PowerScale. OneFS. Отсутствуют оповещения SPN без соответствующего имени зоны SmartConnect (SCZN)

Summary: Кластеры сообщают об отсутствии необходимых имен SPN на сервере Active Directory после переключения при отказе или возврата на основной ресурс Superna для имен сервисных принципов (SPN), которые соответствуют любому имени зоны SmartConnect кластера. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

После выполнения процесса переключения при отказе или возврата к состоянию до сбоя Superna для назначения основного кластера PowerScale в дополнительном кластере могут появиться следующие ошибки.

 

2.365102 10/21 09:26 I    0    729106         AD server missing needed SPN(s) HOST/eyeglasstest.example.org, HOST/eyeglasstest, nfs/eyeglasstest.example.org, nfs/eyeglasstest; try 'isi auth ads spn check EXAMPLE.ORG'

2.365089 10/21 09:11 I    0    729106         AD server missing needed SPN(s) HOST/eyeglasstest.example.org, HOST/eyeglasstest, nfs/eyeglasstest.example.org, nfs/eyeglasstest; try 'isi auth ads spn check EXAMPLE.ORG'
 

 

В результате расследования может оказаться, что отсутствующие имена субъектов-служб не совпадают с именами сетевых пулов в дополнительном кластере. 

 

Например, если кластер PowerScale A отображает отсутствующие оповещения SPN:

 

ИМЯ КЛАСТЕРА: кластер A
 

Проверка SPN сообщает об отсутствующих SPN:

clusterA-1# isi auth ads spn check EXAMPLE.ORG
Possible missing SPNs:
          HOST/eyeglasstest.example.org
          HOST/eyeglasstest
          nfs/eyeglasstest.example.org
          nfs/eyeglasstest
Possible extra SPNs:
          nfs/igls-original-eyeglasstest
 

 

Ни одно из имен сетевых пулов не совпадает, что отображается с помощью команды «isi network pools list -v». Отсутствующее имя SPN и имя сетевого пула должны точно совпадать. Другие несвязанные, похожие имена, которые содержат часть отсутствующего имени SPN, не учитываются.

 

Сетевые пулы кластера A:
 

clusterA-1# isi network pools list -v
                   ID: groupnet0.subnet0.pool0
             Groupnet: groupnet0
               Subnet: subnet0
                 Name: pool0
                Rules: rule0
          Access Zone: System
    Allocation Method: static
     Aggregation Mode: lacp
          Description: Initial 10gige-1 pool
      Firewall Policy: default_pools_policy
               Ifaces: 1:10gige-agg-1, 2:10gige-agg-1, 3:10gige-agg-1, 4:10gige-agg-1, 5:10gige-agg-1, 6:10gige-agg-1
            IP Ranges: 172.20.14.41-172.20.14.46
     IPv6 Perform DAD: No
     Rebalance Policy: auto
   SC Failover Policy: round_robin
        Static Routes: -
NFSv3 RDMA RRoCE only: No
   SC Suspended Nodes: -
    SC Connect Policy: round_robin
              SC Zone: d8fs14.example.org
  SC DNS Zone Aliases: igls-ignore-vlan14.example.org
            SC Subnet: subnet0
               SC TTL: 0
--------------------------------------------------------------------------------
                   ID: groupnet0.subnet1.Eyeglass_Pool
             Groupnet: groupnet0
               Subnet: subnet1
                 Name: Eyeglass_Pool
                Rules: -
          Access Zone: EyeglassRunbookRobot
    Allocation Method: static
     Aggregation Mode: lacp
          Description:
      Firewall Policy: default_pools_policy
               Ifaces: 1:10gige-agg-1
            IP Ranges: 172.20.15.6-172.20.15.6
     IPv6 Perform DAD: No
     Rebalance Policy: auto
   SC Failover Policy: round_robin
        Static Routes: -
NFSv3 RDMA RRoCE only: No
   SC Suspended Nodes: -
    SC Connect Policy: round_robin
              SC Zone: igls-original-eyeglasstest.example.org
  SC DNS Zone Aliases: igls-robot-oco.example.org
            SC Subnet: subnet1
               SC TTL: 0
--------------------------------------------------------------------------------
                   ID: groupnet0.subnet1.pool0
             Groupnet: groupnet0
               Subnet: subnet1
                 Name: pool0
                Rules: -
          Access Zone: prod
    Allocation Method: static
     Aggregation Mode: lacp
          Description:
      Firewall Policy: default_pools_policy
               Ifaces: 1:10gige-agg-1, 2:10gige-agg-1, 3:10gige-agg-1, 4:10gige-agg-1, 5:10gige-agg-1, 6:10gige-agg-1
            IP Ranges: 172.20.15.41-172.20.15.46
     IPv6 Perform DAD: No
     Rebalance Policy: auto
   SC Failover Policy: round_robin
        Static Routes: -
NFSv3 RDMA RRoCE only: No
   SC Suspended Nodes: -
    SC Connect Policy: round_robin
              SC Zone: igls-original.example.org
  SC DNS Zone Aliases: igls-prod.example.org
            SC Subnet: subnet1
               SC TTL: 0
 

 

При проверке нового основного кластера, кластера B, можно найти имя пула SmartConnect, соответствующее отсутствующему имени SPN. Это имя SPN, указанное в оповещении для дополнительного кластера, кластера A.  


ИМЯ КЛАСТЕРА: кластер B
 

Производственный кластер, в котором есть это имя SPN + имя пула:

clusterB-1# isi auth ads spn list EXAMPLE.ORG | grep -i eyeglasstest
SPN
----------------------------------------------------
nfs/eyeglasstest
nfs/eyeglasstest.example.org
HOST/eyeglasstest
HOST/eyeglasstest.example.org

Имя сетевого пула основного кластера

clusterB-1# isi network pools list -v
                   ID: groupnet0.subnet1.Eyeglass_Pool
             Groupnet: groupnet0
               Subnet: subnet1
                 Name: Eyeglass_Pool
                Rules: -
          Access Zone: EyeglassRunbookRobot
    Allocation Method: static
     Aggregation Mode: lacp
          Description: Used for Eyeglass test failover
      Firewall Policy: default_pools_policy
               Ifaces: 1:10gige-agg-1
            IP Ranges: 172.29.28.5-172.29.28.5
     IPv6 Perform DAD: No
     Rebalance Policy: auto
   SC Failover Policy: round_robin
        Static Routes: -
NFSv3 RDMA RRoCE only: No
   SC Suspended Nodes: -
    SC Connect Policy: round_robin
              SC Zone: eyeglasstest.example.org  <<<<<<<<<<<<<<<<<<<
  SC DNS Zone Aliases: igls-robot-rco.example.org
            SC Subnet: subnet1
               SC TTL: 0

Cause

Superna использует следующую команду для добавления и удаления имен SPN. Они также указывают учетную запись компьютера, связанную с именем SPN в домене AD. 

2025-02-04T09:33:03,953 SSH   /172.20.14.37  echo '[REDACTED]' | sudo -S -k -p "" isi auth ads spn  delete EXAMPLE.ORG HOST/eyeglasstest.example.org   --machine-account clusterA$  2>&1;echo 0

2025-02-04T09:33:05,568 SSH   /172.20.14.37  echo '[REDACTED]' | sudo -S -k -p "" isi auth ads spn  delete EXAMPLE.ORG HOST/eyeglasstest   --machine-account clusterA$  2>&1;echo 0

2025-02-04T09:33:07,180 SSH   /172.20.14.37  echo '[REDACTED]' | sudo -S -k -p "" isi auth ads spn  delete EXAMPLE.ORG nfs/eyeglasstest.example.org   --machine-account clusterA$  2>&1;echo 0
 

В OneFS 9.5.1.1 параметр «--machine-account» команды «isi auth ads spn create/delete» не работает должным образом. Команда с установленным флагом не удаляет лишние SPN из дополнительного кластера при использовании. 

Resolution

Временное решение заключается в ручном удалении имен SPN из второго кластера, который подвержен этой проблеме, с помощью интерфейса командной строки этого кластера. Это необходимо сделать без параметра «--machine-account» после переключения/возврата Superna на резервный ресурс. Эти сообщения также можно игнорировать, так как нет необходимости в отсутствующем имени пула SmartConnect в дополнительном кластере без имени пула SmartConnect.

 

# isi auth ads spn delete <SPN name> --zone=<zone name>

Affected Products

Isilon, PowerScale OneFS

Products

Isilon Gen6.5
Article Properties
Article Number: 000285197
Article Type: Solution
Last Modified: 11 Aug 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.