PowerScale OneFS: Active Directory-provider verdwijnt na aanmeldingspoging voor hetzelfde domein

Na het uitvoeren van een AD-join met dezelfde naam van een AD-provider waaraan het cluster al is gekoppeld, kan de provider ontbreken. Beheerders kunnen een fout zien met betrekking tot de deelnamepoging, hoewel deze fout kan variëren afhankelijk van de oorzaak.

In het onderstaande voorbeeld reproduceren we het probleem met de provider TESTDOMAIN.LOCAL door het onjuiste account te gebruiken om de deelname te vergemakkelijken.

Uitvoer van isi auth status als isi auth ads list -v Laat zien dat de provider aanwezig is voordat de opdracht wordt uitgevoerd:

corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

Hieronder voeren we de opdracht uit. Merk op dat de onjuiste gebruikersnaam wordt vermeld (voor ons voorbeeld hebben we de groepsnaam gebruikt voor 'Beheerders' in plaats van het beheerdersaccount ):

corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database

Nu ontbreekt de provider. In WebUI kan dit worden weergegeven als niet-opgemaakt, maar in CLI staat het niet in de uitvoer voor isi auth status.

orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Omdat uit de isi auth-status kan blijken dat een provider om andere redenen ontbreekt, moeten we dit verder valideren. De opdracht isi auth ads list -v geeft geen uitvoer weer die overeenkomt met de provider TESTDOMAIN.LOCAL hieronder. Dit betekent dat de configuratie geen vermeldingen bevat die overeenkomen met het ontbrekende domein.

corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

LSASS-logboeken tonen vergelijkbare fouten die worden waargenomen bij het uitvoeren van de eerste opdracht:

2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)

Het bovenstaande scenario is niet beperkt tot het gebruik van onjuiste referenties. Als er een omstandigheid aanwezig is die ertoe zou leiden dat de provider niet kan worden aangemeld, leidt de storing ertoe dat de provider wordt verwijderd. Als bijvoorbeeld dezelfde naam voor het machineaccount elders in het forest of in een vertrouwd domein wordt gebruikt, leidt dat tot een fout. Het enige verschil kan de fout zijn die wordt verstrekt.

Bij het uitvoeren van een AD-join op een reeds toegevoegd domein, leidt de aanwezigheid van voorwaarden die tot een fout zouden leiden ertoe dat de AD-provider wordt verwijderd. Dit is zo ontworpen omdat OneFS dit zou behandelen als een "rejoin"-poging. Wanneer de fout wordt aangetroffen, wordt alle gerelateerde configuratie van die opgegeven verificatieprovider verwijderd.

corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Namen van verificatieproviders zijn globaal, dus het hebben van twee providers met dezelfde naam wordt niet ondersteund. Als er geen andere openstaande voorwaarden aanwezig zijn die een join-bewerking zouden verhinderen, wordt het probleem opgelost door opnieuw deel te nemen aan het domein.

Als er een vereiste is om lid te worden van dezelfde AD-domeinprovider met afzonderlijke machine-accounts, moet de multi-instancing-functie worden gebruikt. Dit wordt beschreven in het gedeelte "Zone-specific authentication providers" van de OneFS Administration Guides. Vergeet niet dat de opnieuw aangesloten AD-provider weer moet worden toegevoegd aan alle toegangszones die deze eerder hadden om de toegang te herstellen.

Zie het artikel PowerScale OneFS Info Hubs voor documentatie over uw versie van OneFS.