Isilon: Ověřování přes plně kvalifikovaný název domény se nezdaří, chyba "KRB5KRB_AP_ERR_MODIFIED"
Summary: Problémy s pokusem o přístup k plně kvalifikovanému názvu domény sdílených složek Isilon. Možnost přístupu ke stejnému přes IP. Ověřování protokolem Kerberos selže při použití plně kvalifikovaného názvu domény, ale ověření NTLM proběhne úspěšně při použití IP adresy. "Server not found in Kerberos database" ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Ověřování přes plně kvalifikovaný název domény se nezdaří a zobrazí se následující chybová zpráva v lsassd.log:
cluster-2: 2019-06-11T08:15:02-07:00 <30.4> cluster-2 lsass[4680]: [LwKrb5InitializeUserLoginCredentialsS4U /b/mnt/src/isilon/fsp/lwadvapi/threaded/lwkrb5.c:1394] KRB5 Error code: -1765328377 (Message: Server not found in Kerberos database)
Tato zpráva označuje, že; Společnost Isilon nerozpozná klienta, který požaduje některou ze služeb, které Isilon nabízí. To způsobí, že ověřování bude převzato protokolem Kerberos při selhání, protože klient neobdrží platný tiket, který by řešení Isilon dokázalo rozpoznat a dešifrovat.
Stejnou zprávu lze interpretovat přes trasování sítě, když vidíte, že řešení Isilon [10.17.0.154] odesílá paket "KRB5KRB_AP_ERR_MODIFIED" zpět klientovi [10.106.12.162] pro požadavek na nastavení relace:
Cause
K tomu může dojít z několika důvodů, ale nejčastější jsou uvedeny níže:
- V doménové struktuře existuje účet se stejným hlavním názvem služby (SPN). Někdy vám KDC vrátí chybu KRB_S_PRINCIPAL_UNKNOWN, ale existují případy, kdy vydá lístek Kerberos, že služba [v našem případě je to Isilon] nemůže dešifrovat, a proto získá KRB5KRB_AP_ERR_MODIFIED.
- Hlavní název služby je na nesprávném účtu služby Active Directory (počítač nebo uživatel). Opět se jedná o duplicitní hlavní název služby (SPN).
- Účet služby Active Directory, na kterém je služba spuštěna, aktualizoval/změnil své heslo a k problému dochází kvůli problému s latencí replikace služby Active Directory nebo replikací služby Active Directory.
Zde se klient pokouší o přístup ke sdílené složce Isilon pomocí názvu FQDN "mixed.isilon.com".
Nyní se podívejme na trasování sítě tohoto pokusu.
1. Vidíme správný překlad názvů pro "mixed.isilon.com" a odpověď serveru DNS zpět s IP adresou 10.17.0.156 (rámce 5042 a 5049)
2. Počítač pak získá TGT z řadiče domény (viz AS-REQ a AS-REP) (rámce 5082 a 5093)
3. Stroj si poté vyžádá a obdrží servisní lístek pro "mixed.isilon.com" (snímky 5101 a 5104). Jak můžete vidět níže, počítač žádal o lístek Kerberos "mixed.isilon.com"
CName je název klienta a SName je název služby
4. Zařízení se poté vrátí do řešení Isilon a pokusí se ověřit pomocí lístku Kerberos, který právě získalo z řadiče domény (rámce 5107 a 5111). Během ověřování systém Isilon odpoví KRB5KRB_AP_ERR_MODIFIED (rámec 5111).
Pokud se zobrazí krok 3, klient získává lístek protokolu Kerberos z sféry "ISILON.COM", když je cluster připojený ke své důvěryhodné doméně, v tomto scénáři do "CORP.COM". To znamená, že v ISILON.COM je zaregistrován duplicitní hlavní název služby (SPN) a Isilon nemůže dešifrovat lístek prezentovaný klientem, protože cluster používá k ověření CORP.COM . To způsobí selhání ověřování.
Příklad přítomnosti duplicitních hlavních čísel služby (SPN)
uvedených v ISILON.COM a CORP.COM v uvedeném pořadí.
/usr/bin/isi --timeout=15 auth ads spn list ISILON.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6
/usr/bin/isi --timeout=15 auth ads spn list CORP.COM
SPN
--------------------------------------
nfs/mixed.isilon.com
HOST/mixed.isilon.com <===========================
nfs/synciq.isilon.com
HOST/synciq.isilon.com
nfs/cifs.isilon.com
HOST/cifs.isilon.com
--------------------------------------
Total: 6
Resolution
Zkontrolujte důvěryhodné domény a duplicitní hlavní názvy služby v doméně, ke které je systém Isilon připojen, a v důvěryhodné doméně:
Kontrola důvěryhodných domén:
# isi auth ads trusts list --provider-name=<Domain name cluster is joined to>
- Zobrazení seznamu hlavních názvů (SPN) přítomných v doméně:
# isi auth ads spn list --provider-name=<Domain name>
Pokud jsou k dispozici duplicitní hlavní názvy služeb (SPN) a k ověřování se používá pouze primární doména, odstraňte hlavní název služby (SPN) podle článku znalostní databáze OneFS: Jak najít duplicitní hlavní názvy služeb (SPN) ve službě Active Directory, které brání klientům SMB v ověřování v clusteru.
Additional Information
Užitečný odkaz: Registrace hlavního názvu služby pro připojení Kerberos
Affected Products
IsilonProducts
IsilonArticle Properties
Article Number: 000055610
Article Type: Solution
Last Modified: 22 May 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.