PowerScale OneFS: Aynı etki alanı için katılma girişiminden sonra Active Directory sağlayıcısı kayboluyor

Kümenin zaten katılmış olduğu AD sağlayıcısının adıyla bir AD birleştirme işlemi gerçekleştirdikten sonra sağlayıcı kaybolabilir. Yöneticiler katılma girişimiyle ilgili bir hata görebilir ancak bu hata nedenine bağlı olarak değişebilir.

Aşağıdaki örnekte, sorunu sağlayıcıyla yeniden oluşturuyoruz TESTDOMAIN.LOCAL Birleştirmeyi kolaylaştırmak için yanlış hesabı kullanarak.

Çıktılar isi auth status ve isi auth ads list -v Komutu çalıştırmadan önce sağlayıcının mevcut olduğunu gösterin:

corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

Aşağıda komutu çalıştırıyoruz. Yanlış kullanıcı adının listelendiğine dikkat edin (örneğimizde, yönetici hesabı yerine 'Yöneticiler' için grup adını kullandık):

corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database

Şimdi sağlayıcı eksik. WebUI'da bu, biçimlendirilmemiş olarak görünebilir ancak CLI'da isi auth status.

orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

isi auth durumu, bir sağlayıcının başka nedenlerle eksik olduğunu gösterebileceğinden, bunu daha fazla doğrulamamız gerekir. Komut isi auth ads list -v Sağlayıcıyla eşleşen herhangi bir çıktı görüntülemiyor TESTDOMAIN.LOCAL Görüntü Yok Sorun Giderme işlemine başvurun. Bu, yapılandırmanın eksik etki alanıyla eşleşen hiçbir giriş içermediği anlamına gelir.

corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

LSASS günlüklerinde, ilk komut çalıştırılırken gözlemlenen benzer hatalar gösterilir:

2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)

Yukarıdaki senaryo, yanlış kimlik bilgilerinin kullanımıyla sınırlı değildir. AD sağlayıcısına katılamamaya neden olacak herhangi bir koşul varsa hata, sağlayıcının silinmesine neden olur. Örneğin, makine hesabı için aynı ad ormanın başka bir yerinde veya güvenilen bir etki alanında kullanılıyorsa bu bir hataya neden olur. Tek fark, sağlanan hata olabilir.

Zaten katılmış bir etki alanında AD katılımı gerçekleştirirken hataya neden olacak koşulların varlığı AD sağlayıcısının silinmesine neden olur. OneFS bunu bir "yeniden katılma" girişimi olarak değerlendirdiğinden bu, tasarım gereğidir. Hatayla karşılaşıldığında, belirtilen kimlik doğrulama sağlayıcısıyla ilgili tüm yapılandırmalar silinir.

corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Kimlik doğrulama sağlayıcılarının adları geneldir, bu nedenle aynı ada sahip iki sağlayıcıya sahip olmak desteklenmez. Birleştirme işlemini engelleyecek başka bir bekleyen koşul yoksa etki alanına yeniden katılmak sorunu çözer.

Aynı AD etki alanı sağlayıcısına ayrı makine hesaplarıyla katılma gereksinimi varsa çoklu başlatma özelliği kullanılmalıdır. Bu, OneFS Yönetim Rehberlerinin "Bölgeye özgü kimlik doğrulama sağlayıcıları" bölümünde ayrıntılı olarak açıklanmıştır. Yeniden katılan AD sağlayıcısının, erişimi geri yüklemek için daha önce sahip olduğu tüm erişim bölgelerine geri eklenmesi gerektiğini unutmayın.

OneFS sürümünüzle ilgili belgeler için PowerScale OneFS Bilgi Merkezleri makalesine bakın.