PowerScale: OneFS: Godkjenningstjenester kan mislykkes Hvis hovednavn for tjeneste (SPN) er feil eller mangler

Problem

Hvis en klynge er koblet til et domene og administratoren forsøker å bli med umiddelbart før AD har replikert kontoen fra den første koblingen, kan dette forårsake problemer. Det kan hende at tjenestekontohaveret (SPN) for klyngens maskinkonto er feil angitt. Selv om denne hendelsen er uvanlig, forårsaker den godkjenningsfeil.

Symptomer

Når klyngen er koblet til et domene, kan ikke klyngen godkjenne brukere, og følgende feilmeldinger logges på /var/log/lsassd.log:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

Årsak

Årsak 1:

SPN-er må være unike på tvers av en Active Directory-skog. Hvis det oppstår en replikeringskonflikt der to maskinkontoer opprettes på to forskjellige domenekontrollere, kan AD gi SPN-en nytt navn for klyngens maskinkonto. Når du får tilgang til maskinkontoen med SPN-navnet med det nye navnet, kan det oppstå godkjenningsfeil.

Årsak 2:

Den andre grunnen til at disse feilene oppstår, er hvis klyngen har en annen DNS-sone enn domenet den kobles til. Dette kan føre til at feil SPN-konto registreres for klynge-datamaskinkontoen i Active Directory-domenet. For å se etter denne årsaken, kjør kommandoen "isi network" og sammenlign DNS-søkelisten med det fullstendige domenenavnet til domenet du prøver å bli med i.

Midlertidige løsninger

Løsning for årsak 1:

Kontakt en Active Directory-administrator, og få vedkommende til å fjerne alle maskinkontoene som ble opprettet ved å koble klyngen til domenet. Repliker disse endringene til de andre domenekontrollerne i domenet, og koble deretter klyngen til domenet på nytt.

Løsning for årsak 2:

Hvis disse ikke samsvarer, må du oppdatere DNS-søkelisten slik at den samsvarer med FQDN for Active Directory-domenet, sletter du den tidligere opprettede datamaskinkontoen og blir med i domenet på nytt.