PowerScale: OneFS: Klanten kunnen niet verifiëren of verbinding maken met knooppunten wanneer het AD-domein "Offline" weergeeft

Summary: Een offline Active Directory Provider is van invloed op elke client die deze gebruikt voor authenticatie, ongeacht het protocol. Hieronder vindt u stappen voor probleemoplossing om authenticatie naar clusterknooppunten op te lossen wanneer AD offline wordt weergegeven. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Clients kunnen niet verifiëren bij sommige of alle knooppunten in het cluster, waardoor onregelmatige of totale niet-beschikbaarheid van data (DU) ontstaat. Toegang via welk protocol dan ook wordt beïnvloed als de gebruiker afhankelijk is van een offline AD-provider, hoewel de meest voorkomende die we zien SMB is. Er zijn veel omstandigheden die mogelijk tot dit scenario kunnen leiden, clusterbreed of knooppuntspecifiek. SMB-clients kunnen geen verbinding maken met knooppunten in het cluster wanneer de Local Security Authority Subsystem Service (LSASS)Deze hyperlink leidt u naar een website buiten Dell Technologies. de verbinding met de domeincontroller verliest.

Wanneer de LSASS de verbinding met de domeincontroller verliest, verschijnen er fouten zoals de volgende in het bestand /var/log/lsassd.log :

2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online

 

Als de status van Active Directory wordt beoordeeld met isi-authenticatie, kan er ook een vergelijkbare uitvoer worden weergegeven:

testcluster-1# isi auth status
ID                                           Active Server      Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System                    -                  active
lsa-file-provider:System                     -                  active
-----------------------------------------------------------------------
Total: 3
 
 
 
Hieronder vindt u enkele voorbeelden van veelvoorkomende situaties die leiden tot een offline AD-provider, met stappen voor het identificeren en oplossen.
 

Een ander cluster toegevoegd aan hetzelfde AD-domein met hetzelfde machineaccount als het bestaande cluster:
Als er onlangs een nieuw cluster aan hetzelfde domein is toegevoegd, controleer dan of het nieuwe cluster niet hetzelfde machineaccount gebruikt als het oorspronkelijke cluster. Voer de volgende opdracht uit op het nieuwe cluster (en met domein online) om de hostnaam en het machineaccount te verifiëren:
  
# isi auth ads view <domain>

(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$

 
Als het nieuwe cluster gebruikmaakt van het machineaccount van het oorspronkelijke cluster (beide met ISITEST en dezelfde hostnaam hebben), verlaat u het domein van het nieuwe cluster en voegt u zich opnieuw bij het domein van het oude cluster. Sluit u vervolgens weer aan bij het nieuwe cluster en zorg ervoor dat niet dezelfde computeraccountnaam is opgegeven. Als er problemen zijn, neemt u contact op met de ondersteuning.
 

Wachtwoord computeraccount/account verwijderd uit AD:
Als het cluster lid was van Active Directory, maar nu niets weergeeft in isi-auth-status (er wordt niets weergegeven voor lsa-activedirectory), controleert u of het machineaccount aan de kant van de actieve directory is verwijderd. Het cluster kan opnieuw aan het domein worden gekoppeld om een nieuw machineaccount in Active Directory te maken en de authenticatie te herstellen.
 

De DNS weigert de SRV-lookup. Als dit gebeurt, controleert u of DNS is geconfigureerd om query's van de relevante knooppunt-IP's te accepteren. 
dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com

; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV

;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59
 

 

Cause

De Local Security Authority Subsystem Service (LSASS)Deze hyperlink leidt u naar een website buiten Dell Technologies. kan de verbinding met de verbonden domeincontroller verliezen vanwege hardwareproblemen, connectiviteitsproblemen of door DNS-cachevergiftigingDeze hyperlink leidt u naar een website buiten Dell Technologies.. Dit kan ook gebeuren omdat er een knooppunt aan het cluster is toegevoegd en het knooppunt geen netwerkconnectiviteit heeft. Als de domeincontroller om welke reden dan ook niet beschikbaar is, kan een deel van de domeininformatie niet ingevuld blijven wanneer een knooppunt opnieuw wordt opgestart of LSASS opnieuw wordt gestart. Meestal blijft de domein-GUID voor het primaire domein onbevolkt. Dit heeft tot gevolg dat de verificatie niet volledig kan zijn voor gebruikers die verbinding maken met dat knooppunt.

Resolution

Tijdelijke oplossing 1 - Onderzoek problemen met hardwareconnectiviteit:

  • Zoek naar problemen met de hardwareconnectiviteit in het bestand /var/log/messages . Berichten in het logbestand geven aan of de netwerkpoort van het knooppunt de status "Up" heeft of niet. Bekijk het bestand /var/log/messages op andere knooppunten in het cluster om te bepalen of het netwerkverbindingsprobleem zich in het hele cluster voordoet.
  • Bekijk de systeem- en applicatiegebeurtenislogboeken op de domeincontroller. Deze logbestanden kunnen fouten bevatten over driver- of hardwareproblemen die verband houden met het verlies van netwerkconnectiviteit.


Tijdelijke oplossing 2 - Onderzoek DNS-cachevergiftiging:

Als het probleem met de netwerkverbinding niet hardwaregerelateerd is, moet u de servicerecords (SRV) voor de _mscds DNS-zone voor de Active Directory-domeinen inspecteren. Een pakkettracering van het DNS-verzoek van het cluster naar de DNS-server toont onjuiste of ontbrekende informatie. Als onjuiste informatie is geregistreerd in de SRV-records of als de domeincontrollers niet alle records in de _mscds DNS-zone hebben, melden de knooppunten in het cluster dat het domein offline is wanneer ze proberen contact op te nemen met de domeincontroller. Het bijwerken van de SRV-records met actuele informatie of het overstappen naar een andere DNS-server zou de vergiftiging met de DNS-cache moeten oplossen.

Voorbeeld 1

Deze pakkettracering toont de lijst met DNS-servers en SRV-records die zijn geretourneerd naar de knooppunten in het cluster. SRV-recordinformatie was niet beschikbaar voor dc2.domain.com.

Nee. Time Source Destination Protocol Length Info
5 16:40:19.061003 1.1.1.1 1.1.1.2 DNS 110 Standard query SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 Standard query response SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.1.2 DNS 87 Standard query A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Standard query response, No such name
Voorbeeld 2

In deze pakkettracering zoekt een knooppunt de SRV-record op voor _ldap._tcp.dc._msdcs.domain.com, maar er wordt geen informatie geretourneerd aan de client.

Nee. Time Source Destination Protocol Length Info
15 16:40:21.458636 1.1.1.1 1.1.1.2 DNS 100 Standard query SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1.1 DNS 100 Standard query response, No such name


Werk in deze situatie samen met uw netwerk- en Active Directory-team om ervoor te zorgen dat de DNS SRV-records nauwkeurig zijn en worden opgelost met de domeincontroller.

Tijdelijke oplossing 3 - LSASS vernieuwen:

  1. Open een SSH-verbinding met de node en log in met het "root"-account.
  2.  Controleer of de authenticatiedaemon niet is verbonden met AD, waarbij <nodeID> het knooppuntnummer is van het onlangs toegevoegde knooppunt:

    isi_for_array -n <nodeID> 'isi auth ads list'

    Als het knooppunt aan het domein is gekoppeld, wordt uitvoer weergegeven die vergelijkbaar is met het volgende:
     
    cluster-1: Name            Authentication Status DC Name Site
    cluster-1: --------------------------------------------------------------------
    cluster-1: LAB.EXAMPLE.COM Yes            online -       Default-First-Site-Name
    cluster-1: --------------------------------------------------------------------
    cluster-1: Total: 1
     
  3.  Controleer of de domein-GUID niet is ingevuld. Als lsass de configuratie niet correct ophaalt, wordt er geen Domain GUID-waarde ingevuld:

    isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Uitvoer die lijkt op het onderstaande wordt weergegeven:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID:
     
  4. Voer de volgende opdracht uit op het nieuw toegevoegde knooppunt:

    isi_for_array -n < node_range> /usr/alike/bin/lwsm refresh lsass
     
  5. Controleer of het nieuwe knooppunt meldt dat het is verbonden met een AD-provider.

    isi_for_array -n < node_range> 'isi auth ads list -v'
     
  6.  Zorg ervoor dat de GUID-waarde wordt weergegeven:

    isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Uitvoer die lijkt op het onderstaande wordt weergegeven:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
     
  7. Controleer op de Windows-client of de gebruiker zich kan verifiëren bij het cluster door een schijf toe te wijzen en het IP-adres van het nieuw toegevoegde knooppunt op te geven.

Tijdelijke oplossing 4 - Start LSASS opnieuw:

1. Open een SSH-verbinding met het onlangs toegevoegde knooppunt en log in met het "root"-account.
2. Maak een lijst van beschikbare domeincontrollers, waarbij <domain_name> de volledig gekwalificeerde domeinnaam (FQDN) is van het domein waar het cluster deel van uitmaakt:

isi auth ads trusts controllers list --provider=<domain_name> -v

3. Geforceerd verbinding maken met een domeincontroller, waarbij <domain_name> de FQDN is van het domein waaraan het cluster is toegevoegd en <dc_name> de FQDN van de domeincontroller is:

isi auth ads modify <domain_name> --domain-controller <dc_name> --v

4. AD-status vernieuwen:

isi_classic auth ads status --refresh --all

De status moet veranderen in online, zoals hieronder wordt weergegeven:
 

Active Directory Services Status:
Mode:                unprovisioned
Status:              online
Primary Domain:      LAB.EXAMPLE.COM
NetBios Domain:      LAB
Domain Controller:   dc1.lab.example.com
Hostname:            cluster.lab.example.com
Machine Account:     CLUSTER$
 

5. Als de status nog steeds als offline wordt weergegeven, start u de authenticatiedaemon opnieuw op (houd er rekening mee dat dit de authenticatie van de node maximaal een minuut onderbreekt.): 

Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'

6. Herhaal stap 4.
7. Controleer op de Windows-client of de gebruiker zich kan verifiëren bij het cluster door een schijf toe te wijzen en daarbij het IP-adres op te geven van het knooppunt waarop LSASS opnieuw is gestart.

Additional Information

Opmerking voor probleemoplossing bij problemen met domeinconnectiviteit:
Als u het domein verlaat en opnieuw koppelt, controleert u of de Active Directory-provider wordt weergegeven in de lijst met verificatieproviders voor de relevante zone nadat u opnieuw verbinding hebt gemaakt.

Voor dit example.com domein moet het opnieuw worden toegevoegd omdat het is verwijderd uit de sectie Verificatieproviders:

isi zone zones list -v:

                       Name: accesszonedev1
                       Path: /ifs/accesszone1
                   Groupnet: groupnet0
              Map Untrusted: -
             Auth Providers:  lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
               NetBIOS Name: -
         User Mapping Rules:
       Home Directory Umask: 0077
         Skeleton Directory: /usr/share/skel
         Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
                    Zone ID: 2


De WebUI is misschien wel de gemakkelijkste manier om het weer toe te voegen en ervoor te zorgen dat het in de gewenste volgorde wordt doorzocht. Raadpleeg de beheerhandleiding die van toepassing is op basis van uw versie van OneFS. PowerScale OneFS infohubs

Affected Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000055836
Article Type: Solution
Last Modified: 16 Oct 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.