PowerScale: OneFS: Selektive Authentifizierung: ERROR_AUTHENTICATION_FIREWALL_FAILED

Beim Versuch, Active Directory-Objekte aus einer vertrauenswürdigen Domäne abzufragen, erzeugt ein PowerScale-Cluster in einer vertrauenswürdigen Domäne einen Fehler. Dies kann dazu führen, dass keine Nutzerobjekte zu Freigabeberechtigungen, ACLs usw. hinzugefügt werden können.

Die folgenden Einträge werden in lsass-Protokollen angezeigt:

lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)

Dieser Fehler wird möglicherweise angezeigt, während der Befehl isi auth mapping token für das Nutzerobjekt in der vertrauenswürdigen Domain ausgeführt wird:

# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user

Dieser Fehler wird im Beispiel für das Hinzufügen eines Benutzerobjekts zu Freigabeberechtigungen angezeigt:
 

# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'

Die Paketerfassungen werden wie folgt angezeigt:
 

347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839

Dieses Problem tritt auf, wenn die selektive Authentifizierung für die AD-Vertrauensstellungen aktiviert ist. Die selektive Authentifizierung ist eine Funktion, mit der der Domänenadministrator Vertrauensstellungen granular verwalten kann.

Trusts können wie folgt überprüft werden:

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN

Tipp: Netdom bietet die beste Ausgabe, um dieses Problem zu beheben.

Die selektive Authentifizierung ist für die relevanten Vertrauensstellungen in Active Directory-Domänen und Trusts-Objekten aktiviert. Die Funktion wird in den folgenden Artikeln ausführlich beschrieben:

Sicherheitsüberlegungen für Trusts:

https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx

Konfigurieren der Einstellungen für die selektive Authentifizierung:

https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx

Fügen Sie den betreffenden Nutzer oder die betreffende Gruppe zur Authentifizierungsberechtigung für das Clusterobjekt hinzu oder entfernen Sie die selektive Authentifizierung gemäß den folgenden Wissensdatenbank-Artikeln:

A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)

https://support.microsoft.com/en-us/kb/2959395

Erteilen Sie die Berechtigung "Authentifizierung zugelassen" auf Computern in der vertrauenden Domäne oder Gesamtstruktur:

https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx