Isilon: Todentaminen toimialueen täydellisen toimialueen kautta epäonnistuu, virhe KRB5KRB_AP_ERR_MODIFIED

Summary: Ongelmia yritettäessä käyttää Isilon-jakojen täydellistä toimialuenimeä. Pystyy käyttämään samaa IP: n kautta. Kerberos-todennus epäonnistuu toimialuenimeä käytettäessä, mutta NTLM-todennus onnistuu, kun käytetään IP-osoitetta. "Palvelinta ei löydy Kerberos-tietokannasta" ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Todentaminen toimialuenimen kautta epäonnistuu ja näyttöön tulee seuraava virhesanoma lsassd.log:
 

cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)


Tämä viesti osoittaa, että; Isilon ei tunnista asiakasta, joka pyytää jotain Isilonin tarjoamista palveluista. Tämä aiheuttaa todennuksen epäonnistumisen Kerberoksen kautta, koska asiakas ei anna kelvollista lippua, jonka Isilon tunnistaa ja jonka salaus puretaan. 

Sama viesti voidaan tulkita verkon jäljityksen kautta, kun näet Isilonin [10.17.0.154] lähettävän "KRB5KRB_AP_ERR_MODIFIED"-paketin takaisin asiakkaalle [10.106.12.162] istunnon määrityspyyntöä varten:


KRB5KRB_AP_ERR_MODIFIED-virhe  

Cause

Tämä voi tapahtua useista syistä, mutta yleisimmät on lueteltu alla:

  • Toimialuepuuryhmässä on tili, jolla on sama palvelun päänimi. Joskus KDC antaa virheen takaisin KRB_S_PRINCIPAL_UNKNOWN, mutta on tapauksia, joissa se antaa Kerberos-lipun, että palvelu [meidän tapauksessamme se on Isilon] ei voi purkaa salausta ja saada siten KRB5KRB_AP_ERR_MODIFIED.
  • Palvelun päänimi on väärällä Active Directory -tilillä (tietokone tai käyttäjä). Kyse on jälleen palvelun päänimen kaksoiskappaleesta.
  • Palvelua suorittava Active Directory -tili on päivittänyt/vaihtanut salasanansa, ja ongelma ilmenee Active Directoryn replikointiviiveen tai Active Directoryn replikointiongelman vuoksi.


Tässä asiakas yrittää käyttää Isilon-jakoa FQDN: n avulla "mixed.isilon.com".

Katsotaanpa nyt tämän yrityksen verkkojäljitystä.


Verkon jäljitys 


1. Näemme oikean nimen resoluution "mixed.isilon.com": lle ja DNS-palvelimen vastauksen takaisin IP-osoitteella 10.17.0.156 (kehykset 5042 > 5049)

2. Tämän jälkeen laite saa TGT:n toimialueen ohjauskoneelta (katso AS-REQ ja AS-REP) (kehykset 5082 ja 5093)

3. Sitten kone pyytää ja saa palvelulipun "mixed.isilon.com" (kehykset 5101 > 5104). Kuten alla näet, kone pyysi Kerberos-lippua "mixed.isilon.com"


CName tarkoittaa asiakkaan nimeä ja SName palvelun nimeätuotos




4.  Sitten kone palaa Isiloniin ja yrittää todentaa käyttämällä toimialueen ohjauskoneesta juuri saamaansa Kerberos-lippua (kehykset 5107 ja 5111). Todennuksen aikana Isilon vastaa KRB5KRB_AP_ERR_MODIFIED (kehys 5111).


Jos näet vaiheessa 3, asiakas saa Kerberos-lipun alueelta ISILON.COM, kun klusteri on liitetty luotettuun toimialueeseensa tässä tilanteessa nimellä CORP.COM. Tämä tarkoittaa, että ISILON.COM on rekisteröity palvelun päänimen kaksoiskappale, eikä Isilon voi purkaa asiakkaan esittämän lipun salausta, koska klusteri käyttää CORP.COM todentamiseen. Tämä aiheuttaa todennuksen epäonnistumisen.

Esimerkki ISILON.COM ja CORP.COM lueteltujen SPN:SPN:

ien kaksoiskappaleista 
 

/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

Resolution

Tarkista luotetut verkkotunnukset ja kaksoiskappaleet toimialueella, johon Isilon on liitetty, ja luotetulla toimialueella:

Voit tarkistaa luotetut toimialueet seuraavasti:

# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>

- Toimialueella läsnä olevien palvelun päänimien luettelointi:
 

# isi auth ads spn list --provider-name=<Domain name>


Jos palvelun päänimistä on olemassa kaksoiskappaleita ja todennukseen käytetään vain ensisijaista toimialuetta, poista palvelun päänimi KB OneFS:n jälkeen: Palvelun päänimien (SPN) kaksoiskappaleiden etsiminen Active Directorysta, mikä estää SMB-asiakkaita todentautumasta klusteriin.

Additional Information

Hyödyllinen linkki: Palvelun päänimen rekisteröiminen Kerberos-yhteyksille


 

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.