Isilon: Authentifizierung über FQDN schlägt fehl, Fehler "KRB5KRB_AP_ERR_MODIFIED"

Summary: Probleme beim Zugriff auf den FQDN der Isilon-Freigabe. Sie können über IP darauf zugreifen. Die Kerberos-Authentifizierung schlägt bei Verwendung des FQDN fehl, aber die NTLM-Authentifizierung ist erfolgreich, wenn die IP-Adresse verwendet wird. "Server in Kerberos-Datenbank nicht gefunden" ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Die Authentifizierung über FQDN schlägt mit der folgenden Fehlermeldung fehl in lsassd.log:
 

cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)


Diese Meldung weist auf Folgendes hin: Isilon ist nicht in der Lage, den Kunden zu erkennen, der einen der von Isilon angebotenen Services anfordert. Dies führt dazu, dass die Authentifizierung ein Failover über Kerberos durchführt, da der Client kein gültiges Ticket erhält, das Isilon erkennen und entschlüsseln kann. 

Dieselbe Meldung kann über Netzwerk-Traces interpretiert werden, wenn Sie sehen, dass Isilon [10.17.0.154] das Paket "KRB5KRB_AP_ERR_MODIFIED" an den Client [10.106.12.162] für eine Anfrage zur Sitzungseinrichtung zurücksendet:


Fehler  

Cause

Dies kann aus verschiedenen Gründen passieren, aber die häufigsten sind unten aufgeführt:

  • In der Gesamtstruktur ist ein Konto mit demselben SPN vorhanden. Manchmal gibt das KDC eine Fehlermeldung an KRB_S_PRINCIPAL_UNKNOWN zurück, aber es gibt auch Fälle, in denen es ein Kerberos-Ticket ausgibt, das der Service [in unserem Fall Isilon] nicht entschlüsseln kann und daher eine KRB5KRB_AP_ERR_MODIFIED erhält.
  • Der Dienstprinzipalname befindet sich im falschen Active Directory-Konto (Computer oder Nutzer). Auch hier handelt es sich um eine doppelte SPN.
  • Das Active Directory-Konto, auf dem der Dienst ausgeführt wird, hat sein Kennwort aktualisiert/geändert, und das Problem tritt aufgrund eines Active Directory-Replikationslatenz- oder Active Directory-Replikationsproblems auf.


Hier versucht der Client, mit dem FQDN "mixed.isilon.com".

Werfen wir nun einen Blick auf die Netzwerkablaufverfolgung dieses Versuchs.


Netzwerkablaufverfolgung 


1. Wir sehen eine korrekte Namensauflösung für "mixed.isilon.com" und die Antwort des DNS-Servers mit der IP-Adresse 10.17.0.156 (Frames 5042 und 5049)

2. Die Maschine erhält dann ein TGT vom Domänencontroller (siehe AS-REQ und AS-REP) (Frames 5082 und 5093)

3. Der Automat fordert dann ein Serviceticket für "mixed.isilon.com" (Rahmen 5101 & 5104) an und erhält es. Wie Sie unten sehen können, fragte der Computer nach einem Kerberos-Ticket von "mixed.isilon.com"


CName steht für Client Name und SName für Service NameAusgabe




4.  Der Computer kehrt dann zu Isilon zurück und versucht, sich mit dem Kerberos-Ticket zu authentifizieren, das er gerade vom Domain Controller (Frames 5107 und 5111) erhalten hat. Während der Authentifizierung antwortet Isilon mit KRB5KRB_AP_ERR_MODIFIED (Frame 5111).


Wenn Sie in Schritt 3 sehen, erhält der Client das Kerberos-Ticket vom Bereich "ISILON.COM", während der Cluster in diesem Szenario mit seiner vertrauenswürdigen Domäne auf "CORP.COM" eingebunden wird. Dies bedeutet, dass ein doppelter SPN in ISILON.COM registriert ist und Isilon das vom Client vorgelegte Ticket nicht entschlüsseln kann, da der Cluster CORP.COM zur Authentifizierung verwendet. Dies führt dazu, dass die Authentifizierung fehlschlägt.

Beispiel für das Vorhandensein doppelter SPN:

SPNs sind in ISILON.COM bzw. CORP.COM aufgeführt 
 

/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

Resolution

Suchen Sie in der Domain, mit der Isilon verbunden ist, und in der vertrauenswürdigen Domain nach vertrauenswürdigen Domains und doppelten SPNs:

So überprüfen Sie die vertrauenswürdigen Domains:

# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>

- So listen Sie die SPNs auf, die in einer Domäne vorhanden sind:
 

# isi auth ads spn list --provider-name=<Domain name>


Wenn doppelte SPNs vorhanden sind und nur die primäre Domain für die Authentifizierung verwendet wird, löschen Sie den SPN gemäß dem Wissensdatenbank-Artikel OneFS: So finden Sie doppelte Service Principal Names (SPNs) in Active Directory, die verhindern, dass sich SMB-Clients beim Cluster authentifizieren.

Additional Information

Nützlicher Link: Registrieren eines Serviceprinzipalnamens für Kerberos-Verbindungen


 

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.