Isilon: L'autenticazione su FQDN non riesce, errore "KRB5KRB_AP_ERR_MODIFIED"

Summary: Problemi nel tentativo di accedere all FQDN delle condivisioni Isilon. In grado di accedere allo stesso tramite IP. L'autenticazione Kerberos ha esito negativo quando si utilizza l FQDN, ma l'autenticazione NTLM ha esito positivo quando si utilizza l'indirizzo IP. "Server non trovato nel database Kerberos" ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

L'autenticazione su FQDN ha esito negativo con il seguente messaggio di errore in lsassd.log:
 

cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)


Questo messaggio indica che; Isilon non è in grado di riconoscere il client che richiede uno dei servizi offerti da Isilon. In questo modo l'autenticazione effettuerà il failover di Kerberos perché il client non disporrà di un ticket valido che Isilon può riconoscere e decrittografare. 

Lo stesso messaggio può essere interpretato sulle tracce di rete, quando viene visualizzato Isilon [10.17.0.154] che invia il pacchetto "KRB5KRB_AP_ERR_MODIFIED" al client [10.106.12.162] per una richiesta di configurazione della sessione:


Errore  

Cause

Ciò può accadere per diversi motivi, ma i più comuni sono elencati di seguito:

  • All'interno della foresta è presente un account con lo stesso SPN. A volte KDC restituisce un errore di KRB_S_PRINCIPAL_UNKNOWN, ma in alcuni casi restituisce un ticket Kerberos che il servizio [nel nostro caso è Isilon] non è in grado di decrittografare e quindi ottenere un KRB5KRB_AP_ERR_MODIFIED.
  • Il nome dell'entità servizio si trova nell'account Active Directory errato (computer o utente). Anche in questo caso si tratta di un SPN duplicato.
  • L'account Active Directory che esegue il servizio ha aggiornato/modificato la password e si verifica il problema a causa di un problema di latenza di replica di Active Directory o di replica di Active Directory.


In questo caso il client sta tentando di accedere a una condivisione Isilon utilizzando l FQDN "mixed.isilon.com".

Esaminiamo ora la traccia di rete di questo tentativo.


Traccia di rete 


1. Vediamo la risoluzione corretta dei nomi, per "mixed.isilon.com" e la risposta del server DNS con l'indirizzo IP di 10.17.0.156 (frame 5042 e 5049)

2. La macchina ottiene quindi un TGT dal controller di dominio (vedere AS-REQ e AS-REP) (frame 5082 e 5093)

3. La macchina quindi richiede e ottiene un Service Ticket per "mixed.isilon.com" (frame 5101 e 5104). Come si può vedere di seguito, la macchina richiedeva un ticket Kerberos di "mixed.isilon.com"


CName sta per Client name e SName sta per Service nameprodotto




4.  La macchina torna quindi a Isilon e tenta di autenticarsi utilizzando il ticket Kerberos appena ottenuto dal controller di dominio (frame 5107 e 5111). Durante l'autenticazione, Isilon risponde con KRB5KRB_AP_ERR_MODIFIED (frame 5111).


Nel passaggio 3, il client riceve il ticket Kerberos dall'area di autenticazione "ISILON.COM" mentre il cluster viene aggiunto al relativo dominio attendibile, in questo scenario a "CORP.COM". Ciò significa che esiste un SPN duplicato registrato in ISILON.COM e Isilon non è in grado di decrittografare il ticket presentato dal client poiché il cluster utilizza CORP.COM per l'autenticazione; In questo modo l'autenticazione non riesce.

Esempio di presenza di SPN duplicati:

SPN elencati rispettivamente in ISILON.COM e CORP.COM 
 

/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

Resolution

Verificare la presenza di domini affidabili e SPN duplicati sul dominio a cui Isilon è aggiunto e sul dominio affidabile:

- Per controllare i domini affidabili:

# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>

- Per elencare gli SPN presenti in un dominio:
 

# isi auth ads spn list --provider-name=<Domain name>


Se sono presenti SPN duplicati e solo il dominio primario viene utilizzato per l'autenticazione, eliminare l'SPN seguendo le istruzioni OneFS della KB: Come trovare nomi dell'entità servizio (SPN) duplicati in Active Directory impedendo ai client SMB di eseguire l'autenticazione al cluster.

Additional Information

Link utile: Registrazione di un nome dell'entità servizio per le connessioni Kerberos


 

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.