PowerScale: OneFS: Verificatieservices kunnen mislukken als de naam van de service-principal (SPN) onjuist is of ontbreekt

Probleem

Als een cluster aan een domein wordt gekoppeld en de beheerder probeert onmiddellijk opnieuw deel te nemen voordat AD het account van de eerste verbinding heeft gerepliceerd, kan dit problemen veroorzaken. De Service Principal Name (SPN) van het machineaccount van het cluster is mogelijk onjuist ingesteld. Hoewel deze gebeurtenis ongebruikelijk is, veroorzaakt het authenticatiefouten.

Symptomen

Nadat het cluster is toegevoegd aan een domein, kan het cluster geen gebruikers verifiëren en worden de volgende foutmeldingen geregistreerd in /var/log/lsassd.log:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

Oorzaak

Oorzaak 1:

SPN's moeten uniek zijn in een Active Directory-forest. Als er een replicatieconflict optreedt waarbij twee machineaccounts worden gemaakt op twee verschillende domeincontrollers, kan AD de naam van de SPN wijzigen in het machineaccount van het cluster. Bij het openen van het machineaccount met de gewijzigde naam SPN kunnen er verificatiefouten optreden.

Oorzaak 2:

De tweede reden voor deze fouten is als het cluster een andere DNS-zone heeft dan het domein waaraan het wordt gekoppeld. Dit kan ertoe leiden dat het verkeerde SPN-account wordt geregistreerd voor het clustercomputeraccount in het Active Directory-domein. Om op deze oorzaak te controleren, voert u de opdracht "isi network" uit en vergelijkt u de DNS-zoeklijst met de volledig gekwalificeerde domeinnaam van het domein waarmee u verbinding probeert te maken.

Tijdelijke oplossingen

Tijdelijke oplossing voor oorzaak 1:

Neem contact op met een Active Directory-beheerder en laat hem alle computeraccounts verwijderen die zijn gemaakt door het cluster aan het domein toe te voegen. Repliceer deze wijzigingen naar de andere domeincontrollers in het domein en voeg vervolgens het cluster opnieuw toe aan het domein.

Tijdelijke oplossing voor oorzaak 2:

Als deze niet overeenkomen, werkt u de DNS-zoeklijst bij zodat deze overeenkomt met de FQDN voor het Active Directory-domein. Verwijder het eerder gemaakte computeraccount en sluit u opnieuw aan bij het domein.