PowerScale OneFS：Active Directory 提供者在嘗試加入相同網域後遺失

使用群集已加入的 AD 提供程式的相同名稱執行 AD 加入後，提供程式可能會丟失。管理員可能會看到與加入嘗試相關的錯誤，但此錯誤可能因原因而異。

在下面的示例中，我們重現了提供程式的問題 TESTDOMAIN.LOCAL 通過使用不正確的帳戶來促進加入。

輸出來源： isi auth status 和 isi auth ads list -v 在執行命令之前顯示提供者存在：

corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

下面我們執行命令。請注意，列出的使用者名不正確（在我們的示例中，我們使用“ 管理員” 的組名而不是 管理員 帳戶）：

corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database

現在缺少提供程式。在 WebUI 中，這可能顯示為無樣式，但在 CLI 中，它不在 isi auth status。

orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

由於 isi auth 狀態可能顯示由於其他原因缺少提供程式，因此我們必須進一步驗證這一點。命令 isi auth ads list -v 不顯示與提供者匹配的任何輸出 TESTDOMAIN.LOCAL 下面。這表示組態不包含與遺失網域相符的項目。

corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

LSASS 記錄顯示在執行初始命令時觀察到的類似錯誤：

2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)

上述情況不限於使用不正確的憑據。如果存在任何會導致無法加入 AD 提供程式的條件，則失敗會導致刪除提供程式。例如，如果在林中的其他位置或受信任的域中使用了計算機帳戶的相同名稱，則會導致失敗。唯一的區別可能是提供的錯誤。

對已加入的域執行 AD 加入時，存在會導致失敗的條件會導致刪除 AD 提供程式。這是設計的運作方式，因為 OneFS 會將此視為「重新加入」嘗試。遇到故障時，將刪除與該指定身份驗證提供程式相關的任何配置。

corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

身份驗證提供程式的名稱是全域的，因此不支援有兩個同名的提供程式。如果沒有其他未決條件會阻止加入操作，則重新加入域可解決此問題。

如果需要使用單獨的計算機帳戶加入同一 AD 域提供程式，則應使用多實例功能。OneFS 管理指南的「區域特定的驗證提供者」一節對此有詳細說明。請記住，必須將重新加入的 AD 提供程式添加回以前具有它的任何訪問區域才能恢復訪問許可權。

請參閱文章 PowerScale OneFS 資訊中心 ，以取得 OneFS 版本的說明文件。