PowerScale: OneFS: Authentifizierungsservices können fehlschlagen, wenn der Serviceprinzipalname (SPN) falsch ist oder fehlt

Problem

Wenn ein Cluster einer Domain hinzugefügt wird und der Administrator einen sofortigen erneuten Beitritt versucht, bevor AD das Konto vom ersten Beitritt repliziert hat, kann dies zu Problemen führen. Der Serviceprinzipalname (Service Principal Name, SPN) des Computerkontos des Clusters ist möglicherweise falsch festgelegt. Obwohl dieses Ereignis selten vorkommt, führt es zu Authentifizierungsfehlern.

Problem

Nach dem erfolgreichen Beitritt des Clusters zu einer Domain kann das Cluster keine Nutzer authentifizieren und die folgenden Fehlermeldungen werden in /var/log/lsassd.log protokolliert:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

Ursache

Ursache 1:

SPNs müssen in einer Active Directory-Gesamtstruktur eindeutig sein. Wenn ein Replikationskonflikt auftritt, bei dem zwei Maschinenkonten auf zwei verschiedenen Domänencontrollern erstellt werden, kann AD den SPN für das Computerkonto des Clusters umbenennen. Beim Zugriff auf das Computerkonto mit dem umbenannten SPN können Authentifizierungsfehler auftreten.

Ursache 2:

Der zweite Grund für das Auftreten dieser Fehler ist, dass der Cluster eine andere DNS-Zone hat als die Domain, der er hinzugefügt wird. Dies kann dazu führen, dass das falsche SPN-Konto für das Computerkonto des Clusters in der Active Directory-Domain registriert wird. Führen Sie zur Überprüfung dieser Ursache den Befehl "isi network" aus und vergleichen Sie die DNS-Suchliste mit dem vollständig qualifizierten Domainnamen der Domain, der Sie beitreten möchten.

Problemumgehungen

Problemumgehung für Ursache 1:

Wenden Sie sich an einen Active Directory-Administrator und bitten Sie ihn, alle Maschinenkonten zu entfernen, die durch den Beitritt des Clusters zur Domäne erstellt wurden. Replizieren Sie diese Änderungen auf den anderen Domain Controllern in der Domain und fügen Sie dann das Cluster wieder der Domain hinzu.

Problemumgehung für Ursache 2:

Wenn diese nicht übereinstimmen, aktualisieren Sie die DNS-Suchliste so, dass sie mit dem FQDN für die Active Directory-Domäne übereinstimmt, löschen Sie das zuvor erstellte Computerkonto und treten Sie der Domäne erneut bei.