PowerScale: OneFS: SPN(Service Principal Name)이 올바르지 않거나 누락된 경우 인증 서비스가 실패할 수 있음

문제

클러스터가 도메인에 가입되어 있고 AD가 초기 가입에서 계정을 복제하기 전에 관리자가 즉시 재가입을 시도하는 경우 문제가 발생할 수 있습니다. 클러스터 컴퓨터 계정의 SPN(서비스 사용자 이름)이 잘못 설정되었을 수 있습니다. 이 이벤트는 드물지만 인증 실패를 일으킵니다.

증상

클러스터를 도메인에 성공적으로 연결한 후 클러스터는 사용자를 인증할 수 없으며 다음 오류 메시지가 /var/log/lsassd.log에 기록됩니다.

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

원인

원인 1:

SPN은 Active Directory 포리스트에서 고유해야 합니다. 서로 다른 두 도메인 컨트롤러에서 두 개의 컴퓨터 계정을 만드는 복제 충돌이 발생하는 경우 AD는 클러스터의 컴퓨터 계정에 대한 SPN 이름을 바꿀 수 있습니다. 이름이 바뀐 SPN으로 컴퓨터 계정에 액세스할 때 인증 오류가 발생할 수 있습니다.

원인 2 :

이러한 오류가 발생하는 두 번째 이유는 클러스터에 가입 중인 도메인과 다른 DNS 영역이 있는 경우입니다. 이로 인해 Active Directory 도메인의 클러스터 컴퓨터 계정에 대해 잘못된 SPN 계정이 등록될 수 있습니다. 이 원인을 확인하려면 "isi network" 명령을 실행하고 DNS 검색 목록을 연결하려는 도메인의 정규화된 도메인 이름과 비교합니다.

해결 방법

원인 1에 대한 해결 방법:

Active Directory 관리자에게 문의하여 클러스터를 도메인에 연결하여 만든 모든 시스템 계정을 제거하도록 하십시오. 이러한 변경 내용을 도메인의 다른 도메인 컨트롤러에 복제한 다음 클러스터를 도메인에 다시 가입시킵니다.

원인 2에 대한 해결 방법:

일치하지 않는 경우 Active Directory 도메인의 FQDN과 일치하도록 DNS 검색 목록을 업데이트하고 이전에 만든 컴퓨터 계정을 삭제한 다음 도메인에 다시 가입합니다.