PowerScale: OneFS: Hizmet asıl adı (SPN) yanlış veya eksikse kimlik doğrulama hizmetleri başarısız olabilir

Summary: Hizmet asıl adı (SPN) yanlışsa veya küme makinesi hesabında eksikse kimlik doğrulama hizmetleri başarısız olabilir.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms




 

Sorun

Bir küme bir etki alanına katılırsa ve AD hesabı ilk birleştirmeden çoğaltmadan önce yönetici hemen yeniden katılma girişiminde bulunursa bu durum sorunlara neden olabilir. Kümenin makine hesabının Hizmet Ana Adı (SPN) yanlış ayarlanmış olabilir. Bu olay nadir olsa da kimlik doğrulama hatalarına neden olur.

 

Belirtiler

Kümeyi bir etki alanına başarıyla ekledikten sonra küme, kullanıcıların kimliğini doğrulayamaz ve /var/log/lsassd.log yoluna aşağıdaki hata mesajları kaydedilir:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

 

Cause

Neden

1. Neden:

SPN'ler Active Directory ormanında benzersiz olmalıdır. İki farklı etki alanı denetleyicisinde iki makine hesabı oluşturulduğunda bir çoğaltma çakışması oluşursa AD, kümenin makine hesabı için SPN'yi yeniden adlandırabilir. Yeniden adlandırılan SPN ile makine hesabına erişirken kimlik doğrulama hataları oluşabilir.

Neden 2:

Bu hataların ikinci nedeni, kümenin birleştirildiği etki alanından farklı bir DNS bölgesine sahip olmasıdır. Bu, Active Directory etki alanındaki küme bilgisayar hesabı için yanlış SPN hesabının kaydedilmesine neden olabilir. Bu nedeni kontrol etmek için "isi network" komutunu çalıştırın ve DNS Arama Listesini, katılmaya çalıştığınız etki alanının Tam Nitelikli Etki Alanı Adı ile karşılaştırın.

Resolution

Geçici çözümler

Neden 1 için geçici çözüm:

Bir Active Directory yöneticisine başvurun ve kümeyi etki alanına katarak oluşturulan tüm makine hesaplarını kaldırmasını isteyin. Bu değişiklikleri etki alanındaki diğer etki alanı denetleyicilerine çoğaltın ve ardından kümeyi etki alanına yeniden ekleyin.

Neden 2 için geçici çözüm:

Bunlar eşleşmiyorsa DNS Arama Listesini Active Directory Etki Alanı FQDN ile eşleşecek şekilde güncelleyin, önceden oluşturulmuş bilgisayar hesabını silin ve etki alanına yeniden katılın.

Affected Products

Isilon
Article Properties
Article Number: 000109320
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.