PowerScale: OneFS: Så här hittar du dubbletter av SPN (Service Principal Names) i Active Directory som hindrar SMB-klienter från att autentisera till klustret

Identifiera dubbletter av SPN i Active Directory-domäner:

Duplicerade SPN-namn kan orsaka inloggningsfel för tjänstkontoinloggningar och klientinloggningar vid autentisering till klustret. 
 

Ett duplicerat SPN kan göra att en klient försöker autentisera till fel system eller har fel Kerberos-nyckel.
Referens: http://technet.microsoft.com/en-us/library/cc772897%28v=ws.10%29.aspx

SMB-klienter som autentiseras med SmartConnect-zonnamn eller alias kanske inte kan autentisera till klusterresurserna.

I domänkontrollantloggar eller "/var/log/lsassd.log" kan följande meddelanden tyda på att det finns duplicerade SPN.
 

KDC_ERR_PRINCIPAL_NOT_UNIQUE  - Multiple entries in database

KRB_AP_ERR_MODIFIED   Message stream modified errors

Event ID 11 and/or Event ID 4 on Domain controllers can indicate duplicate SPNs.

Felaktig konfiguration av SPN i Active Directory-miljön kan resultera i dubbletter.

Procedur

Det finns två alternativ som kan användas för att hitta dubbletter av SPN:er. Setspn är ett kommandoradsverktyg och LDP är ett grafiskt gränssnitt som endast är tillgängligt på Windows Server 2003 och senare. 

Använda setspn
 
Setspn som finns i Windows 7, 8, Server 2008 och 2012. För Windows Server 2003 kan den hämtas via följande länk: http://support.microsoft.com/kb/970536
Från kommandoradsgränssnittet i Windows använder du "setspn /?" för ytterligare alternativ för kommandot.
Dubbletter hittas med hjälp av "setspn -x", detta söker igenom hela skogen och kan ta tid att bearbeta i stora miljöer.
Kommandot "setspn q" frågar efter SPN-namn och kan vara bättre för större miljöer.

Exempel 1:
SPN "HOST/chomper.test.isilon.com" är registrerat på både klustret med namnet "isicluster1" och även på en Windows-server med namnet "win2k1".
 

C:>setspn  -x
Checking domain DC=test,DC=isilon,DC=com
Processing Entry 0
HOST/chomper.test.isilon.com is registered on these accounts
                CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
Found 1 group of duplicate SPNs.

  
Exempel 2:
I större miljöer frågar du med hjälp av "setspn q <SPN">eller använder LDP enligt nedan.
 

C:>setspn  -q HOST/chomper.test.isilon.com
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/isicluster1
                HOST/isicluster1.test.isilon.com
CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
                HOST/win2k1
                HOST/win2k1.test.isilon.com
 
Existing SPN found!

Om det finns ett SPN någon annanstans i miljön med en annan tjänstklassidentifierare, till exempel CIFS, hittas den inte med "setspn -x". Du kan söka efter den genom att köra en sökning med jokertecken:

C:\>setspn -q */isilon
Checking domain DC=test,DC=Isilon,DC=com
CN=isicluster2,CN=Computers,DC=test,DC=isilon,DC=com
                cifs/chomper.test.isilon.com

Använda LDP: http://support.microsoft.com/kb/321044

1. Klicka på Start, klicka på Kör, skriv LDP och klicka sedan på OK.
2. Klicka på Anslutning och sedan på Anslut.
3. Lämna standardinställningarna och klicka sedan på OK.
   Obs! Om du inte får det förväntade resultatet kan du prova en annan sökning med hjälp av Global Catalog-porten (3268) i stället för standardinställningen (389).
4. Klicka på Anslutning och sedan på Bind.
5. Lämna standardinställningarna och klicka sedan på OK.
6. Klicka på Visa och sedan på Träd.
7. I dialogrutan Trädvy skriver du DC=test,DC=isilon,DC=com i rutan BaseDN
8. Klicka på Bläddra och sedan på Sök.
9. I dialogrutan Sök skriver du DC=test,DC=isilon,DC=com i rutan BaseDN .
10. I dialogrutan Sök skriver du (serviceprincipalname=HOST/<sczonename>) i rutan Filter
11. I dialogrutan Attribut skriver du servicePrincipalName.
12. Under Omfång klickar du på Underträd.
13. Klicka på Kör och stäng sedan dialogrutan Sök .
14. Dubbletter av SPN har två poster listade som pekar på två olika Dn

***Searching 
ldap_search_s(Id,  DC=test,DC=isilon,DC=com ,2,
    (serviceprincipalname=HOST/chomper.test.isilon.com) ,attrList, 0 &msg)
    Getting 2 entries:
Dn: CN=ISICLUSTER1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/isicluster1; HOST/isicluster1.test.isilon.com;
      HOST/chomper.test.isilon.com
Dn: CN=WIN2K1,CN=Computers,DC=test,DC=isilon,DC=com
    servicePrincipalName (3): HOST/win2k1; HOST/win2k1.test.isilon.com;
      HOST/chomper.test.isilon.com

 
Resolution:
Dubblettposten för win2k1 för "HOST/chomper.test.isilon.com" bör tas bort från Active Directory-domänen.

Dubblettposten kan tas bort av en användare med domänadministratör, företagsadministratör eller angivna domänadministrationsrättigheter på Active Directory-domänen.
Kommandot för att ta bort en dubblettpost är "setspn -D <spn><accountname>".

C:>setspn  D HOST/chomper.test.isilon.com win2k1
Unregistering ServicePrincipalnames for CN=win2k1,CN=Computers,DC=test,DC=isilon,DC=com
                HOST/chomper.test.isilon.com
Updated object

Ovanstående utdata bekräftar att "HOST/chomper.test.isilon.com" har avregistrerats från datorn win2k1. Den är nu bara registrerad på det ISICLUSTER1 datorkontot.

Relaterade artiklar:

"Autentiseringstjänster kan misslyckas om tjänstens huvudnamn (SPN) är felaktigt eller saknas,"89649
"OneFS: Hur man skapar SPN-konton för att tillåta Kerberos-autentisering med SmartConnect DNS-poster,"16528
"Så här visar du en SPN-lista i en Microsoft Active Directory-miljö,"16589
"SQL-klienten kan inte "Massinfoga" filer från ett Isilon-kluster till en SQL-databas, 89574
"Så här aktiverar du enkel inloggning (SSO) i Mac OS X till Active Directory-aktiverade CIFS-resurser i OneFS 5.5.x - 6.5.x, "16675
"Isilon OneFS 7.1.0.0: SMB2-klienter kan inte ansluta till klustret med Kerberos-autentisering"174024
"OneFS: Tjänstens huvudnamn för Kerberos-autentisering", 187999