PowerScale OneFS: Active Directory-udbyderen forsvinder efter tilmeldingsforsøg for samme domæne

Når du har udført en AD-tilslutning med samme navn som en AD-udbyder, som klyngen allerede er knyttet til, forsvinder udbyderen muligvis. Administratorer kan se en fejl, der er relateret til tilmeldingsforsøget, selvom denne fejl kan variere afhængigt af årsagen.

I eksemplet nedenfor gengiver vi problemet med udbyderen TESTDOMAIN.LOCAL ved at bruge den forkerte konto til at lette tilslutningen.

Udgange fra isi auth status og isi auth ads list -v Vis, at udbyderen er til stede, før du kører kommandoen:

corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

Nedenfor kører vi kommandoen. Bemærk, at det forkerte brugernavn er angivet (i vores eksempel brugte vi gruppenavnet til 'Administratorer' i stedet for administratorkontoen ):

corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database

Nu mangler udbyderen. I WebUI vises dette muligvis som ikke-stylet, men i CLI er det ikke i outputtet for isi auth status.

orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Da denne status kan vise, at en udbyder mangler af andre årsager, skal vi validere dette yderligere. Kommandoen isi auth ads list -v viser ikke noget output, der matcher udbyderen TESTDOMAIN.LOCAL herunder. Det betyder, at konfigurationen ikke indeholder nogen poster, der matcher det manglende domæne.

corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

LSASS-logfiler viser lignende fejl, der blev observeret under kørsel af den oprindelige kommando:

2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)

Ovenstående scenarie er ikke begrænset til brugen af forkerte legitimationsoplysninger. Hvis der er nogen betingelse til stede, der ville medføre en manglende tilslutning til AD-udbyderen, resulterer fejlen i, at udbyderen slettes. Hvis det samme navn for maskinkontoen f.eks. bruges et andet sted i skoven eller i et domæne, der er tillid til, medfører det en fejl. Den eneste forskel kan være den fejl, der leveres.

Når du udfører en AD-forbindelse mod et allerede tilsluttet domæne, resulterer tilstedeværelsen af betingelser, der ville medføre fejl, i, at AD-udbyderen slettes. Dette er tilsigtet, da OneFS ville behandle dette som et "genjoin"-forsøg. Når der opstår en fejl, slettes enhver relateret konfiguration til den angivne godkendelsesudbyder.

corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Navne på godkendelsesudbydere er globale, så det understøttes ikke at have to udbydere med samme navn. Hvis der ikke er andre udestående betingelser til stede, som kan forhindre en joinforbindelse, løses problemet ved at tilslutte domænet igen.

Hvis der er et krav om at slutte sig til den samme AD-domæneudbyder med separate maskinkonti, skal funktionen multi-instancing bruges. Dette uddybes i afsnittet "Zonespecifikke godkendelsesudbydere" i OneFS-administrationsvejledningerne. Husk, at den AD-udbyder, der er tilsluttet igen, skal føjes tilbage til alle adgangszoner, der tidligere havde den, for at gendanne adgangen.

Se artiklen PowerScale OneFS-informationshubs for at få dokumentation om din version af OneFS.