PowerScale OneFS: Active Directory-providern saknas efter anslutningsförsök för samma domän

När du har utfört en AD-anslutning med samma namn på en AD-provider som klustret redan är anslutet till kan providern saknas. Administratörer kan se ett fel som är relaterat till kopplingsförsöket, men det här felet kan variera beroende på orsaken.

I exemplet nedan återskapar vi problemet med providern TESTDOMAIN.LOCAL genom att använda fel konto för att underlätta anslutningen.

Utgångar från isi auth status och isi auth ads list -v Visa att providern är närvarande innan du kör kommandot:

corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

Nedan kör vi kommandot. Observera att det felaktiga användarnamnet anges (i vårt exempel använde vi gruppnamnet för "Administratörer" i stället för administratörskontot ):

corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database

Nu saknas leverantören. I WebUI kan detta visas som oformaterat, men i CLI finns det inte i utdata för isi auth status.

orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Eftersom isi-autentiseringsstatus kan visa att en leverantör saknas av andra skäl måste vi validera detta ytterligare. Kommandot isi auth ads list -v Visar inga utdata som matchar providern TESTDOMAIN.LOCAL nedan. Det innebär att konfigurationen inte innehåller några poster som matchar den saknade domänen.

corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

LSASS-loggar visar liknande fel som observeras när du kör det första kommandot:

2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)

Ovanstående scenario är inte begränsat till användning av felaktiga autentiseringsuppgifter. Om det finns något villkor som skulle leda till att det inte går att ansluta till AD-providern resulterar felet i att providern tas bort. Om till exempel samma namn för datorkontot används någon annanstans i skogen eller i en betrodd domän inducerar det ett fel. Den enda skillnaden kan vara det angivna felet.

När du utför en AD-anslutning mot en redan ansluten domän resulterar förekomsten av villkor som skulle inducera fel i att AD-providern tas bort. Detta är avsiktligt eftersom OneFS skulle behandla detta som ett "återanslutningsförsök". När felet påträffas tas alla relaterade konfigurationer till den angivna autentiseringsprovidern bort.

corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Namn på autentiseringsproviders är globala, så det går inte att ha två leverantörer med samma namn. Om det inte finns några andra utestående villkor som skulle förhindra en kopplingsåtgärd löser du problemet genom att återansluta till domänen.

Om det finns ett krav på att ansluta till samma AD-domänprovider med separata datorkonton bör multiinstancing-funktionen användas. Det finns mer information om detta i avsnittet om zonspecifika autentiseringsproviders i administrationsmanualerna för OneFS. Kom ihåg att den återanslutna AD-providern måste läggas till i alla åtkomstzoner som tidigare hade den för att återställa åtkomsten.

Mer information om din version av OneFS finns i artikeln PowerScale OneFS Info Hubs .