Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126268

Isilon: De opdracht PowerScale OneFS isi_auth_expert gebruiken om authenticatieproblemen te beheren

Summary: In dit artikel wordt uitgelegd hoe u de Isilon OneFS isi_auth_expert-opdracht gebruikt om authenticatie te beheren.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Niet vereist

Cause

Niet vereist

Resolution

Inleiding

Beheerders kunnen de isi_auth_expert opdracht om de verificatieomgeving van een PowerScale OneFS cluster te onderzoeken. Dit kan helpen ervoor te zorgen dat het correct is geconfigureerd en om omstandigheden te identificeren die latentie voor datatoegang kunnen veroorzaken als gevolg van authenticatieproblemen.

De isi_auth_expert Command voert een reeks tests uit, waaronder netwerk- en poortconnectiviteit en latentie, binding en klokscheefheid. Deze resultaten kunnen worden gebruikt om een problematische configuratie of netwerkpad te isoleren dat problemen met datatoegang veroorzaakt.

Individuen kunnen deze tool uitvoeren:
  • Wanneer bestaande of nieuwe gebruikers latentie ervaren wanneer ze verbinding maken met een share of worden gevraagd om aanmeldingsreferenties in te voeren bij het openen van data
  • Wanneer het cluster gebeurtenissen rapporteert met betrekking tot de offline status van Active Directory of LDAP (Lightweight Directory Access Protocol)
  • Na het wijzigen van de instellingen van de verificatieprovider
  • Nadat configuratiewijzigingen invloed hebben gehad op netwerkpaden tussen een cluster en de bijbehorende verificatieproviders
Opmerking: Er zijn nieuwe controles en parameters toegevoegd aan de isi_auth_expert opdracht in OneFS 7.2.1.5. Zie het gedeelte Aanvullende controles en parameters in OneFS 7.2.1.5 en hoger van dit artikel voor meer informatie.


Instructies

Als u de isi_auth_expert ga als volgt te werk: 
isi_auth_expert
Particulieren kunnen de opdracht ook uitvoeren met een of meer van de opties in de onderstaande tabel:
 
Optie Uitleg
-h, --help De syntaxis voor deze opdracht weergeven
-h, --debug Foutopsporingsberichten weergeven
-v, --verbose Uitgebreide (robuustere) uitvoer inschakelen
--no-color Gekleurde uitvoer uitschakelen
Voorbeelduitvoer: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Uitgevoerde tests

Tijdens het hardlopen isi_auth_expert worden de volgende controles uitgevoerd:


Controle van processen

Deze test bevestigt dat de authenticatieprocessen (lsass, lwio en netlogon) worden uitgevoerd. Als een van de processen niet wordt uitgevoerd, wordt er een fout geretourneerd.


Active Directory

In het volgende gedeelte worden de tests beschreven die de isi_auth_expert opdracht wordt uitgevoerd voor elke Active Directory (AD)-provider.

  • Connectiviteit met
    domeincontroller controleren Bepaal of het cluster een basisnetwerkconnectiviteit heeft met ten minste één domeincontroller (DC) in het AD-domein.

Gelijkstroompoorten
controlerenControleer of voor elke DC het cluster verbinding kan maken met de AD-gerelateerde poorten en of de poorten verbindingen accepteren.
 

Poort Uitleg AD-gebruik Verkeerstype
88 Poort 88 wordt gebruikt voor Kerberos-authenticatieverkeer. Gebruikers- en computerverificatie, vertrouwensrelaties op forestniveau Kerberos
139 Poort 139 wordt gebruikt voor NetBIOS- en NetLogon-verkeer. Gebruikers- en computerverificatie, replicatie DFSN, NetBIOS Session Service, NetLogon
389 Poort 389 wordt gebruikt voor LDAP-query's. Directory, replicatie, gebruikers- en computerverificatie, groepsbeleid, vertrouwensrelaties LDAP
445 Poort 445 wordt gebruikt voor replicatie. Replicatie, gebruikers- en computerverificatie, groepsbeleid, vertrouwen. SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 Poort 3268 wordt gebruikt voor LDAP-query's in globale catalogussen. (wordt gebruikt als de globale catalogus in de AD-provider is ingeschakeld) Directory, replicatie, gebruikers- en computerverificatie, groepsbeleid, vertrouwensrelaties LDAP GC


LDAP

In het volgende gedeelte worden de tests beschreven die de isi_auth_expert opdracht wordt uitgevoerd voor elke LDAP-provider.

LDAP-connectiviteit

  • Controleer de LDAP-serverconnectiviteit door een anonieme LDAP-binding te maken en de resultaten te controleren.

Ondersteuning voor LDAP-objecten

  • Controleer of elke LDAP-server opgesomde objecten ondersteunt door de ondersteunde besturingselementen van de LDAP-servers te controleren. OneFS vereist het besturingselement voor de paginaresultaten of zowel de virtuele lijstweergave als het sorteerbeheer aan de serverzijde.

Geconfigureerde base-dn valideren

  • Voer een testquery uit op de geconfigureerde base-dn om te zorgen voor configuratiecompatibiliteit met de LDAP-server.

Validate configured user-base-dn

  • Voer een testquery uit op de geconfigureerde user-base-dn om te zorgen voor configuratiecompatibiliteit met de LDAP-server.

Validate configured group-base-dn

  • Voer een testquery uit op de geconfigureerde group-base-dn om te zorgen voor configuratiecompatibiliteit met de LDAP-server.


Andere controles en parameters in OneFS 7.2.1.5 en hoger

De volgende controles zijn toegevoegd in OneFS 7.2.1.5.

  • Active Directory

    • Latentiecontrole domeincontroller
    • Scheefstand van de klok en latentiecontrole
    • Global Catalog service voor gebruiker (SFU) check
  • LDAP - Gebruikerscontrole
  • Kerberos - Service Principal Name (SPN) controleert op SmartConnect-zones en aliassen
De isi_auth_expert Command kan twee typen latentie berekenen: Ping-latentie en LDAP-latentie voor alle domeincontrollers. Als de klok minder dan vijf minuten scheef is, retourneert de opdracht: "Er is minimale of geen scheeftrekking tussen de AD-provider en uw machine."

De volgende parameters werden ook toegevoegd.
 
Optie     Uitleg
--ldap-user Controleert de LDAP-provider voor een opgegeven gebruiker
--sfu-user Controleert de algemene Active Directory-catalogus voor een opgegeven gebruiker
--admin-creds Geef de referenties op die nodig zijn bij het controleren van de algemene Active Directory-catalogus.


LDAP-gebruikerskenmerkcontrole

Als u de LDAP-gebruikerskenmerkcontrole wilt uitvoeren, moet u het volgende uitvoeren: isi_auth_expert opdracht met de --ldap-user=<user> parameter waarbij de gebruiker> de gebruiker is die <u wilt controleren. De gebruikersnaam moet de vorm "gewone naam" hebben om de zoekopdracht te laten werken. De LDAP-gebruikerskenmerkcontrole maakt verbinding met een LDAP-server en voert een query uit op de opgegeven gebruiker. We kunnen dan de resultaten van de query controleren om er zeker van te zijn dat de gebruiker over alle noodzakelijke kenmerken beschikt die nodig zijn voor authenticatie in elk domein.


Active Directory Global Catalog SFU-controle

Een globale catalogusserver is een domeincontroller die informatie bevat over het domein waaraan deze is gekoppeld en alle andere domeinen in het forest. Net als een LDAP-server bevat de algemene catalogus een lijst met gegevens die zijn gekoppeld aan het domein dat de schijf beheert, naast een gedeeltelijke kopie van de gegevens die worden opgehaald van andere domeincontrollers. Als het niet alle data bevat die de domeincontrollers delen, kunnen er authenticatieproblemen zijn.

Als u de SFU-controle van Active Directory Global Catalog wilt uitvoeren, moet u de isi_auth_expert opdracht met de --sfu-user=<user> als --admin-creds="[('<Domain>', '<User>', '<password>')]" parameters waarbij <de gebruiker> de SFU-gebruiker is die u wilt controleren en "[('<Domein>', '<Gebruiker>', '<wachtwoord>')]" zijn de referenties die de isi_auth_expert opdracht moet worden opgegeven om de globale catalogus op te zoeken in de domeincontroller. We hebben de volgende beperking bij het controleren van de wereldwijde catalogus: U moet beheerdersreferenties opgeven.


SPN-controle (Server Principal Name)

SPN's kunnen verificatiefouten veroorzaken als ze niet aanwezig zijn wanneer u lid wordt van een Kerberos-provider of als u de naam van een SmartConnect-zone wijzigt. De isi_auth_expert met de opdracht wordt bepaald of SPN's ontbreken, verouderd of onjuist zijn. Deze functie wordt automatisch uitgevoerd wanneer het venster isi_auth_expert opdracht is uitvoeren.

Deze functie wordt gebruikt om te controleren op ontbrekende SPN's in beide Kerberos-providers en ook in SmartConnect-zones. De opdracht verzamelt alle SPN's die zijn gekoppeld aan de providers en SmartConnect-zones en zorgt ervoor dat de vereiste SPN's aanwezig zijn.

Als u SmartConnect-aliassen gebruikt, wordt er ook gecontroleerd op die aliassen. U kunt gebruik maken van de isi auth ads spn of isi auth krb5 spn opdrachten om gerapporteerde ontbrekende SPN's op te sommen, te controleren of te herstellen.

Article Properties

Affected Product

Isilon, PowerScale OneFS

Last Published Date

29 Apr 2024

Version

7

Article Type

Solution

Back to Top