PowerScale OneFS：Active Directory 提供程序在尝试加入同一域后丢失

使用群集已加入的 AD 提供程序的相同名称执行 AD 加入后，提供程序可能会丢失。管理员可能会看到与加入尝试相关的错误，但此错误可能因原因而异。

在下面的示例中，我们重现了提供商的问题 TESTDOMAIN.LOCAL 使用不正确的帐户来方便加入。

以下来源的输出： isi auth status 和 isi auth ads list -v 在运行命令之前，显示提供程序已存在：

corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

下面我们运行命令。请注意，列出的用户名不正确（在我们的示例中，我们使用了 “管理员” 的组名称，而不是 管理员 帐户）：

corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database

现在提供程序不见了。在 WebUI 中，这可能显示为无样式，但在 CLI 中，它不在 isi auth status。

orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

由于 isi auth status 可能显示提供程序由于其他原因而缺失，因此我们必须进一步验证这一点。命令 isi auth ads list -v 不显示与提供程序匹配的任何输出 TESTDOMAIN.LOCAL 。这意味着配置不包含与缺失域匹配的条目。

corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

LSASS 日志显示在运行初始命令时观察到的类似错误：

2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)

上述情况不限于使用不正确的凭据。如果存在任何会导致无法加入 AD 提供程序的情况，则该故障会导致提供程序被删除。例如，如果在林中的其他位置或受信任域中使用了计算机帐户的相同名称，则会导致失败。唯一的区别可能是提供的错误。

对已加入的域执行 AD 加入时，存在会导致失败的条件，从而导致 AD 提供程序被删除。这是设计使然，因为 OneFS 会将其视为“重新加入”尝试。遇到故障时，将删除与该指定身份验证提供程序相关的任何配置。

corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

身份验证提供程序的名称是全局性的，因此不支持具有相同名称的两个提供程序。如果不存在会阻止加入作的其他未解决情况，则重新加入域可解决此问题。

如果需要使用单独的计算机帐户加入同一 AD 域提供商，则应使用多实例功能。OneFS 管理指南的“特定于区域的身份验证提供程序”部分对此进行了详细说明。请记住，必须将重新加入的 AD 提供程序添加回以前拥有它的任何访问分区，以恢复访问权限。

有关您的 OneFS 版本的文档，请参阅文章 PowerScale OneFS 信息中心 。