Шкала потужності: Компанія OneFS: Відсутні сповіщення SPN без збігу назви зони SmartConnect (SCZN)

Summary: Кластери повідомляють про відсутність необхідних SPN сервера AD після відмови Superna або зворотного зв'язку для імен принципів служби (SPN), які відповідають будь-якому імені зони SmartConnect кластера. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Після завершення процесу відмововідновлення/відмови Superna для визначення основного кластера PowerScale ви можете побачити такі помилки на вторинному кластері.

 

2.365102 10/21 09:26 I    0    729106         AD server missing needed SPN(s) HOST/eyeglasstest.example.org, HOST/eyeglasstest, nfs/eyeglasstest.example.org, nfs/eyeglasstest; try 'isi auth ads spn check EXAMPLE.ORG'

2.365089 10/21 09:11 I    0    729106         AD server missing needed SPN(s) HOST/eyeglasstest.example.org, HOST/eyeglasstest, nfs/eyeglasstest.example.org, nfs/eyeglasstest; try 'isi auth ads spn check EXAMPLE.ORG'
 

 

Під час розслідування ви можете виявити, що відсутні SPN не збігаються з іменами будь-якого мережевого пулу у вторинному кластері. 

 

Наприклад, якщо кластер PowerScale показує відсутні сповіщення SPN:

 

НАЗВА КЛАСТЕРА: clusterA
 

Перевірка SPN повідомляє про відсутні SPN:

clusterA-1# isi auth ads spn check EXAMPLE.ORG
Possible missing SPNs:
          HOST/eyeglasstest.example.org
          HOST/eyeglasstest
          nfs/eyeglasstest.example.org
          nfs/eyeglasstest
Possible extra SPNs:
          nfs/igls-original-eyeglasstest
 

 

Жодна з назв мережевих пулів не співпадає, що відображається за допомогою «списку пулів мережі isi -v». Відсутній SPN та ім'я мережевого пулу мають точно збігатися. Інші не пов'язані, схожі назви, які містять частину відсутнього СПН, не враховуються.

 

Мережеві пули кластера:
 

clusterA-1# isi network pools list -v
                   ID: groupnet0.subnet0.pool0
             Groupnet: groupnet0
               Subnet: subnet0
                 Name: pool0
                Rules: rule0
          Access Zone: System
    Allocation Method: static
     Aggregation Mode: lacp
          Description: Initial 10gige-1 pool
      Firewall Policy: default_pools_policy
               Ifaces: 1:10gige-agg-1, 2:10gige-agg-1, 3:10gige-agg-1, 4:10gige-agg-1, 5:10gige-agg-1, 6:10gige-agg-1
            IP Ranges: 172.20.14.41-172.20.14.46
     IPv6 Perform DAD: No
     Rebalance Policy: auto
   SC Failover Policy: round_robin
        Static Routes: -
NFSv3 RDMA RRoCE only: No
   SC Suspended Nodes: -
    SC Connect Policy: round_robin
              SC Zone: d8fs14.example.org
  SC DNS Zone Aliases: igls-ignore-vlan14.example.org
            SC Subnet: subnet0
               SC TTL: 0
--------------------------------------------------------------------------------
                   ID: groupnet0.subnet1.Eyeglass_Pool
             Groupnet: groupnet0
               Subnet: subnet1
                 Name: Eyeglass_Pool
                Rules: -
          Access Zone: EyeglassRunbookRobot
    Allocation Method: static
     Aggregation Mode: lacp
          Description:
      Firewall Policy: default_pools_policy
               Ifaces: 1:10gige-agg-1
            IP Ranges: 172.20.15.6-172.20.15.6
     IPv6 Perform DAD: No
     Rebalance Policy: auto
   SC Failover Policy: round_robin
        Static Routes: -
NFSv3 RDMA RRoCE only: No
   SC Suspended Nodes: -
    SC Connect Policy: round_robin
              SC Zone: igls-original-eyeglasstest.example.org
  SC DNS Zone Aliases: igls-robot-oco.example.org
            SC Subnet: subnet1
               SC TTL: 0
--------------------------------------------------------------------------------
                   ID: groupnet0.subnet1.pool0
             Groupnet: groupnet0
               Subnet: subnet1
                 Name: pool0
                Rules: -
          Access Zone: prod
    Allocation Method: static
     Aggregation Mode: lacp
          Description:
      Firewall Policy: default_pools_policy
               Ifaces: 1:10gige-agg-1, 2:10gige-agg-1, 3:10gige-agg-1, 4:10gige-agg-1, 5:10gige-agg-1, 6:10gige-agg-1
            IP Ranges: 172.20.15.41-172.20.15.46
     IPv6 Perform DAD: No
     Rebalance Policy: auto
   SC Failover Policy: round_robin
        Static Routes: -
NFSv3 RDMA RRoCE only: No
   SC Suspended Nodes: -
    SC Connect Policy: round_robin
              SC Zone: igls-original.example.org
  SC DNS Zone Aliases: igls-prod.example.org
            SC Subnet: subnet1
               SC TTL: 0
 

 

Під час перевірки нового первинного кластера, кластера B, ви можете знайти ім'я пулу SmartConnect, яке збігається з відсутнім SPN. Це SPN, який згадується в оповіщенні на вторинному кластері, кластері A.  


НАЗВА КЛАСТЕРА: clusterB
 

Виробничий кластер, на якому вказано SPN + Pool Name:

clusterB-1# isi auth ads spn list EXAMPLE.ORG | grep -i eyeglasstest
SPN
----------------------------------------------------
nfs/eyeglasstest
nfs/eyeglasstest.example.org
HOST/eyeglasstest
HOST/eyeglasstest.example.org

Ім'я мережевого пулу основного кластера

clusterB-1# isi network pools list -v
                   ID: groupnet0.subnet1.Eyeglass_Pool
             Groupnet: groupnet0
               Subnet: subnet1
                 Name: Eyeglass_Pool
                Rules: -
          Access Zone: EyeglassRunbookRobot
    Allocation Method: static
     Aggregation Mode: lacp
          Description: Used for Eyeglass test failover
      Firewall Policy: default_pools_policy
               Ifaces: 1:10gige-agg-1
            IP Ranges: 172.29.28.5-172.29.28.5
     IPv6 Perform DAD: No
     Rebalance Policy: auto
   SC Failover Policy: round_robin
        Static Routes: -
NFSv3 RDMA RRoCE only: No
   SC Suspended Nodes: -
    SC Connect Policy: round_robin
              SC Zone: eyeglasstest.example.org  <<<<<<<<<<<<<<<<<<<
  SC DNS Zone Aliases: igls-robot-rco.example.org
            SC Subnet: subnet1
               SC TTL: 0

Cause

Superna використовує наведену нижче команду для додавання та видалення SPN. Вони також вказують обліковий запис машини, пов'язаний із SPN у домені AD. 

2025-02-04T09:33:03,953 SSH   /172.20.14.37  echo '[REDACTED]' | sudo -S -k -p "" isi auth ads spn  delete EXAMPLE.ORG HOST/eyeglasstest.example.org   --machine-account clusterA$  2>&1;echo 0

2025-02-04T09:33:05,568 SSH   /172.20.14.37  echo '[REDACTED]' | sudo -S -k -p "" isi auth ads spn  delete EXAMPLE.ORG HOST/eyeglasstest   --machine-account clusterA$  2>&1;echo 0

2025-02-04T09:33:07,180 SSH   /172.20.14.37  echo '[REDACTED]' | sudo -S -k -p "" isi auth ads spn  delete EXAMPLE.ORG nfs/eyeglasstest.example.org   --machine-account clusterA$  2>&1;echo 0
 

Представлена в OneFS 9.5.1.1, опція "--machine-account" з команди "isi auth ads spn create/delete" не працює належним чином. Команда зі встановленим прапорцем не видаляє зайві SPN із вторинного кластера під час використання. 

Resolution

Обхідний шлях полягає в ручному видаленні SPN з другого кластера, який зазнає впливу за допомогою CLI цього кластера. Це має бути зроблено без параметра "--machine-account" після Superna Failover/failback. Повідомлення також можна безпечно ігнорувати, оскільки немає необхідності в відсутньому SPN на вторинному кластері без пов'язаного з ним імені пулу SmartConnect.

 

# isi auth ads spn видалити <ім'я> SPN --zone=<назва зони>

Affected Products

Isilon, PowerScale OneFS

Products

Isilon Gen6.5
Article Properties
Article Number: 000285197
Article Type: Solution
Last Modified: 11 Aug 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.