Isilon:基于 FQDN 的身份验证失败,错误“KRB5KRB_AP_ERR_MODIFIED”
Summary: 尝试访问 Isilon 共享 FQDN 时出现问题。能够通过 IP 访问相同的内容。使用 FQDN 时,Kerberos 身份验证失败,但在使用 IP 地址时,NTLM 身份验证成功。“在 Kerberos 数据库中找不到服务器”
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
基于 FQDN 的身份验证失败,并在以下位置显示错误消息: lsassd.log:
cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)
此消息表明;Isilon 无法识别请求 Isilon 必须提供的其中一项服务的客户端。这将导致身份验证故障切换 Kerberos,因为客户端不会是 Isilon 可以识别和解密的有效票证。
当您看到 Isilon [10.17.0.154] 向客户端 [10.106.12.162] 发送回会话建立请求的“KRB5KRB_AP_ERR_MODIFIED”数据包时,可以通过网络跟踪解释相同的消息:
Cause
发生这种情况的原因有很多,但最常见的是下面列出的:
- 林中有一个具有相同 SPN 的帐户。有时,KDC 会返回错误 KRB_S_PRINCIPAL_UNKNOWN,但在某些情况下,它会导致服务 [在本例中是 Isilon] 无法解密的 Kerberos 票证,因而获得KRB5KRB_AP_ERR_MODIFIED。
- 服务主体名称位于错误的 Active Directory 帐户(计算机或用户)上。这又是重复 SPN 的情况。
- 运行该服务的 Active Directory 帐户已更新/更改其密码,并且由于 Active Directory 复制延迟或 Active Directory 复制问题而导致您遇到此问题。
在这里,客户端尝试使用 FQDN 访问 Isilon 共享”mixed.isilon.com".
现在我们来看看这次尝试的网络轨迹。
1.我们看到“mixed.isilon.com”的正确名称解析和 DNS 服务器响应返回 IP 地址 10.17.0.156(帧 5042 和 5049)
2。然后,机器从域控制器获取 TGT(请参阅 AS-REQ 和 AS-REP)(第 5082 和 5093 帧)
3。然后,机器请求并获取“mixed.isilon.com”(帧 5101 和 5104)的服务票证。如下图所示,计算机请求的 Kerberos 票证为“mixed.isilon.com”
CName 代表客户端名称,SName 代表服务名称
4。 然后,计算机返回到 Isilon,并尝试使用刚从域控制器获取的 Kerberos 票证(帧 5107 和 5111)进行身份验证。在身份验证期间,Isilon 使用KRB5KRB_AP_ERR_MODIFIED进行响应(第 5111 帧)。
如果在步骤 3 中看到,客户端从领域“ISILON.COM”获取 Kerberos 票证,而在此方案中群集已加入其受信任域,为“CORP.COM”。这意味着在 ISILON.COM 中注册了重复的 SPN,并且 Isilon 无法解密客户端提供的票证,因为群集使用 CORP.COM 进行身份验证;这会导致身份验证失败。
重复的 SPN:
ISILON.COM 和 CORP.COM 中分别列出的 SPN 的示例
/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6
/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6
Resolution
检查 Isilon 加入的域和受信任域上是否存在受信任域和重复 SPN:
- 要检查受信任域,请执行以下作:
# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>
- 列出域中存在的 SPN:
# isi auth ads spn list --provider-name=<Domain name>
如果存在重复的 SPN,并且仅使用主域进行身份验证,请按照 KB OneFS 删除 SPN:如何在 Active Directory 中查找重复的服务主体名称 (SPN),从而阻止 SMB 客户端向群集进行身份验证。
Additional Information
有用的链接:注册 Kerberos 连接的服务主体名称
Affected Products
IsilonProducts
IsilonArticle Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.