PowerScale: Niet-gedefinieerde kenmerkverificatiefout na upgrade naar OneFS 9.5 of hoger voor Active Directory-gebruikers
Summary: Bij het upgraden naar OneFS 9.5.x of latere versies van eerdere versies, kunnen codecontroles voorafgaand aan de upgrade een NULL/0-waarde identificeren voor 'msds-SupportedEncryptionTypes'. Als dit niet wordt opgelost, kan dit leiden tot authenticatiefouten (DU). ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Als een cluster wordt geüpgraded naar OneFS 9.5 en de waarde voor het machineaccountkenmerk msDS-SupportedEncryptionTypes niet is ingesteld, kan verificatie mislukken. De Active Directory-provider lijkt een niet-opgemaakte staat te hebben of ontbreekt in isi auth Statusuitvoer.
Deze waarde is standaard ingesteld op 31 (of 0xF1 in hexadecimale waarden) wanneer het cluster voor het eerst verbinding maakt met de Active Directory. Volgens de OneFS 9.5 beveiligingsconfiguratiegids, te vinden op de Dell Support PowerScale OneFS productpagina, hebben we veel ondersteunde versleutelingstypen voor SMB en Kerberos.
Opmerking: Voor de pagina met Dell handleidingen is verificatie vereist.
Als iemand het attribuut wil wijzigen voor
msDS-SupportedEncryptionTypes, is dit aanvaardbaar als het de vereiste versleutelingstypen die nodig zijn om te functioneren niet uitsluit. Sommigen willen bijvoorbeeld de waarde aanpassen om ondersteuning voor RC4 weg te laten.
Voorbeeld van het attribuut van de Eigenschappen waarop geavanceerde functies zijn ingeschakeld:
Afbeelding 1: De waarde voor msDS-SupportedEncryptionTypes Attribuut wordt weergegeven als <niet-ingesteld>.
Voorbeeld van Powershell:
DistinguishedName : CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local DNSHostName : ninefiveoh.testdomain.local Enabled : True Name : NINEFIVEOH ObjectClass : computer ObjectGUID : 8dbed342-6a12-41ff-889f-8249cc39b673 SamAccountName : NINEFIVEOH$ SID : S-1-5-21-3532647020-1821455699-3245163308-1110 UserPrincipalName :
De bovenstaande uitvoer bevat geen veld voor het kenmerk msDS-SupportedEncryptionTypes, waarmee gewoonlijk een geheel getal wordt gerapporteerd.
Hieronder ziet u een voorbeeld uit een ander cluster waar we wel zien dat de ingestelde waarde voor het kenmerk wordt ingevuld:
DistinguishedName : CN=COREBUDDY,CN=Computers,DC=testdomain,DC=local DNSHostName : corebuddy.testdomain.local Enabled : True msDS-SupportedEncryptionTypes : 31 <<<<<<<<<<<<<<<< Name : COREBUDDY ObjectClass : computer ObjectGUID : e29236a7-cc36-4686-bca9-010ba4143ca3 SamAccountName : COREBUDDY$ SID : S-1-5-21-3532647020-1821455699-3245163308-1104 UserPrincipalName :
Een ander symptoom is dat er specifieke berichten worden ingevuld /var/log/lsass.d.log bestand zoals hieronder weergegeven:
2023-04-14T02:40:07.877593+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local 2023-04-14T02:40:07.877656+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list. 2023-04-14T02:40:23.903189+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local 2023-04-14T02:40:23.903268+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.
Om te bevestigen dat dit het probleem is, moet de beheerder het machineaccountobject voor het cluster in Active Directory controleren. Dit kan op twee manieren:
- Open Active Directories Users and Computers (ADUC) in een DC.
- Selecteer Weergave op het bovenste lint van het venster en klik op Geavanceerde functies.
- Klik met de rechtermuisknop op het object en ga naar het tabblad Attribuuteditor en scrol om de
msDS-SupportedEncryptionTypesattribuut. - Dubbelklik op het veld Attribuut en bekijk het decimale getal dat in het nieuwe venster wordt weergegeven.
- Gebruik de volgende Powershell-opdracht op een DC met de juiste machineaccountnaam.
Get-ADComputer -Identity <machine account name> -Properties msDS-SupportedEncryptionTypes
Voor het bovenstaande moeten beheerders een account in Active Directory met bevoegdheden op domeinniveau gebruiken om het probleem op te lossen.
Cause
Handmatige verwijdering van de msDS-SupportedEncryptionTypes attribuut op het machineaccountobject van het cluster resulteert in Active Directory die een NULL-waarde rapporteert. Dit komt niet door de controles in de nieuwere code als onderdeel van een reeks verbeteringen voor betere beveiligingsondersteuning.
Oudere clusters die lid zijn geworden van Active Directory zonder deze waarde in te stellen, kunnen ook gevoelig zijn voor dit probleem. Dit komt omdat er geen waarde is ingesteld, tenzij er opnieuw verbinding wordt gemaakt met Active Directory.
Resolution
Tijdelijke oplossing:
Wijzig het kenmerk in een andere waarde dan een lege waarde. Een veilige optie is om de standaardwaarde van 31 of 24 te kiezen, afhankelijk van de beveiligingsvereisten. Dit gebeurt via de gebruikersinterface of door Powershell.
Een lijst met waarden en welke versleutelingstypen ze ondersteunen, vindt u op de blog van de Microsoft-website. 
De volgende opdracht (met de juiste computeraccountnaam en geheel getal ingevoegd) kan worden gebruikt door een Active Directory-beheerder op een DC in plaats van de gebruikersinterface om een waarde aan het kenmerk toe te wijzen.
Set-ADComputer -Identity COMPUTERNAME$ -Add @{'msDS-SupportedEncryptionTypes'="<INTEGER>"}
In het onderstaande voorbeeld wordt de msDS-SupportedEncryptionTypes Attribuut aan de standaardwaarde 31 voor het clustermachine-account NINEFIVEOH$:
Set-ADComputer -Identity NINEFIVEOH$ -Add @{'msDS-SupportedEncryptionTypes'="31"}
Zodra de wijzigingen zijn toegepast, moeten ze worden gerepliceerd naar alle domeincontrollers in de Active Directory-omgeving. Een verificatievernieuwing of gerichte LSASS-herstart op het cluster kan nodig zijn om de voorwaarde daarna te wissen.
Dell Engineering heeft codeverbeteringen gepubliceerd in OneFS 9.5.0.3 die dit probleem oplossen. Beheerders kunnen nog steeds zien dat IOCA-upgradecontroles mislukken als ze geen waarde hebben ingesteld vóór de upgrade. Als een beheerder de clusterbevoegdheden in AD heeft beperkt om kenmerken te wijzigen, MOET hij of zij het kenmerk handmatig bijwerken voordat er upgradeactiviteiten plaatsvinden. Als het niet lukt om het kenmerk bij te werken voorafgaand aan de upgrade wanneer het cluster niet over voldoende rechten beschikt om dit te doen, resulteert dit in niet-beschikbaarheid van data.
Opmerking: Voor OneFS 9.5 en hoger is het kenmerk
msDS-SupportedEncryptionTypeste installeren. Beheerders met versies van Windows Server die dit kenmerk niet hebben of ondersteunen, moeten hun domeincontrollers upgraden. Er is geen tijdelijke oplossing voor deze vereiste. Als er geen domeincontrollers aanwezig zijn op ondersteunde versies van Windows Server voorafgaand aan de OneFS-upgrade, kunnen data niet beschikbaar zijn.
Additional Information
Hier zijn enkele aanbevolen bronnen met betrekking tot dit onderwerp die mogelijk interessant zijn:
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000212387
Article Type: Solution
Last Modified: 25 Aug 2025
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.