PowerScale: OneFS: Autentiseringstjänster kan misslyckas om tjänstens huvudnamn (SPN) är felaktigt eller saknas

Summary: Autentiseringstjänster kan misslyckas om tjänstens huvudnamn (SPN) är felaktigt eller saknas i klusterdatorkontot.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms




 

Problem

Om ett kluster är anslutet till en domän och administratören försöker göra en omedelbar återanslutning innan AD har replikerat kontot från den första anslutningen kan det orsaka problem. Tjänstens huvudnamn (SPN) för klustrets datorkonto kan ha angetts felaktigt. Även om den här händelsen är ovanlig orsakar den autentiseringsfel.

 

Symptom

När klustret har anslutits till en domän kan klustret inte autentisera användare och följande felmeddelanden loggas i /var/log/lsassd.log:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

 

Cause

Orsak

Orsak 1:

SPN måste vara unika i en Active Directory-skog. Om en replikeringskonflikt uppstår där två datorkonton skapas på två olika domänkontrollanter kan AD byta namn på SPN för klustrets datorkonto. Vid åtkomst till datorkontot med det omdöpta SPN kan autentiseringsfel uppstå.

Orsak 2:

Den andra orsaken till att dessa fel uppstår är om klustret har en annan DNS-zon än den domän som det ansluts till. Detta kan leda till att fel SPN-konto registreras för klustrets datorkonto i Active Directory-domänen. Kontrollera orsaken genom att köra kommandot "isi network" och jämföra DNS-söklistan med det fullständigt kvalificerade domännamnet för den domän du försöker ansluta till.

Resolution

Tillfälliga lösningar

Lösning för orsak 1:

Kontakta en Active Directory-administratör och be dem ta bort alla datorkonton som har skapats genom att ansluta klustret till domänen. Replikera dessa ändringar till de andra domänkontrollanterna i domänen och återanslut sedan klustret till domänen.

Lösning för orsak 2:

Om dessa inte matchar uppdaterar du DNS-söklistan så att den matchar FQDN för Active Directory-domänen, tar bort det tidigare skapade datorkontot och återansluter till domänen.

Affected Products

Isilon
Article Properties
Article Number: 000109320
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.