PowerScale OneFS. Поставщик Active Directory пропадает после попытки присоединения для того же домена

После выполнения присоединения AD с тем же именем поставщика AD, к которому уже присоединен кластер, поставщик может пропасть. Администраторы могут заметить ошибку, связанную с попыткой присоединения, хотя эта ошибка может различаться в зависимости от причины.

В приведенном ниже примере мы воспроизводим проблему с поставщиком TESTDOMAIN.LOCAL Используя неправильную учетную запись для упрощения процесса присоединения.

Выходы из isi auth status и isi auth ads list -v Перед выполнением команды show show наличие поставщика:

corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

Ниже выполняем команду. Обратите внимание, что в списке указано неверное имя пользователя (в нашем примере мы использовали имя группы для «Administrators» вместо учетной записи администратора ):

corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database

Теперь провайдер отсутствует. В WebUI это может отображаться как unstyled, но в CLI его нет в выходных данных для isi auth status.

orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Поскольку статус isi auth может показать, что поставщик отсутствует по другим причинам, мы должны проверить это дополнительно. Команда isi auth ads list -v Не отображает выходные данные, соответствующие поставщику TESTDOMAIN.LOCAL ниже. Это означает, что конфигурация не содержит записей, соответствующих отсутствующему домену.

corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

В журналах LSASS отображаются аналогичные ошибки, наблюдаемые при выполнении первоначальной команды:

2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)

Описанный выше сценарий не ограничивается использованием неправильных учетных данных. Если присутствует какое-либо условие, которое может вызвать сбой присоединения к поставщику AD, то это приведет к удалению поставщика. Например, если такое же имя для учетной записи компьютера используется в другом месте леса или в доверенном домене, это приводит к сбою. Единственное различие может заключаться в предоставленной ошибке.

При выполнении присоединения AD к уже присоединенному домену наличие условий, которые могут вызвать сбой, приводит к удалению поставщика AD. Это сделано специально, так как OneFS будет рассматривать это как попытку повторного присоединения. При возникновении сбоя все конфигурации, связанные с этим указанным поставщиком проверки подлинности, удаляются.

corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Имена поставщиков проверки подлинности являются глобальными, поэтому наличие двух поставщиков с одинаковыми именами не поддерживается. Если другие невыполненные условия, препятствующие операции присоединения, отсутствуют, повторное присоединение к домену решает проблему.

Если требуется присоединить одного и того же поставщика домена Active Directory с отдельными учетными записями компьютеров, следует использовать функцию создания нескольких экземпляров. Это подробно описано в разделе «Поставщики проверки подлинности для конкретных зон» руководств по администрированию OneFS. Помните, что для восстановления доступа вновь присоединенный поставщик AD должен быть добавлен обратно во все зоны доступа, в которых он был ранее.

Документацию по вашей версии OneFS см. в статье Информационные центры PowerScale OneFS .