PowerScale: OneFS: AD etki alanı "Çevrimdışı" olarak göründüğünde istemciler kimlik doğrulaması yapamıyor veya düğümlere bağlanamıyor

Summary: Çevrimdışı bir Active Directory Sağlayıcısı, protokolden bağımsız olarak kimlik doğrulaması için onu kullanan tüm istemcileri etkiler. AD çevrimdışı göründüğünde küme düğümlerinde kimlik doğrulamayı çözmeye yönelik sorun giderme adımları aşağıda verilmiştir. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



İstemciler kümedeki bazı veya tüm düğümlerde kimlik doğrulaması gerçekleştiremiyor ve bu da kesintili veya tamamen Veri Noksanlığına (DU) neden oluyor. Kullanıcı çevrimdışı bir AD sağlayıcısına bağımlıysa herhangi bir protokol üzerinden erişim etkilenir, ancak en yaygın olanı SMB'dir. Küme genelinde veya düğüme özgü olarak bu senaryoya yol açabilecek birçok durum vardır. Yerel Güvenlik Yetkilisi Alt Sistemi Hizmeti (LSASS),Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir. etki alanı denetleyicisi ile bağlantısını kaybettiğinde SMB istemcileri kümedeki düğümlere bağlanamaz.

LSASS, etki alanı denetleyicisiyle bağlantısını yitirdiğinde /var/log/lsassd.log dosyasında aşağıdakine benzer hatalar görüntülenir:

2012-06-11T12:58:42-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-11T13:03:57-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-12T21:05:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online
2012-06-13T16:35:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now offline
2012-06-13T16:40:03-07:00 <30.6> cluster1-13(id13) lsassd[66251]: 0x28f016a0:Domain 'domain.com' is now online

 

Alternatif olarak Active Directory durumu isi auth status ile gözden geçirilirse benzer bir çıktı gösterilebilir:

testcluster-1# isi auth status
ID                                           Active Server      Status
-----------------------------------------------------------------------
lsa-activedirectory-provider:TESTDOMAIN.COM dc1.testdomain.com offline
lsa-local-provider:System                    -                  active
lsa-file-provider:System                     -                  active
-----------------------------------------------------------------------
Total: 3
 
 
 
Aşağıda, AD sağlayıcısının çevrimdışı olmasına yol açan yaygın durumlara ilişkin bazı örnekler ve bunların tanımlanması ve çözülmesine ilişkin adımlar verilmiştir.
 

Mevcut kümeyle aynı makine hesabı kullanılarak aynı AD etki alanına farklı küme eklendi:
Yakın zamanda aynı etki alanına yeni bir küme katılmışsa yeni kümenin orijinal kümeyle aynı makine hesabını kullanmadığını doğrulayın. Ana bilgisayar adını ve makine hesabını doğrulamak için yeni kümede (ve etki alanının çevrimiçi olduğunu göstererek) aşağıdaki komutu çalıştırın:
  
# isi auth ads view <domain>

(Relevant output)
Hostname: isitest.example.lab.com
<snipped>
Machine Account: ISITEST$

 
Yeni küme, orijinal kümenin makine hesabını kullanıyorsa (hem ISITEST kullanıyor hem de aynı Ana Bilgisayar adına sahipse) etki alanını yeni kümeden terk edin ve etki alanına eski kümeden yeniden katılın. Ardından, aynı makine hesabı adının belirtilmediğinden emin olarak yeni kümeye yeniden katılın. Sorun varsa Destek ile iletişime geçin.
 

AD'den silinen makine hesabı parolası/hesabı:
Küme Active Directory'ye katıldıysa ancak şimdi isi auth durumunda hiçbir şey göstermiyorsa ( lsa-activedirectory için hiçbir şey gösterilmediyse) makine hesabının Active Directory tarafında silinip silinmediğini kontrol edin. Active Directory'de yeni bir makine hesabı oluşturmak ve kimlik doğrulamayı geri yüklemek için küme etki alanına yeniden katılabilir.
 

DNS, SRV aramasını reddediyor. Bu durumda, DNS'nin ilgili düğüm IP'lerinden gelen sorguları kabul edecek şekilde yapılandırıldığını doğrulayın. 
dig @<DNS IP> SRV _ldap._tcp.dc._msdcs.domain.com

; <<>> DiG 9.10.0-P2 <<>> @<DNS IP> SRV _ldap._tcp.dc._msdcs.<domain>
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52396
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.<domain>. IN SRV

;; Query time: 0 msec
;; SERVER: <IP>#53(<IP>)
;; WHEN: <date>
;; MSG SIZE rcvd: 59
 

 

Cause

Yerel Güvenlik Yetkilisi Alt Sistemi Hizmeti (LSASS),Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir. donanım sorunları, bağlantı sorunları veya DNS önbellek zehirlenmesiBu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir. nedeniyle bağlı etki alanı denetleyicisiyle bağlantısını kaybedebilir. Alternatif olarak bu, kümeye bir düğüm eklenmesi ve düğümün ağ bağlantısının olmaması nedeniyle de olabilir. Etki alanı denetleyicisi herhangi bir nedenle kullanılamıyorsa, bir düğüm yeniden başlatıldığında veya LSASS yeniden başlatıldığında, etki alanı bilgilerinin bir kısmı doldurulmamış halde kalabilir. Genellikle, birincil etki alanının Etki Alanı GUID'si doldurulmamış halde kalır. Bu, o düğüme bağlanan kullanıcılar için kimlik doğrulamasının tamamlanamamasına neden olur.

Resolution

Geçici Çözüm 1 - Donanım bağlantısı sorunlarını araştırın:

  • Donanım bağlantısı sorunlarını /var/log/messages dosyasında arayın. Günlük dosyasındaki mesajlar, düğüm ağ bağlantı noktasının "Çalışıyor" durumda olup olmadığını gösterir. Ağ bağlantısı sorununun küme genelinde oluşup oluşmadığını belirlemek için kümedeki diğer düğümlerdeki /var/log/messages dosyasına bakın.
  • Etki alanı denetleyicisindeki sistem ve uygulama olay günlüklerine bakın. Bu günlük dosyaları, ağ bağlantısının kesilmesiyle ilgili sürücü veya donanım sorunları hakkında hatalar içerebilir.


Geçici Çözüm 2 - DNS önbellek zehirlenmesini araştırın:

Ağ bağlantısı sorunu donanımla ilgili değilse Active Directory etki alanları için _mscds DNS bölgesinin hizmet (SRV) kayıtlarını incelemeniz gerekir. Kümeden DNS sunucusuna giden DNS isteği paket izlemesi yanlış veya eksik bilgiler gösteriyor. SRV kayıtlarında yanlış bilgiler kayıtlıysa veya etki alanı denetleyicileri _mscds DNS bölgesindeki tüm kayıtlara sahip değilse , kümedeki düğümler etki alanı denetleyicisine başvurmaya çalıştıklarında etki alanının çevrimdışı olduğunu bildirir. SRV kayıtlarını güncel bilgilerle güncelleştirmek veya farklı bir DNS sunucusuna geçmek, DNS önbellek zehirlenmesini çözecektir.

Örnek 1

Bu paket izleme, kümedeki düğümlere döndürülen DNS sunucularının ve SRV kayıtlarının listesini gösterir. SRV kayıt bilgileri dc2.domain.com için mevcut değildi.

Hayır. Time Source Destination Protocol Length Info
5 16:40:19.061003 1.1.1.1 1.1.1.2 DNS 110 Standard query SRV _ldap._tcp.dc._msdcs.domain.com
6 16:40:19.062626 1.1.1.2 1.1.1.1 DNS 1270 Standard query response SRV 0 100 389 dc1.domain.com SRV 0 100 389 dc2.domain.com SRV 0 100 389 SRV 0 100 389 dc3.domain.com
7 16:40:19.063146 1.1.1.1 1.1.1.2 DNS 87 Standard query A dc2.domain.com
8 16:40:20.797403 1.1.1.2 1.1.1.1 DNS 146 Standard query response, No such name
Örnek 2

Bu paket izlemede, bir düğüm _ldap._tcp.dc._msdcs.domain.com için SRV kaydını arar, ancak istemciye hiçbir bilgi döndürülmez.

Hayır. Time Source Destination Protocol Length Info
15 16:40:21.458636 1.1.1.1 1.1.1.2 DNS 100 Standard query SRV _ldap._tcp.dc._msdcs.domain.com
16 16:40:21.783630 1.1.1.2 1.1.1.1 DNS 100 Standard query response, No such name


Bu durumda, DNS SRV kayıtlarının doğru olduğundan ve etki alanı denetleyicisine çözümlendiğinden emin olmak için lütfen ağ ve Active Directory ekibinizle birlikte çalışın.

Geçici Çözüm 3 - LSASS'yi yenileme:

  1. Düğüme bir SSH bağlantısı açın ve "kök" hesabını kullanarak oturum açın.
  2.  Kimlik doğrulama daemon'ının AD'ye bağlı olmadığını doğrulayın; nodeID<>, son eklenen düğümün düğüm numarasıdır:

    isi_for_array -n <nodeID> 'isi auth ads list'

    Düğüm etki alanına katılırsa aşağıdakine benzer bir çıktı görüntülenir:
     
    cluster-1: Name            Authentication Status DC Name Site
    cluster-1: --------------------------------------------------------------------
    cluster-1: LAB.EXAMPLE.COM Yes            online -       Default-First-Site-Name
    cluster-1: --------------------------------------------------------------------
    cluster-1: Total: 1
     
  3.  Etki Alanı GUID'sinin doldurulmamış olduğunu doğrulayın. lsass yapılandırmasını doğru şekilde almazsa bir Etki Alanı GUID değeri doldurmaz:

    isi_for_array -n <nodeID> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Aşağıdakine benzer bir çıktı görünür:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID:
     
  4. Yeni eklenen düğümde aşağıdaki komutu çalıştırın:

    isi_for_array -n < node_range> /usr/likewise/bin/lwsm refresh lsass
     
  5. Yeni düğümün bir AD sağlayıcısına bağlı olduğunu bildirdiğini doğrulayın.

    isi_for_array -n < node_range> 'isi auth ads list -v'
     
  6.  GUID değerinin görüntülendiğinden emin olun:

    isi_for_array -n <node_range> /usr/likewise/bin/lw-lsa get-status | egrep -A 12 "Domain:" | egrep "Domain (SID|GUID)"

    Aşağıdakine benzer bir çıktı görünür:
     
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain SID: S-1-5-21-584721463-3180705917-972194821
    cluster-1:   Domain GUID: 61b2a8c6-af25-1941-8d57-59073b7ceb19
     
  7. Windows istemcisinde, kullanıcının yeni eklenen düğümün IP adresini belirterek bir sürücüyü eşleyerek kümede kimlik doğrulaması gerçekleştirebildiğini doğrulayın.

Geçici Çözüm 4 - LSASS'yi yeniden başlatın:

1. Son eklenen düğüme bir SSH bağlantısı açın ve "kök" hesabını kullanarak oturum açın.
2. Kullanılabilir etki alanı denetleyicilerini listeleyin. Burada< domain_name>, kümenin katıldığı etki alanının tam nitelikli etki alanı adıdır (FQDN):

isi auth ads trusts controllers list --provider=<domain_name> -v

3. Bir etki alanı denetleyicisine zorla bağlanın. Burada< domain_name>, kümenin katıldığı etki alanının FQDN'sidir ve <dc_name>, etki alanı denetleyicisinin FQDN'sidir:

isi auth ads modify <domain_name> --domain-controller <dc_name> --v

4. AD durumunu yenileme:

isi_classic auth ads status --refresh --all

Durum, aşağıda gösterildiği gibi çevrimiçi olarak değişmelidir:
 

Active Directory Services Status:
Mode:                unprovisioned
Status:              online
Primary Domain:      LAB.EXAMPLE.COM
NetBios Domain:      LAB
Domain Controller:   dc1.lab.example.com
Hostname:            cluster.lab.example.com
Machine Account:     CLUSTER$
 

5. Durum hala çevrimdışı olarak görünüyorsa kimlik doğrulama daemon'unu yeniden başlatın (Bu işlemin, düğümde kimlik doğrulamayı bir dakikaya kadar kesintiye uğratacağını unutmayın): 

Single node:
pkill -f 'lw-container lsass'
Multiple nodes (nodes 1-3 here as an example):
isi_for_array -n1-3 'pkill -f "lw-container\ lsass"'

6. 4. adımı tekrarlayın.
7. Windows istemcisinde, kullanıcının, LSASS'nin yeniden başlatıldığı düğümün IP adresini belirterek bir sürücüyü eşleyerek kümede kimlik doğrulaması gerçekleştirebildiğini doğrulayın.

Additional Information

Etki alanı bağlantısı sorunları için sorun giderme notu:
Etki alanından ayrılıp yeniden katılırsanız yeniden katıldıktan sonra Active Directory sağlayıcısının ilgili bölge için kimlik doğrulama sağlayıcıları listesinde göründüğünü doğrulayın.

Bu example.com etki alanı, Auth Providers bölümünden kaldırıldıktan sonra yeniden eklenmelidir:

isi zone zones list -v:

                       Name: accesszonedev1
                       Path: /ifs/accesszone1
                   Groupnet: groupnet0
              Map Untrusted: -
             Auth Providers:  lsa-ldap-provider:Primary, lsa-file-provider:System, lsa-local-provider:accesszone1 **No Active Directory Provider** <<<<<<<<<<<<<
               NetBIOS Name: -
         User Mapping Rules:
       Home Directory Umask: 0077
         Skeleton Directory: /usr/share/skel
         Cache Entry Expiry: 4H
Negative Cache Entry Expiry: 1m
                    Zone ID: 2


WebUI, onu geri eklemenin ve istenen sırada arandığından emin olmanın en kolay yolu olabilir. Lütfen OneFS sürümünüze bağlı olarak geçerli yönetim rehberine bakın. PowerScale OneFS Bilgi Merkezleri

Affected Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000055836
Article Type: Solution
Last Modified: 16 Oct 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.