PowerScale: OneFS: Selektivní ověřování: ERROR_AUTHENTICATION_FIREWALL_FAILED

Summary: Ověřování se nezdaří kvůli výběrovému ověřování s chybou: ERROR_AUTHENTICATION_FIREWALL_FAILED

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Při pokusu o dotazování objektů služby Active Directory z důvěryhodné domény dojde v clusteru PowerScale v důvěřující doméně k chybě. To může mít za následek, že nebude možné přidávat objekty uživatelů do oprávnění ke sdílení, seznamů ACL atd.

V protokolech lsass se zobrazí následující položky:

lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)



Tato chyba se může zobrazit při spuštění příkazu isi auth mapping token pro objekt uživatele v důvěryhodné doméně:

# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user



Tato chyba se zobrazí v příkladu přidání objektu uživatele pro sdílení oprávnění:
 

# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'



Zachytávání paketů se zobrazí takto:
 

347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839



K tomuto problému dochází v důsledku povolení výběrového ověřování ve vztazích důvěryhodnosti služby AD. Selektivní ověřování je funkce, pomocí které může správce domény spravovat vztahy důvěryhodnosti podrobným způsobem.

Svěřenské fondy lze ověřovat následujícím způsobem:

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN

Tip: Netdom poskytuje nejlepší výstup pro řešení tohoto problému.

Cause

Výběrové ověřování je povoleno u příslušných vztahů důvěryhodnosti v doménách služby Active Directory a objektech vztahů důvěryhodnosti. Tato funkce je podrobně popsána v následujících článcích:

Důležité informace o zabezpečení vztahů důvěryhodnosti:

https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx

Konfigurace nastavení výběrového ověřování:

https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx

Resolution

Přidejte příslušného uživatele nebo skupinu do oprávnění Povoleno ověřovat pro objekt clusteru nebo odeberte výběrové ověřování podle níže uvedených znalostí:

A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)

https://support.microsoft.com/en-us/kb/2959395

Udělte počítačům v důvěřující doméně nebo doménové struktuře oprávnění "Povoleno ověřování":

https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx
 

Affected Products

PowerScale OneFS

Products

Isilon
Article Properties
Article Number: 000018338
Article Type: Solution
Last Modified: 25 Nov 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.