PowerScale: OneFS: Вибіркова автентифікація: ERROR_AUTHENTICATION_FIREWALL_FAILED
Summary: Автентифікація не проходить через вибіркову автентифікацію з помилкою: ERROR_AUTHENTICATION_FIREWALL_FAILED
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Під час спроби запиту до об'єктів Active Directory з довіреного домену кластер PowerScale у довіречому домені створює помилку. Це може призвести до неможливості додавати користувацькі об'єкти до дозволів на спільне використання, ACL тощо.
У журналах lsass наведені такі записи:
lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)
Ця помилка може з'являтися під час виконання команди isi auth mapping token для об'єкта користувача в довіреному домені:
# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user
Ця помилка з'являється у прикладі додавання об'єкта користувача до доступу до доступу до спільного доступу:
# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'
Захоплення пакетів показується наступним чином:
347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839
Ця проблема виникає внаслідок увімкнення вибіркової автентифікації на довірчих системах AD. Вибіркова автентифікація — це функція, завдяки якій адміністратор домену може детально керувати трастами.
Трасти можуть бути перевірені наступним чином:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN
Порада: Netdom надає найкращий результат для усунення цієї проблеми.
Cause
Вибіркова автентифікація увімкнена на відповідних довірчих об'єктах Active Directory Domains та Trusts. Ця особливість детально описана у нижче наведених статтях:
Питання безпеки для трастів:
https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx
Налаштування параметрів вибіркової автентифікації:
https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx
Resolution
Додайте користувача або групу, про яку йдеться, до розділу Дозволено автентифікувати для кластерного об'єкта, або прибрати вибіркову автентифікацію за ключовими пунктами нижче:
A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)https://support.microsoft.com/en-us/kb/2959395
Надайте дозвіл «Дозволено автентифікувати» на комп'ютерах у довірчому домені або лісі:
https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx
Affected Products
PowerScale OneFSProducts
IsilonArticle Properties
Article Number: 000018338
Article Type: Solution
Last Modified: 25 Nov 2025
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.