PowerScale: OneFS: Сервіси автентифікації можуть відмовити, якщо основна назва сервісу (SPN) є неправильною або відсутньою

Summary: Сервіси автентифікації можуть вийти з ладу, якщо основне ім'я сервісу (SPN) некоректне або відсутнє в обліковому записі кластерної машини.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms




 

Випуск

Якщо кластер приєднаний до домену, і адміністратор намагається негайно повернутися до того, як AD відтворить акаунт з початкового приєднання, це може спричинити проблеми. Ім'я головного сервісу (SPN) машинного облікового запису кластера може бути встановлене неправильно. Хоча ця подія трапляється рідко, вона спричиняє збої автентифікації.

 

Симптоми

Після успішного приєднання кластера до домену кластер не може автентифікувати користувачів, і такі повідомлення про помилки реєструються у /var/log/lsassd.log:

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]

Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]

 

Cause

Причиною

Причина 1:

SPN мають бути унікальними в лісі Active Directory. Якщо виникає конфлікт реплікації, коли на двох різних контролерах домену створюються два облікові записи машини, AD може перейменувати SPN для облікового запису кластера. При доступі до облікового запису машини з перейменованим SPN можуть виникати збої автентифікації.

Причина 2:

Друга причина виникнення цих помилок полягає в тому, що кластер має іншу DNS-зону, ніж домен, до якого він приєднується. Це може призвести до реєстрації неправильного облікового запису SPN для комп'ютерного облікового запису кластера в домені Active Directory. Щоб перевірити цю причину, запустіть команду "isi network" і порівняйте DNS-пошуковий список із повністю кваліфікованим доменом домену, до якого ви намагаєтеся приєднатися.

Resolution

Обхідні шляхи

Обхідний шлях для першої причини:

Зв'яжіться з адміністратором Active Directory і попросіть його видалити всі облікові записи машини, створені шляхом приєднання кластера до домену. Реплікуйте ці зміни на інші контролери домену в домені, а потім знову з'єднайте кластер із доменом.

Обхідний шлях для причини 2:

Якщо ці показники не співпадають, оновіть DNS-пошуковий список для відповідності FQDN домену Active Directory, видаліть раніше створений комп'ютерний обліковий запис і знову приєднайтеся до домену.

Affected Products

Isilon
Article Properties
Article Number: 000109320
Article Type: Solution
Last Modified: 28 Nov 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.