PowerScale: OneFS: Palvelun päänimien (SPN) kaksoiskappaleiden etsiminen Active Directorysta, mikä estää SMB-asiakkaita todentautumasta klusteriin

Summary: Palvelun päänimien kaksoiskappaleiden tunnistaminen Active Directoryssa, mikä voi aiheuttaa Kerberos-todennuksen epäonnistumisen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Active Directory -domainien palvelun päänimien kaksoiskappaleiden tunnistaminen:

Päällekkäiset palvelun päänimet voivat aiheuttaa kirjautumisvirheitä palvelutilille ja asiakasasiakkaille klusteriin todennettaessa. 
 

Palvelun päänimen kaksoiskappale voi saada asiakkaan yrittämään todennusta väärään järjestelmään tai saamaan väärän Kerberos-avaimen.
Viite: http://technet.microsoft.com/en-us/library/cc772897%28v=ws.10%29.aspx

SMB-asiakkaat, jotka todennetaan SmartConnect-vyöhykkeiden nimillä tai aliaksilla, eivät ehkä pysty todentamaan jaettuja klusteriresursseja.

Toimialueen ohjauskoneen lokeissa tai /var/log/lsassd.log-hakemistossa näkyvät seuraavat ilmoitukset voivat tarkoittaa, että palvelun päänimissä on kaksoiskappaleita.
 

KDC_ERR_PRINCIPAL_NOT_UNIQUE  - Multiple entries in database

KRB_AP_ERR_MODIFIED   Message stream modified errors

Event ID 11 and/or Event ID 4 on Domain controllers can indicate duplicate SPNs.

Cause

Palvelun päänimen virheellinen määritys Active Directory -ympäristössä voi aiheuttaa kaksoiskappaleita.

Resolution

Menettely

Voit etsiä palvelun päänimien kaksoiskappaleita kahdella tavalla. Setspn on komentoriviapuohjelma, ja LDP on graafinen käyttöliittymä, joka on käytettävissä vain Windows Server 2003:ssa ja uudemmissa. 

setspn:n
 
käyttäminenSetspn, joka on Windows 7, 8, Server 2008 ja 2012. Windows Server 2003:ssa sen voi hankkia seuraavasta linkistä: http://support.microsoft.com/kb/970536
Windowsin komentoriviliittymässä voit määrittää komennon lisäasetuksia komennolla setspn /? .
Kaksoiskappaleet löytyvät komennolla setspn -x, joka etsii koko metsän ja voi kestää jonkin aikaa suurissa ympäristöissä.
Komento setspn q tekee kyselyn palvelun päänimen mukaan, mikä saattaa sopia paremmin laajemmille ympäristöille.

Esimerkki 1:
Palvelun päänimi HOST/chomper.test.isilon.com on rekisteröity sekä klusteriin isicluster1 että windows-palvelimeen win2k1.
 

C:>setspn  -x
Checking domain DC=test,DC=isilon,DC=com
Processing Entry 0
HOST/chomper.test.isilon.com is registered on these accounts
                CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
Found 1 group of duplicate SPNs.


  
Esimerkki 2:
Suuremmissa ympäristöissä tee kysely komennolla "setspn q <SPN">tai käytä LDP:tä alla olevan kuvan mukaisesti.
 

C:>setspn  -q HOST/chomper.test.isilon.com
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/isicluster1
                HOST/isicluster1.test.isilon.com
CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/win2k1
                HOST/win2k1.test.isilon.com
 
Existing SPN found!

Jos muualla ympäristössä on palvelun päänimi, jolla on eri palveluluokan tunnus, kuten CIFS, sitä ei löydy komennolla setspn -x. Voit hakea sitä suorittamalla yleismerkkihaun:

C:\>setspn -q */isilon
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster2,CN=Computers,DC=test,DC=isilon,DC=com
                cifs/chomper.test.isilon.com



LDP:http://support.microsoft.com/kb/321044:n käyttäminen 

  1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita LDP ja valitse sitten OK.
  2. Valitse Yhteys ja valitse sitten Yhdistä.
  3. Määritä oletusasetukset ja valitse OK.
    Huomautus: Jos et saa odotettua tulosta, kokeile toista hakua käyttämällä yleistä luetteloporttia (3268) oletusasetuksen (389) sijaan.
  4. Valitse Yhteys ja valitse sitten Sido.
  5. Määritä oletusasetukset ja valitse OK.
  6. Valitse View ja valitse sitten Tree.
  7. Kirjoita Puunäkymä-valintaikkunanBaseDN-ruutuun DC=test,DC=isilon,DC=com
  8. Valitse Browse ja valitse sitten Search.
  9. Kirjoita Etsi-valintaikkunan BaseDN-ruutuun DC=test,DC=isilon,DC=com.
  10. Kirjoita Search-valintaikkunanFilter-ruutuun (serviceprincipalname=HOST/<sczonename>)
  11. Kirjoita Attribuutit-valintaikkunaan servicePrincipalName.
  12. Valitse Scope-kohdassaSubtree.
  13. Valitse Suorita ja sulje sitten Haku-valintaikkuna .
  14. Kaksoiskappaleissa on lueteltu kaksi merkintää, jotka viittaavat kahteen eri Dn:ään
***Searching 
ldap_search_s(Id,  DC=test,DC=isilon,DC=com ,2,
    (serviceprincipalname=HOST/chomper.test.isilon.com) ,attrList, 0 &msg)
    Getting 2 entries:
Dn: CN=ISICLUSTER1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/isicluster1; HOST/isicluster1.test.isilon.com;
      HOST/chomper.test.isilon.com
Dn: CN=WIN2K1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/win2k1; HOST/win2k1.test.isilon.com;
      HOST/chomper.test.isilon.com


 
Päätöslauselma:
Win2k1-merkinnän kaksoiskappale sanalle "HOST/chomper.test.isilon.com" on poistettava Active Directory -domainista.

Kaksoiskappaleen voi poistaa käyttäjä, jolla on toimialueen järjestelmänvalvojan tai yrityksen järjestelmänvalvojan oikeudet tai määritetyn toimialueen hallintaoikeudet Active Directory -domainiin.
Kaksoiskappaleen poistokomento on setspn -D <spn><accountname>.

 

 

C:>setspn  D HOST/chomper.test.isilon.com win2k1
Unregistering ServicePrincipalnames for CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
Updated object



Yllä oleva tulos vahvistaa, että "HOST/chomper.test.isilon.com" on poistettu tietokoneesta win2k1. Se on nyt rekisteröity vain ISICLUSTER1-konetilille.

Additional Information

Aiheeseen liittyvät artikkelit:

"Todennuspalvelut voivat epäonnistua, jos palvelun päänimi (SPN) on virheellinen tai puuttuu,"89649
"OneFS: Kuinka luoda SPN-tilejä Kerberos-todennuksen sallimiseksi SmartConnect DNS -merkintöjen avulla,"16528
"SPN-luettelon tarkasteleminen Microsoft Active Directory -ympäristössä,"16589
"SQL-asiakas ei voi joukkolisätä" tiedostoja Isilon-klusterista SQL-tietokantaan," 89574
"Mac OS X -kertakirjautumisen (SSO) ottaminen käyttöön Active Directorya tukevissa CIFS-jaetuissa resursseissa OneFS 5.5.x - 6.5.x:ssä, "16675
"Isilon OneFS 7.1.0.0: SMB2-asiakkaat eivät voi muodostaa yhteyttä klusteriin Kerberos-todennuksella,"174024
"OneFS: Palvelun päänimet Kerberos-todennusta varten", 187999

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000032723
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.