Isilon: Uwierzytelnianie za pośrednictwem nazwy FQDN kończy się niepowodzeniem, błąd "KRB5KRB_AP_ERR_MODIFIED"

Summary: Problemy z próbą uzyskania dostępu do FQDN udziałów Isilon. Możliwość uzyskania dostępu do tego samego przez IP. Uwierzytelnianie Kerberos kończy się niepowodzeniem w przypadku korzystania z nazwy FQDN, ale uwierzytelnianie NTLM kończy się pomyślnie, gdy używany jest adres IP. "Nie znaleziono serwera w bazie danych Kerberos" ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Uwierzytelnianie za pośrednictwem nazwy FQDN kończy się niepowodzeniem z następującym komunikatem o błędzie w lsassd.log:
 

cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)


Ten komunikat wskazuje, że; Isilon nie jest w stanie rozpoznać klienta żądającego jednej z usług oferowanych przez Isilon. Spowoduje to przełączenie uwierzytelniania w tryb failover Kerberos, ponieważ klient nie otrzyma ważnego biletu, który Isilon może rozpoznać i odszyfrować. 

Ten sam komunikat może zostać zinterpretowany za pomocą śladów sieci, gdy widać, że Isilon [10.17.0.154] wysyła pakiet "KRB5KRB_AP_ERR_MODIFIED" z powrotem do klienta [10.106.12.162] dla żądania konfiguracji sesji:


Błąd  

Cause

Może się to zdarzyć z kilku powodów, ale najczęstsze z nich wymieniono poniżej:

  • W lesie znajduje się konto z tą samą nazwą SPN. Czasami centrum dystrybucji kluczy zwraca błąd KRB_S_PRINCIPAL_UNKNOWN, ale zdarzają się sytuacje, w których wysyła zgłoszenie Kerberos, którego usługa [w naszym przypadku jest to Isilon] nie może odszyfrować, a tym samym uzyskać KRB5KRB_AP_ERR_MODIFIED.
  • Główna nazwa usługi znajduje się na nieprawidłowym koncie usługi Active Directory (komputer lub użytkownik). Jest to ponownie przypadek zduplikowanej nazwy SPN.
  • Konto Active Directory, na którym jest uruchomiona usługa, zaktualizowało/zmieniło swoje hasło i występuje problem z opóźnieniem replikacji usługi Active Directory lub problemem z replikacją usługi Active Directory.


Tutaj klient próbuje uzyskać dostęp do udziału Isilon przy użyciu nazwy FQDN "mixed.isilon.com".

Przyjrzyjmy się teraz śladowi sieciowemu tej próby.


Śledzenie sieci 


1. Widzimy prawidłowe rozpoznawanie nazw dla "mixed.isilon.com" i odpowiedź serwera DNS z adresem IP 10.17.0.156 (ramki 5042 i 5049)

2. Następnie maszyna pobiera bilet TGT z kontrolera domeny (patrz AS-REQ i AS-REP) (ramki 5082 i 5093)

3. Następnie urządzenie zażąda i otrzyma zgłoszenie serwisowe dla "mixed.isilon.com" (ramki 5101 i 5104). Jak widać poniżej, urządzenie prosiło o zgłoszenie Kerberos "mixed.isilon.com"


CName oznacza nazwę klienta, a SName oznacza nazwęwyjście




usługi 4.  Następnie komputer wraca do Isilon i próbuje uwierzytelnić się przy użyciu biletu Kerberos otrzymanego właśnie z kontrolera domeny (ramki 5107 i 5111). Podczas uwierzytelniania Isilon odpowiada KRB5KRB_AP_ERR_MODIFIED (klatka 5111).


Jeśli krok 3 pokazuje, że klient pobiera bilet Kerberos z obszaru "ISILON.COM", podczas gdy klaster jest przyłączony do zaufanej domeny w tym scenariuszu do "CORP.COM". Oznacza to, że w systemie ISILON.COM zarejestrowano zduplikowaną nazwę SPN, a Isilon nie może odszyfrować biletu przedstawionego przez klienta, ponieważ klaster używa CORP.COM do uwierzytelniania. Powoduje to niepowodzenie uwierzytelniania.

Przykład obecności zduplikowanych nazw SPN:

SPN wymienionych odpowiednio w ISILON.COM i CORP.COM 
 

/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6

Resolution

Sprawdź zaufane domeny i zduplikowane nazwy SPN w domenie, do której przyłączona jest Isilon, oraz w zaufanej domenie:

— Aby sprawdzić zaufane domeny:

# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>

- Aby wyświetlić listę nazw SPN obecnych w domenie:
 

# isi auth ads spn list --provider-name=<Domain name>


Jeśli istnieją zduplikowane nazwy SPN, a do uwierzytelniania jest używana tylko domena podstawowa, usuń nazwę SPN zgodnie z artykułem bazy wiedzy OneFS: Jak znaleźć zduplikowane nazwy główne usługi (SPN) w usłudze Active Directory, uniemożliwiające klientom SMB uwierzytelnianie w klastrze.

Additional Information

Przydatny link: Rejestrowanie głównej nazwy usługi dla połączeń Kerberos


 

Affected Products

Isilon

Products

Isilon
Article Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.