PowerScale:OneFS:如果服务主体名称 (SPN) 不正确或缺失,身份验证服务可能会失败
Summary: 如果群集计算机帐户中的服务主体名称 (SPN) 不正确或缺失,身份验证服务可能会失败。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
问题
如果群集已加入域,并且管理员在 AD 从初始加入复制帐户之前尝试立即重新加入,则这可能会导致问题。群集计算机帐户的服务主体名称 (SPN) 可能设置不正确。虽然此事件并不常见,但它会导致身份验证失败。
症状
成功将群集加入域后,群集无法对用户进行身份验证,并且以下错误消息记录到 /var/log/lsassd.log:
Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:KRB5 Error at krbtgt.c:247: [Code:-1765328377] [Message: Server not found in Kerberos database]
Apr 29 14:15:47 <30.3> isi-cluster-1(id1) lsassd[12682]: 0x8077000:Failed to load provider [lsa-activedirectory-provider] at [/usr/likewise/lib/liblsass_auth_provider_ad.so] [error code:32814]
Cause
原因
原因 1:
SPN 在 Active Directory 林中必须唯一。如果在两个不同的域控制器上创建两个计算机帐户时发生复制冲突,AD 可能会重命名群集计算机帐户的 SPN。使用重命名的 SPN 访问计算机帐户时,可能会发生身份验证失败。
原因 2:
发生这些错误的第二个原因是群集的 DNS 区域与它所加入的域不同。这可能会导致在 Active Directory 域中为群集计算机帐户注册错误的 SPN 帐户。要检查此原因,请运行“isi network”命令,并将 DNS 搜索列表与您尝试加入的域的完全限定域名进行比较。
Resolution
临时解决方法
原因 1 的解决方法:
请联系 Active Directory 管理员,让他们删除通过将群集加入域而创建的所有计算机帐户。将这些更改复制到域中的其他域控制器,然后将群集重新加入域。
原因 2 的解决方法:
如果不匹配,则更新 DNS 搜索列表以匹配 Active Directory 域的 FQDN,删除以前创建的计算机帐户并重新加入域。
Affected Products
IsilonArticle Properties
Article Number: 000109320
Article Type: Solution
Last Modified: 28 Nov 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.