PowerScale: OneFS: Selektiv autentisering: ERROR_AUTHENTICATION_FIREWALL_FAILED

Summary: Autentiseringen misslyckas på grund av selektiv autentisering med felet: ERROR_AUTHENTICATION_FIREWALL_FAILED

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

När du försöker fråga Active Directory-objekt från en betrodd domän genererar ett fel ett PowerScale-kluster i en betrodd domän. Detta kan leda till att det inte går att lägga till användarobjekt i resursbehörigheter, ACL:er och så vidare.

Följande poster visas i lsass-loggar:

lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)



Det här felet kan visas när du kör kommandot, isi auth mapping token för användarobjektet i den betrodda domänen:

# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user



Det här felet visas i exemplet med att lägga till ett användarobjekt för att dela behörigheter:
 

# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'



Paketinsamlingarna visas på följande sätt:
 

347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839



Det här problemet uppstår som ett resultat av aktivering av selektiv autentisering på AD-förtroenden. Selektiv autentisering är en funktion där domänadministratören kan hantera förtroenden på ett detaljerat sätt.

Truster kan verifieras enligt följande:

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN

Tips: Netdom ger det bästa resultatet för att felsöka det här problemet.

Cause

Selektiv autentisering är aktiverat för relevanta förtroenden i Active Directory-domäner och förtroendeobjekt. Funktionen beskrivs i detalj i artiklarna nedan:

Säkerhetsöverväganden för förtroenden:

https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx

Konfigurera inställningar för selektiv autentisering:

https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx

Resolution

Lägg till användaren eller gruppen i fråga i behörigheten Tillåts att autentisera för klusterobjektet eller ta bort selektiv autentisering per kb nedan:

A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)

https://support.microsoft.com/en-us/kb/2959395

Bevilja behörigheten "Tillåts att autentisera" på datorer i domänen eller skogen med förtroende igen:

https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx
 

Affected Products

PowerScale OneFS

Products

Isilon
Article Properties
Article Number: 000018338
Article Type: Solution
Last Modified: 25 Nov 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.