PowerScale：OneFS：サービス プリンシパル名(SPN)が正しくないか欠落している場合、認証サービスが失敗する可能性があります

課題

クラスターがドメインに参加していて、ADが最初の参加からアカウントをレプリケートする前に管理者がすぐに再参加しようとすると、問題が発生する可能性があります。クラスターのマシン アカウントのサービス プリンシパル名 (SPN) が正しく設定されていない可能性があります。このイベントはまれですが、認証エラーが発生します。

現象

クラスターをドメインに正常に参加させた後、クラスターはユーザーを認証できず、次のエラー メッセージが/var/log/lsassd.logに記録されます。

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

原因

原因1：

SPNは、Active Directoryフォレスト全体で一意である必要があります。2 つの異なるドメイン コントローラーに 2 つのマシン アカウントが作成され、レプリケーションの競合が発生した場合、AD はクラスターのマシン アカウントの SPN の名前を変更する可能性があります。名前が変更された SPN を使用してマシン アカウントにアクセスすると、認証エラーが発生する可能性があります。

原因2:

これらのエラーが発生する2つ目の理由は、クラスターに参加しているドメインとは異なるDNSゾーンがある場合です。これにより、Active Directory ドメイン内のクラスター コンピューター アカウントに間違った SPN アカウントが登録される可能性があります。この原因を確認するには、「isi network」コマンドを実行し、DNS検索リストに参加しようとしているドメインの完全修飾ドメイン名と比較します。

対処法

原因1の回避策:

Active Directory管理者に連絡して、クラスターをドメインに参加させることによって作成されたすべてのマシン アカウントを削除してもらいます。これらの変更をドメイン内の他のドメイン コントローラーにレプリケートしてから、クラスターをドメインに再度参加させます。

原因2の回避策:

これらが一致しない場合は、Active DirectoryドメインのFQDNと一致するようにDNS検索リストを更新し、以前に作成したコンピューター アカウントを削除してドメインに再度参加します。