PowerScale. OneFS. Службы проверки подлинности могут завершиться сбоем, если имя субъекта-службы (SPN) неверно или отсутствует

Проблема

Если кластер присоединен к домену и администратор пытается выполнить немедленное повторное присоединение до того, как AD реплицирует учетную запись из первоначального присоединения, это может привести к проблемам. Возможно, неправильно задано имя субъекта-службы (SPN) учетной записи компьютера кластера. Хотя это событие встречается редко, оно приводит к сбоям проверки подлинности.

Симптомы

После успешного присоединения кластера к домену кластер не может аутентифицировать пользователей, и в /var/log/lsassd.log регистрируются следующие сообщения об ошибках:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

Причина

Причина 1.

Имена SPN должны быть уникальными в пределах леса Active Directory. Если возникает конфликт репликации, когда две учетные записи компьютеров создаются на двух разных контроллерах домена, AD может переименовать имя SPN для учетной записи компьютера кластера. При доступе к учетной записи компьютера с переименованным именуемым именем SPN могут возникать ошибки аутентификации.

Причина 2:

Вторая причина возникновения этих ошибок заключается в том, что зона DNS кластера отличается от зоны домена, к которому он присоединен. Это может привести к тому, что для учетной записи компьютера кластера в домене Active Directory будет зарегистрирована неправильная учетная запись SPN. Чтобы проверить эту причину, выполните команду «isi network» и сравните список поиска DNS с полным доменным именем домена, к которому вы пытаетесь подключиться.

Временное решение проблемы

Временное решение для причины 1:

Обратитесь к администратору Active Directory и попросите его удалить все учетные записи компьютеров, которые были созданы путем присоединения кластера к домену. Реплицируйте эти изменения на другие контроллеры домена в домене, а затем повторно присоедините кластер к домену.

Временное решение для причины 2:

Если они не совпадают, измените список поиска DNS, чтобы он соответствовал FQDN для домена Active Directory, удалите ранее созданную учетную запись компьютера и повторно присоединитесь к домену.