до якого приєднується кластер, а <dc_name> – FQDN контролера домену:

isi auth ads modify <domain_name> --domain-controller <dc_name> --v

4. Оновити статус AD:

isi_classic auth ads status --refresh --all

Статус має змінитися на онлайн, як показано нижче:
 

Active Directory Services Status:
Mode:                unprovisioned
Status:              online
Primary Domain:      LAB.EXAMPLE.COM
NetBios Domain:      LAB
Domain Controller:   dc1.lab.example.com
Hostname:            cluster.lab.example.com
Machine Account:     CLUSTER$
 

5. Якщо статус все ще відображається як автономний, перезапустіть фонову службу автентифікації (зверніть увагу, що це перерве автентифікацію вузла на термін до хвилини.): 

Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'

6. Повторіть крок 4.
7. У клієнті Windows переконайтеся, що користувач може автентифікуватися в кластері, зіставивши диск, вказавши IP-адресу вузла, на якому було перезапущено LSASS.

Additional Information

Примітка щодо усунення неполадок із підключенням до домену:
Якщо ви залишите домен і знову приєднаєтеся до нього, переконайтеся, що постачальник Active Directory відображається в списку постачальників автентифікації для відповідної зони після повторного приєднання.

Для цього example.com домену його необхідно додати повторно, оскільки він був видалений з розділу Auth Providers:

isi zone zones list -v:

                       Name: accesszonedev1
                       Path: /ifs/accesszone1
                   Groupnet: groupnet0
              Map Untrusted: -
             Auth Providers:  lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
               NetBIOS Name: -
         User Mapping Rules:
       Home Directory Umask: 0077
         Skeleton Directory: /usr/share/skel
         Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
                    Zone ID: 2


Веб-інтерфейс може бути найпростішим способом додати його назад і переконатися, що його шукають у потрібному порядку. Будь ласка, ознайомтеся з відповідним посібником з адміністрування на основі вашої версії OneFS. Інформаційні центри PowerScale OneFS

Affected Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000055836
Article Type: Solution
Last Modified: 16 Oct 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.