PowerScale. OneFS. Выборочная аутентификация: ERROR_AUTHENTICATION_FIREWALL_FAILED
Summary: Сбой проверки подлинности из-за выборочной проверки подлинности с ошибкой: ERROR_AUTHENTICATION_FIREWALL_FAILED
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
При попытке запросить объекты Active Directory из доверенного домена кластер PowerScale в доверенном домене выдает ошибку. Это может привести к тому, что пользовательские объекты не смогут добавлять объекты в разрешения общего ресурса, списки контроля доступа и т. д.
В журналах lsass отображаются следующие записи:
lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)
Эта ошибка может появиться во время выполнения команды isi auth mapping token для объекта пользователя в доверенном домене:
# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user
Эта ошибка появляется в примере добавления объекта пользователя к разрешениям общего ресурса:
# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'
Захват пакетов отображается следующим образом:
347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839
Эта проблема возникает в результате включения выборочной проверки подлинности в доверительных учреждениях Active Directory. Выборочная аутентификация — это функция, с помощью которой администратор домена может детально управлять трастами.
Трасты могут быть проверены следующим образом:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN
Совет: Netdom обеспечивает наилучшие выходные данные для устранения этой проблемы.
Cause
Выборочная проверка подлинности включена для соответствующих объектов доверия в объектах Active Directory Domains и Trusts. Эта функция подробно описана в следующих статьях:
Соображения безопасности для трастов:
https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx
Настройка параметров выборочной аутентификации:
https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx
Resolution
Добавьте пользователя или группу, о которых идет речь, в список разрешений с разрешением на аутентификацию для объекта кластера или удалите выборочную проверку подлинности в соответствии с приведенными ниже статьями:
A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)https://support.microsoft.com/en-us/kb/2959395
Предоставьте разрешение «Разрешено аутентифицировать» на компьютерах в доверенном домене или лесу:
https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx
Affected Products
PowerScale OneFSProducts
IsilonArticle Properties
Article Number: 000018338
Article Type: Solution
Last Modified: 25 Nov 2025
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.