PowerScale: OneFS: Usługi uwierzytelniania mogą ulec awarii, jeśli główna nazwa usługi (SPN) jest nieprawidłowa lub jej brakuje

Summary: Usługi uwierzytelniania mogą ulec awarii, jeśli główna nazwa usługi (SPN) jest niepoprawna lub na koncie komputera klastra jej brakuje.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms




 

Problem

Może to powodować problemy, jeśli klaster jest przyłączony do domeny, a administrator podejmie próbę natychmiastowego ponownego przyłączenia, zanim usługa AD zreplikuje konto z początkowego sprzężenia. Nazwa główna usługi (SPN) konta komputera klastra może być ustawiona niepoprawnie. Chociaż to zdarzenie jest rzadkie, powoduje niepowodzenia uwierzytelniania.

 

Objawy

Po pomyślnym przyłączeniu klastra do domeny klaster nie może uwierzytelniać użytkowników, a następujące komunikaty o błędach są rejestrowane w /var/log/lsassd.log:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

 

Cause

Powód

Przyczyna 1:

Nazwy SPN muszą być unikatowe w lesie usługi Active Directory. Jeśli wystąpi konflikt replikacji, gdy dwa konta komputerów są tworzone na dwóch różnych kontrolerach domeny, usługa AD może zmienić nazwę nazwy SPN dla konta komputera klastra. Podczas uzyskiwania dostępu do konta maszyny ze zmienioną nazwą SPN mogą wystąpić błędy uwierzytelniania.

Przyczyna 2:

Drugim powodem wystąpienia tych błędów jest sytuacja, w której klaster ma inną strefę DNS niż domena, do której jest przyłączany. Może to spowodować zarejestrowanie nieprawidłowego konta SPN dla konta komputera klastrów w domenie Active Directory. Aby sprawdzić tę przyczynę, uruchom polecenie "isi network" i porównaj listę wyszukiwania DNS z w pełni kwalifikowaną nazwą domeny domeny, do której próbujesz się przyłączyć.

Resolution

Rozwiązania

Obejście problemu dla przyczyny 1:

Skontaktuj się z administratorem usługi Active Directory i poproś go o usunięcie wszystkich kont komputerów, które zostały utworzone przez przyłączenie klastra do domeny. Zreplikuj te zmiany do innych kontrolerów domeny w domenie, a następnie ponownie przyłącz klaster do domeny.

Obejście problemu dotyczącego przyczyny 2:

Jeśli nie są one zgodne, zaktualizuj listę wyszukiwania DNS, aby była zgodna z nazwą FQDN dla domeny Active Directory, usuń wcześniej utworzone konto komputera i ponownie dołącz do domeny.

Affected Products

Isilon
Article Properties
Article Number: 000109320
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.