PowerScale OneFS: El proveedor de Active Directory desaparece después de un intento de unión al mismo dominio

Después de realizar una unión de AD con el mismo nombre de un proveedor de AD al que ya está unido el clúster, es posible que el proveedor desaparezca. Es posible que los administradores vean un error relacionado con el intento de unión, aunque este error podría variar según la causa.

En el siguiente ejemplo, reproducimos el problema con el proveedor TESTDOMAIN.LOCAL mediante el uso de una cuenta incorrecta para facilitar la unión.

Salidas de isi auth status y isi auth ads list -v Muestre que el proveedor está presente antes de ejecutar el comando:

corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

A continuación, ejecutamos el comando. Observe que se muestra el nombre de usuario incorrecto (para nuestro ejemplo, usamos el nombre de grupo para "Administradores" en lugar de la cuenta de administrador ):

corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database

Ahora falta el proveedor. En la interfaz de usuario web, esto puede aparecer como sin estilo, pero en la CLI no está en el resultado de isi auth status.

orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Debido a que isi auth status puede mostrar que falta un proveedor por otros motivos, debemos validar esto más a fondo. El comando isi auth ads list -v No muestra ningún resultado que coincida con el proveedor TESTDOMAIN.LOCAL abajo. Esto significa que la configuración no contiene entradas que coincidan con el dominio faltante.

corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

Los registros de LSASS muestran errores similares observados cuando se ejecuta el comando inicial:

2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)

El escenario anterior no se limita al uso de credenciales incorrectas. Si hay alguna condición presente que induzca a una falla a unirse al proveedor de AD, la falla provoca la eliminación del proveedor. Por ejemplo, si se usa el mismo nombre para la cuenta de máquina en otro lugar del bosque o en un dominio de confianza, se producirá un error. La única diferencia puede ser el error proporcionado.

Cuando se realiza una unión de AD a un dominio ya unido, la presencia de condiciones que podrían inducir una falla provoca la eliminación del proveedor de AD. Esto es intencional, ya que OneFS trataría esto como un intento de "reincorporación". Cuando se detecta la falla, se elimina cualquier configuración relacionada con ese proveedor de autenticación especificado.

corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Los nombres de los proveedores de autenticación son globales, por lo que no se admite tener dos proveedores con el mismo nombre. Si no hay otras condiciones pendientes presentes que impidan una operación de unión, volver a unir el dominio resuelve el problema.

Si existe el requisito de unirse al mismo proveedor de dominio de AD con cuentas de máquina independientes, se debe utilizar la función de creación de instancias múltiples. Esto se detalla en la sección "Proveedores de autenticación específicos de la zona" de las guías de administración de OneFS. Recuerde que el proveedor de AD reincorporado se debe volver a agregar a cualquier zona de acceso que lo tuviera anteriormente para restaurar el acceso.

Consulte el artículo Centros de información de PowerScale OneFS para obtener documentación sobre su versión de OneFS.