PowerScale OneFS: Active Directory-leverandøren forsvinner etter forsøk på å koble til samme domene

Når du har utført en AD-sammenføyning med samme navn på en AD-leverandør som klyngen allerede er koblet til, kan det hende at leverandøren forsvinner. Administratorer kan se en feil relatert til tilkoblingsforsøket, men denne feilen kan variere avhengig av årsaken.

I eksemplet nedenfor gjengir vi problemet med leverandøren TESTDOMAIN.LOCAL ved å bruke feil konto for å forenkle sammenkoblingen.

Utganger fra isi auth status og isi auth ads list -v Vis at leverandøren er til stede før du kjører kommandoen:

corebuddy-1# isi auth status
ID                                            Active Server                Status
----------------------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.LOCAL winserv2019.testdomain.local online
lsa-activedirectory-provider:DOMAIN2.LOCAL    domain2DC1.domain2.local     online
lsa-local-provider:System                     -                            active
lsa-local-provider:test                       -                            active
lsa-local-provider:domain2                    -                            active
lsa-file-provider:System                      -                            active
----------------------------------------------------------------------------------
Total: 6

corebuddy-1# isi auth ads list -v | grep -i testdomain
                     Name: TESTDOMAIN.LOCAL
           Primary Domain: TESTDOMAIN.LOCAL
                   Forest: testdomain.local
           NetBIOS Domain: TESTDOMAIN
                 Hostname: corebuddy.testdomain.local

Nedenfor kjører vi kommandoen. Legg merke til at feil brukernavn er oppført (for eksempel brukte vi gruppenavnet for 'Administratorer' i stedet for administratorkontoen ):

corebuddy-1# isi auth ads create --name=TESTDOMAIN.LOCAL --user=administrators
password:
Failed to join domain 'TESTDOMAIN.LOCAL' account 'corebuddy' user 'administrators@TESTDOMAIN.LOCAL': (LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN) Client not found in Kerberos database

Nå mangler leverandøren. I webgrensesnittet kan dette vises som ustylet, men i CLI er det ikke i utdataene for isi auth status.

orebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Fordi isi auth-status kan vise at en leverandør mangler av andre grunner, må vi validere dette ytterligere. Kommandoen isi auth ads list -v viser ingen utdata som samsvarer med leverandøren TESTDOMAIN.LOCAL nedenfor. Dette betyr at konfigurasjonen ikke inneholder noen oppføringer som samsvarer med det manglende domenet.

corebuddy-1# isi auth ads list -v |grep -i test
corebuddy-1#

LSASS-logger viser lignende feil observert når du kjører den første kommandoen:

2024-06-11T21:25:21.298318+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328378 (Message: Client 'administrators@TESTDOMAIN.LOCAL' not found in Kerberos database)
2024-06-11T21:25:21.299207+00:00 <30.4> corebuddy-1(id1) lsass[5467]: [lsass] Error occurred while joining domain: Error code: 41737 (symbol: LW_ERROR_KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN)

Scenariet ovenfor er ikke begrenset til bruk av feil legitimasjon. Hvis det er noen tilstand til stede som vil indusere en unnlatelse av å bli med i AD-leverandøren, resulterer feilen i at leverandøren blir slettet. Hvis for eksempel det samme navnet for maskinkontoen brukes et annet sted i skogen eller i et klarert domene, forårsaker det en feil. Den eneste forskjellen kan være feilen som er gitt.

Når du utfører en AD-sammenføyning mot et allerede tilsluttet domene, vil tilstedeværelsen av forhold som kan indusere feil, føre til at AD-leverandøren blir slettet. Dette er designet for OneFS, da OneFS ville behandlet dette som et forsøk på å bli med på nytt. Når feilen oppstår, slettes alle relaterte konfigurasjoner til den angitte autorisasjonsleverandøren.

corebuddy-1# isi auth status
ID                                         Active Server            Status
---------------------------------------------------------------------------
lsa-activedirectory-provider:DOMAIN2.LOCAL domain2DC1.domain2.local online
lsa-local-provider:System                  -                        active
lsa-local-provider:test                    -                        active
lsa-local-provider:domain2                 -                        active
lsa-file-provider:System                   -                        active
---------------------------------------------------------------------------
Total: 5

Navn på godkjenningsleverandører er globale, så det å ha to leverandører med samme navn støttes ikke. Hvis det ikke er noen andre utestående forhold til stede som ville hindre en bli med-operasjon, løser problemet ved å bli med i domenet på nytt.

Hvis det er et krav om å bli med i samme AD-domeneleverandør med separate maskinkontoer, bør multi-instancing-funksjonen brukes. Dette utdypes i delen "Zone-specific authentication providers" i OneFS-administrasjonsveiledningene. Husk at AD-leverandøren som ble med i igjen, må legges tilbake til alle tilgangssoner som tidligere hadde den for å gjenopprette tilgang.

Se artikkelen PowerScale OneFS Info Hubs for dokumentasjon om din versjon av OneFS.