PowerScale OneFS: Il provider Active Directory scompare dopo un tentativo di aggiunta per lo stesso dominio
Summary: Il provider Active Directory (AD) viene eliminato se un provider AD crea una richiesta per lo stesso nome del provider, viene inviata e ha esito negativo.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Dopo aver eseguito un join AD con lo stesso nome di un provider AD a cui è già stato aggiunto il cluster, il provider potrebbe scomparire. Gli amministratori potrebbero visualizzare un errore relativo al tentativo di accesso, anche se questo errore può variare a seconda della causa.
Nell'esempio riportato di seguito, riproduciamo il problema con il provider
Output da
Di seguito viene eseguito il comando. Si noti che il nome utente non corretto è elencato (per il nostro esempio, abbiamo utilizzato il nome del gruppo per "Administrators" invece dell'account amministratore ):
Poiché lo stato di autenticazione isi può indicare che manca un provider per altri motivi, è necessario convalidarlo ulteriormente. Il comando
I registri LSASS mostrano errori simili osservati durante l'esecuzione del comando iniziale:
Nell'esempio riportato di seguito, riproduciamo il problema con il provider
TESTDOMAIN.LOCAL utilizzando l'account errato per facilitare l'adesione.
Output da
isi auth status e isi auth ads list -v Mostrare che il provider è presente prima di eseguire il comando:
corebuddy-1# isi auth status
ID Active Server Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System - active
lsa-local-provider:test - active
lsa-local-provider:domain2 - active
lsa-file-provider:System - active
----------------------------------------------------------------------------------
Total: 6
corebuddy-1# isi auth ads list -v | grep -i testdomain
Name: TESTDOMAIN.LOCAL
Primary Domain: TESTDOMAIN.LOCAL
Forest: testdomain.local
NetBIOS Domain: TESTDOMAIN
Hostname: corebuddy.testdomain.local
Di seguito viene eseguito il comando. Si noti che il nome utente non corretto è elencato (per il nostro esempio, abbiamo utilizzato il nome del gruppo per "Administrators" invece dell'account amministratore ):
corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators password: Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos databaseOra il provider risulta mancante. Nell'interfaccia utente web, questo potrebbe essere visualizzato come senza stile, ma nella CLI non è nell'output per
isi auth status.
orebuddy-1# isi auth status ID Active Server Status --------------------------------------------------------------------------- lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online lsa-local-provider:System - active lsa-local-provider:test - active lsa-local-provider:domain2 - active lsa-file-provider:System - active --------------------------------------------------------------------------- Total: 5
Poiché lo stato di autenticazione isi può indicare che manca un provider per altri motivi, è necessario convalidarlo ulteriormente. Il comando
isi auth ads list -v Non visualizza alcun output corrispondente al provider TESTDOMAIN.LOCAL qui di seguito. Ciò significa che la configurazione non contiene voci corrispondenti al dominio mancante.
corebuddy-1# isi auth ads list -v |grep -i test corebuddy-1#
I registri LSASS mostrano errori simili osservati durante l'esecuzione del comando iniziale:
2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database) 2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)Lo scenario di cui sopra non è limitato all'utilizzo di credenziali errate. Se è presente una condizione che potrebbe causare un errore di aggiunta al provider AD, l'errore comporta l'eliminazione del provider. Ad esempio, se lo stesso nome per l'account computer viene utilizzato altrove all'interno della foresta o in un dominio trusted, si verifica un errore. L'unica differenza potrebbe essere l'errore fornito.
Cause
Quando si esegue un aggiunta ad Active Directory su un dominio già aggiunto, la presenza di condizioni che potrebbero causare un errore comporta l'eliminazione del provider AD. Si tratta di una caratteristica predefinita, in quanto OneFS considera questo processo come un tentativo di "ricongiungimento". Quando si verifica l'errore, viene eliminata qualsiasi configurazione correlata al provider di autenticazione specificato.
corebuddy-1# isi auth status ID Active Server Status --------------------------------------------------------------------------- lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online lsa-local-provider:System - active lsa-local-provider:test - active lsa-local-provider:domain2 - active lsa-file-provider:System - active --------------------------------------------------------------------------- Total: 5
Resolution
I nomi dei provider di autenticazione sono globali, pertanto la presenza di due provider con lo stesso nome non è supportata. Se non sono presenti altre condizioni in sospeso che impedirebbero un'operazione di aggiunta, il problema viene risolto riaggiungendo nuovamente il dominio.
Se è necessario aggiungere lo stesso provider di dominio Active Directory con account computer separati, è necessario utilizzare la funzione di istanze multiple. Questa operazione viene elaborata nella sezione "Provider di autenticazione specifici della zona" delle Guide all'amministrazione di OneFS. Tenere presente che il provider AD ricongiunto deve essere aggiunto nuovamente a tutte le zone di accesso che lo avevano in precedenza per ripristinare l'accesso.
Per la documentazione sulla versione di OneFS in uso, consultare l'articolo Hub di informazioni PowerScale OneFS .
Se è necessario aggiungere lo stesso provider di dominio Active Directory con account computer separati, è necessario utilizzare la funzione di istanze multiple. Questa operazione viene elaborata nella sezione "Provider di autenticazione specifici della zona" delle Guide all'amministrazione di OneFS. Tenere presente che il provider AD ricongiunto deve essere aggiunto nuovamente a tutte le zone di accesso che lo avevano in precedenza per ripristinare l'accesso.
Per la documentazione sulla versione di OneFS in uso, consultare l'articolo Hub di informazioni PowerScale OneFS .
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000183837
Article Type: Solution
Last Modified: 07 Nov 2025
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.