PowerScale：OneFS： 选择性身份验证：ERROR_AUTHENTICATION_FIREWALL_FAILED

尝试从受信任域查询 Active Directory 对象时，信任域中的 PowerScale 群集会生成错误。这可能会导致无法将用户对象添加到共享权限、ACL 等。

lsass 日志中显示以下条目：

lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)

运行命令 isi auth mapping token for the user object in the Trusted Domain 时可能会显示此错误：

# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user

在添加用户对象以共享权限的示例中出现此错误：
 

# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'

数据包捕获显示如下：
 

347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839

在 AD 信任上启用选择性身份验证后，会出现此问题。选择性身份验证是一项功能，域管理员可以借此以精细的方式管理信任。

可以按如下方式验证信任：

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821（v=ws.11）？redirectedfrom=MSDN

提示：Netdom 提供了解决此问题的最佳输出。

对 Active Directory 域和信任关系对象中的相关信任启用选择性身份验证。以下文章中详细介绍了该功能：

信任的安全注意事项：

https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx

配置选择性身份验证设置：

https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx

将相关用户或组添加到允许对群集对象进行身份验证权限，或根据以下 kb 删除选择性身份验证：

A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)

https://support.microsoft.com/en-us/kb/2959395

授予对信任域或林中的计算机的“允许进行身份验证”权限：

https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx