PowerScale: OneFS: Ověřovací služby mohou selhat, pokud je hlavní název služby (SPN) nesprávný nebo chybí

Summary: Ověřovací služby mohou selhat, pokud je hlavní název služby (SPN) nesprávný nebo chybí v účtu počítače clusteru.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms




 

Problém

Pokud je cluster připojen k doméně a správce se pokusí o okamžité opětovné připojení dříve, než služba AD replikuje účet z počátečního připojení, může to způsobit problémy. Hlavní název služby (SPN) účtu počítače clusteru může být nesprávně nastavený. I když je tato událost neobvyklá, způsobuje selhání ověřování.

 

Příznaky

Po úspěšném připojení clusteru k doméně nemůže cluster ověřovat uživatele a do souboru /var/log/lsassd.log se zaprotokolují následující chybové zprávy:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

 

Cause

Příčina

Příčina 1:

Hlavní názvy služeb (SPN) musí být jedinečné v doménové struktuře služby Active Directory. Pokud dojde ke konfliktu replikace v případě, že jsou vytvořeny dva účty počítačů na dvou různých řadičích domény, může služba AD přejmenovat hlavní název služby (SPN) pro účet počítače clusteru. Při přístupu k účtu počítače pomocí přejmenovaného hlavního názvu služby (SPN) může dojít k selhání ověřování.

Příčina 2:

Druhým důvodem těchto chyb je, že cluster má jinou zónu DNS než doména, ke které se připojuje. To může způsobit, že pro účet počítače clusterů v doméně Active Directory bude zaregistrován nesprávný účet SPN. Chcete-li tuto příčinu zkontrolovat, spusťte příkaz "isi network" a porovnejte seznam DNS Search List s plně kvalifikovaným názvem domény domény, ke které se pokoušíte připojit.

Resolution

Zástupná řešení

Zástupné řešení pro příčinu 1:

Obraťte se na správce služby Active Directory a požádejte ho, aby odebral všechny účty počítačů vytvořené připojením clusteru k doméně. Replikujte tyto změny do ostatních řadičů domény v doméně a poté cluster znovu připojte k doméně.

Zástupné řešení pro příčinu 2:

Pokud se neshodují, aktualizujte seznam hledání DNS tak, aby odpovídal plně kvalifikovanému názvu domény pro doménu Active Directory, odstraňte dříve vytvořený účet počítače a znovu se připojte k doméně.

Affected Products

Isilon
Article Properties
Article Number: 000109320
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.