PowerScale OneFS: 동일한 도메인에 대한 가입 시도 후 Active Directory 공급자가 누락됨

Summary: AD 공급자가 동일한 공급자 이름에 대한 요청을 생성하고 전송한 후 실패하는 경우 AD(Active Directory) 공급자가 삭제됩니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

클러스터가 이미 조인된 AD 공급업체와 동일한 이름으로 AD 가입을 수행한 후 해당 공급업체가 누락될 수 있습니다. 관리자에게 조인 시도와 관련된 오류가 표시될 수 있지만 이 오류는 원인에 따라 다를 수 있습니다.

아래 예제에서는 공급자와 함께 문제를 재현합니다 TESTDOMAIN.LOCAL 가입을 용이하게 하기 위해 잘못된 계정을 사용합니다.

출력 출처 isi auth statusisi auth ads list -v 다음 명령을 실행하기 전에 공급자가 있는지 확인합니다. 
corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

아래에서 명령을 실행합니다. 잘못된 사용자 이름이 나열된 것을 볼 수 있습니다(이 예에서는 관리자 계정 대신 'Administrators'의 그룹 이름 사용). 
corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database
이제 공급자가 누락되었습니다. WebUI에서는 스타일이 지정되지 않은 것으로 표시될 수 있지만 CLI에서는 isi auth status. 
orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

isi auth status는 다른 이유로 공급자가 누락되었음을 표시할 수 있으므로 이를 추가로 검증해야 합니다. 이 상태에서는 다음 명령을 실행할 경우 isi auth ads list -v 공급자와 일치하는 출력을 표시하지 않습니다. TESTDOMAIN.LOCAL 을 참조하십시오. 이는 구성에 누락된 도메인과 일치하는 항목이 포함되어 있지 않음을 의미합니다. 
corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

LSASS 로그에는 초기 명령을 실행할 때 관찰된 유사한 오류가 표시됩니다. 
2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)
위의 시나리오는 잘못된 자격 증명의 사용에만 국한되지 않습니다. AD 공급업체 연결 실패를 유발하는 조건이 있는 경우 해당 장애 때문에 공급자가 삭제됩니다. 예를 들어 포리스트 내 또는 신뢰할 수 있는 도메인에서 동일한 컴퓨터 계정의 이름을 사용하는 경우 오류가 발생합니다. 유일한 차이점은 제공되는 오류일 수 있습니다.

Cause

이미 가입된 도메인에 대해 AD 가입을 수행할 때 장애를 유발할 수 있는 조건이 있으면 AD 공급업체가 삭제됩니다. 이는 원래 OneFS가 이를 "재가입" 시도로 간주하기 때문에 의도적으로 시도한 것입니다. 오류가 발생하면 지정된 인증 공급자에 대한 모든 관련 구성이 삭제됩니다. 
corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Resolution

인증 공급자의 이름은 전역이므로 동일한 이름의 두 공급자를 갖는 것은 지원되지 않습니다. 조인 작업을 방해하는 다른 미해결 조건이 없는 경우 도메인을 다시 조인하면 문제가 해결됩니다.

동일한 AD 도메인 공급업체를 별도의 머신 계정으로 연결해야 하는 경우 다중 인스턴싱 기능을 사용해야 합니다. 이 내용은 OneFS 관리 가이드의 "영역별 인증 공급자" 섹션에 자세히 설명되어 있습니다. 액세스를 복원하려면 다시 가입한 AD 공급자를 이전에 있던 액세스 존에 다시 추가해야 합니다.

사용 중인 OneFS 버전에 대한 문서는 PowerScale OneFS 정보 허브 문서를 참조하십시오.

Affected Products

PowerScale OneFS
Article Properties
Article Number: 000183837
Article Type: Solution
Last Modified: 07 Nov 2025
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.