PowerScale: OneFS: Godkendelsestjenester kan mislykkes, hvis SPN (Service Principal Name) er forkert eller mangler

Summary: Godkendelsestjenester kan mislykkes, hvis SPN (Service Principal Name) er forkert eller mangler på klyngemaskinkontoen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms




 

Problem

Hvis en klynge er knyttet til et domæne, og administratoren forsøger en øjeblikkelig gentilslutning, før AD har replikeret kontoen fra den oprindelige tilslutning, kan dette forårsage problemer. SPN (Service Principal Name) på klyngens computerkonto kan være angivet forkert. Selvom denne hændelse er ualmindelig, forårsager den godkendelsesfejl.

 

Symptomer

Når klyngen er sluttet til et domæne, kan klyngen ikke godkende brugere, og følgende fejlmeddelelser logføres i /var/log/lsassd.log:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

 

Cause

Årsag

Årsag 1:

SPN'er skal være entydige på tværs af en Active Directory-skov. Hvis der opstår en replikeringskonflikt, hvor der oprettes to maskinkonti på to forskellige domænecontrollere, kan AD omdøbe SPN for klyngens computerkonto. Når du åbner computerkontoen med det omdøbte SPN, kan der opstå godkendelsesfejl.

Årsag 2:

Den anden årsag til, at disse fejl opstår, er, hvis klyngen har en anden DNS-zone end det domæne, den er knyttet til. Dette kan medføre, at den forkerte SPN-konto registreres for klyngens computerkonto i Active Directory-domænet. For at kontrollere for denne årsag skal du køre kommandoen "isi network" og sammenligne DNS-søgelisten med det fuldt kvalificerede domænenavn på det domæne, du forsøger at oprette forbindelse til.

Resolution

Løsninger

Løsning til årsag 1:

Kontakt en Active Directory-administrator, og få vedkommende til at fjerne alle computerkonti, der blev oprettet ved at slutte klyngen til domænet. Repliker disse ændringer til de andre domænecontrollere i domænet, og slut derefter klyngen til domænet igen.

Løsning til årsag 2:

Hvis disse ikke stemmer overens, skal du opdatere DNS-søgelisten, så den svarer til FQDN for Active Directory-domænet, slette den tidligere oprettede computerkonto og slutte dig til domænet igen.

Affected Products

Isilon
Article Properties
Article Number: 000109320
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.