Isilon:FQDNを介した認証が失敗し、エラー「KRB5KRB_AP_ERR_MODIFIED」

Summary: Isilon共有のFQDNにアクセスしようとする際の問題。IP経由で同じものにアクセスできます。FQDN を使用すると Kerberos 認証は失敗しますが、IP アドレスを使用すると NTLM 認証は成功します。「Kerberosデータベースにサーバーが見つかりません」

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

FQDNを介した認証が失敗し、次のエラー メッセージが表示される lsassd.log:
 

cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)


このメッセージは、次のことを示しています。Isilonは、Isilonが提供する必要があるサービスの1つを要求しているクライアントを認識できません。これにより、クライアントはIsilonが認識して暗号解除できる有効なチケットを持たないため、認証がKerberosにフェールオーバーされます。

Isilon [10.17.0.154]がセッション セットアップ リクエストのためにクライアント[10.106.12.162]に「KRB5KRB_AP_ERR_MODIFIEDパケットを送り返している場合は、ネットワーク トレースを介して同じメッセージを解釈できます。


「KRB5KRB_AP_ERR_MODIFIED」エラー  

Cause

これにはいくつかの理由が考えられますが、最も一般的なものを以下に示します。

  • フォレスト内に同じSPNを持つアカウントがあります。KDCからKRB_S_PRINCIPAL_UNKNOWNのエラーが返されることもありますが、サービス(この場合はIsilon)が暗号を解除できないため、KRB5KRB_AP_ERR_MODIFIEDを取得するKerberosチケットが返される場合があります。
  • サービス プリンシパル名が間違ったActive Directoryアカウント(コンピューターまたはユーザー)にあります。これもSPNが重複している場合です。
  • サービスを実行しているActive Directoryアカウントがパスワードを更新/変更し、Active Directoryレプリケーションの遅延またはActive Directoryレプリケーションの問題が原因で問題が発生しています。


ここでクライアントはFQDN「mixed.isilon.com".

次に、この試行のネットワーク トレースを見てみましょう。


ネットワーク トレース (network trace)


1.「mixed.isilon.com」に対する適切な名前解決と、IP アドレス 10.17.0.156 (フレーム 5042 & 5049)

2 の DNS サーバーの応答が返されます。次に、マシンはドメイン コントローラーから TGT を取得します (AS-REQAS-REP を参照) (フレーム 5082 & 5093)

3。次に、マシンは「mixed.isilon.com」(フレーム5101および5104)のサービスチケットを要求して取得します。以下に示すように、マシンは「mixed.isilon.com」のKerberosチケットを要求していました


CNameはクライアント名を表し、SNameはサービス名

アウトプット 


4を表します。その後、マシンはIsilonに戻り、ドメイン コントローラーから取得したKerberosチケット(フレーム5107および5111)を使用して認証を試みます。認証中に、IsilonはKRB5KRB_AP_ERR_MODIFIED(フレーム5111)で応答します。


手順3で確認できた場合、クライアントはレルム「ISILON.COM」からKerberosチケットを取得していますが、このシナリオではクラスターは信頼されたドメインに「CORP.COM」に結合されています。これは、ISILON.COM に登録されているSPNが重複していることを意味し クラスターは 認証に CORP.COM を使用するため、Isilonはクライアントによって提示されたチケットを暗号解除できません。これにより、認証が失敗します。

重複SPN:

SPNが ISILON.COMCORP.COM にそれぞれリストされている例 
 

/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

Resolution

信頼できるドメインと、Isilonが参加しているドメインと信頼されるドメイン上の重複SPNを確認します。

- 信頼できるドメインを確認するには、次の手順を実行します。

# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>

- ドメインに存在する SPN を一覧表示するには、次のようにします。
 

# isi auth ads spn list --provider-name=<Domain name>


重複するSPNが存在し、プライマリー ドメインのみが認証に使用されている場合は、次のKB OneFSに従ってSPNを削除します。SMBクライアントのクラスターへの認証を妨げているActive Directoryで重複するサービス プリンシパル名(SPN)を見つける方法

Additional Information

お役立ちリンク: Kerberos 接続のサービス・プリンシパル名の登録


 

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.