Isilon: Godkjenning over FQDN mislykkes, feil "KRB5KRB_AP_ERR_MODIFIED"

Summary: Problemer med tilgang til FQDN for Isilon-aksjer. Kunne få tilgang til det samme over IP. Kerberos-godkjenning mislykkes når du bruker FQDN, men NTLM-godkjenning lykkes når IP-adressen brukes. "Finner ikke serveren i Kerberos-databasen" ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Godkjenning over FQDN mislykkes med følgende feilmelding i lsassd.log:
 

cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)


Denne meldingen indikerer at; Isilon er ikke i stand til å gjenkjenne kunden som ber om en av tjenestene som Isilon har å tilby. Dette vil føre til at godkjenning mislykkes over Kerberos fordi klienten ikke vil en gyldig billett som Isilon kan gjenkjenne og dekryptere. 

Den samme meldingen kan tolkes over nettverksspor når du ser Isilon [10.17.0.154] sende ut "KRB5KRB_AP_ERR_MODIFIED"-pakken tilbake til klienten [10.106.12.162] for en forespørsel om øktoppsett:


Feilmeldingen «KRB5KRB_AP_ERR_MODIFIED»  

Cause

Dette kan skje av flere grunner, men de vanligste er oppført nedenfor:

  • Det er en konto med samme SPN i skogen. Noen ganger vil KDC gi en feil tilbake på KRB_S_PRINCIPAL_UNKNOWN, men det er tilfeller der det vil gi en Kerberos-billett at tjenesten [I vårt tilfelle er det Isilon] ikke kan dekryptere og dermed få en KRB5KRB_AP_ERR_MODIFIED.
  • Tjenestekontohavernavnet er på feil Active Directory-konto (datamaskin eller bruker). Dette er igjen et tilfelle av duplisert SPN.
  • Active Directory-kontoen som kjører tjenesten har oppdatert/endret passordet, og du opplever problemet på grunn av et problem med Active Directory-replikeringsventetid eller Active Directory-replikering.


Her prøver klienten å få tilgang til en Isilon-deling ved hjelp av FQDN "mixed.isilon.com".

La oss nå se på nettverkssporet av dette forsøket.


Nettverkssporing 


1. Vi ser riktig navneoppløsning for "mixed.isilon.com" og DNS-serversvaret tilbake med IP-adressen 10.17.0.156 (rammer 5042 og 5049)

2. Maskinen får deretter en TGT fra domenekontrolleren (se AS-REQ og AS-REP) (ramme 5082 og 5093)

3. Maskinen ber deretter om og får en servicebillett for "mixed.isilon.com" (ramme 5101 og 5104). Som du kan se nedenfor, ba maskinen om en Kerberos-billett på "mixed.isilon.com"


CName står for klientnavn og SName står for Servicenavnytelse




4.  Maskinen går deretter tilbake til Isilon og forsøker å godkjenne ved hjelp av Kerberos-billetten som den akkurat fikk fra domenekontrolleren (ramme 5107 og 5111). Under godkjenningen svarer Isilon tilbake med KRB5KRB_AP_ERR_MODIFIED (ramme 5111).


Hvis du ser fra trinn 3, klienten får Kerberos-billetten fra realm "ISILON.COM" mens klyngen er koblet til sitt klarerte domene i dette scenariet til "CORP.COM". Dette betyr at det er registrert en duplikat SPN i ISILON.COM, og Isilon kan ikke dekryptere billetten som presenteres av klienten, siden klyngen bruker CORP.COM til å autentisere. Dette fører til at godkjenningen mislykkes.

Eksempel på tilstedeværelsen av dupliserte SPN:

SPN-er oppført i henholdsvis ISILON.COM og CORP.COM 
 

/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

Resolution

Se etter klarerte domener og dupliserte SPN-er på domenet som Isilon er koblet til, og det klarerte domenet:

– Slik kontrollerer du klarerte domener:

# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>

- Slik fører du opp SPN-ene som er til stede i et domene:
 

# isi auth ads spn list --provider-name=<Domain name>


Hvis det finnes dupliserte SPN-er, og bare det primære domenet brukes til godkjenning, sletter du SPN-en etter KB OneFS: Slik finner du dupliserte hovednavn for tjeneste (SPN-er) i Active Directory som hindrer SMB-klienter i å godkjenne til klynge.

Additional Information

Nyttig lenke: Registrere et tjenestehovednavn for Kerberos-tilkoblinger


 

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.