Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Article Number: 000126268

Isilon: Kimlik doğrulama sorunlarını yönetmek için PowerScale OneFS isi_auth_expert komutunu kullanma

Summary: Bu makalede, kimlik doğrulamasını yönetmek için Isilon OneFS isi_auth_expert komutunun nasıl kullanılacağı açıklanmaktadır.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content

Symptoms

Gerekli değil

Cause

Gerekli değil

Resolution

Giriş

Yöneticiler isi_auth_expert PowerScale OneFS kümesinin kimlik doğrulama ortamını inceleme komutu. Bu, doğru şekilde yapılandırıldığından emin olunmasına ve kimlik doğrulama sorunlarının bir sonucu olarak veri erişim gecikmesine neden olabilecek koşulların belirlenmesine yardımcı olabilir.

bu isi_auth_expert komutu; ağ ve bağlantı noktası bağlantısı ve gecikme süresi, bağlama ve saat çarpıklığı dahil olmak üzere bir dizi test çalıştırır. Bu sonuçlar, veri erişim sorunlarına neden olan sorunlu bir yapılandırmayı veya ağ yolunu izole etmek için kullanılabilir.

Kişiler bu aracı çalıştırmak isteyebilir:
  • Mevcut veya yeni kullanıcılar bir paylaşıma bağlanırken gecikme yaşadığında veya verilere erişirken oturum açma kimlik bilgilerini girmeleri istendiğinde
  • Küme, Active Directory veya Basit Dizin Erişim Protokolü (LDAP) çevrimdışı durumuyla ilgili olayları bildirirken
  • Kimlik doğrulama sağlayıcısı kurulumunu değiştirdikten sonra
  • Yapılandırma değişiklikleri bir küme ile kimlik doğrulama sağlayıcıları arasındaki ağ yollarını etkiledikten sonra
Not: Yeni kontroller ve parametreler eklendi isi_auth_expert OneFS 7.2.1.5'te komutu. Daha fazla bilgi için bu makalenin OneFS 7.2.1.5 ve sonraki sürümlerdeki ek kontroller ve parametreler bölümüne bakın.


Talimatlar

Çalıştırmak için isi_auth_expert komutunu kullanıyorsanız aşağıdakileri yapın: 
isi_auth_expert
Kişiler komutu aşağıdaki tabloda listelenen seçeneklerden bir veya daha fazlasıyla da çalıştırabilir:
 
Seçenek Açıklama
-h, --help Bu komutun söz dizimini göster
-h, --debug Hata ayıklama mesajlarını görüntüleme
-v, --verbose Ayrıntılı (daha sağlam) çıktıyı etkinleştir
--no-color Renkli çıktıyı devre dışı bırak
Örnek çıktı: 
wcvirt1-1# isi_auth_expert

Checking authentication process health ... done
Checking LDAP provider 'ldaptest' server connectivity ... done
Checking LDAP provider 'ldaptest' base dn ... done
Checking LDAP provider 'ldaptest' object enumeration support ... done
Checking LDAP provider 'ldaptest' group base dn ... done
Checking LDAP provider 'ldaptest' user base dn ... done
  [ERROR] The configured base user dn 'ou=dne,dc=isilon,dc=com' in LDAP provider
  'ldaptest' was not found on LDAP server ldaptest.west.isilon.com.
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' DC connectivity ... done
Checking AD provider 'WMC-ADA.WEST.ISILON.COM' auth related ports ... done
  [ERROR] Failed to establish a connection to the AD domain controller wmc-ada-dc1
            .wmc-ada.west.isilon.com on port 3268.


Uygulanan testler

Koşarken isi_auth_expert komutunu kullanıyorsanız aşağıdaki kontroller gerçekleştirilir:


Süreç kontrolleri

Bu test, kimlik doğrulamayla ilgili işlemlerin (lsass, lwio ve netlogon) çalıştığını onaylar. İşlemlerden herhangi biri çalışmıyorsa, bir hata döndürülür.


Active Directory

Aşağıdaki bölümde, isi_auth_expert komutu her Active Directory (AD) sağlayıcısı için gerçekleştirilir.

  • Etki Alanı Denetleyicisi bağlantısını
    kontrol etme Kümenin AD etki alanındaki en az bir etki alanı denetleyicisine (DC) temel ağ bağlantısı olup olmadığını belirleyin.

DC bağlantı noktalarını
kontrol edinHer DC için kümenin AD ile ilgili bağlantı noktalarına bağlanabildiğini ve bağlantı noktalarının bağlantı kabul ettiğini doğrulayın.
 

Port (Bağlantı Noktası) Açıklama AD Kullanımı Trafik Tipi
88 88 numaralı bağlantı noktası, Kerberos kimlik doğrulama trafiği için kullanılır. Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Orman Düzeyinde Güvenler Kerberos
139 139 numaralı bağlantı noktası, NetBIOS ve NetLogon trafiği için kullanılır. Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Çoğaltma DFSN, NetBIOS Oturum Hizmeti, NetLogon
389 389 numaralı bağlantı noktası, LDAP sorguları için kullanılır. Dizin, Çoğaltma, Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Grup İlkesi, Güvenler LDAP
445 Çoğaltma için bağlantı noktası 445 kullanılır. Çoğaltma, Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Grup İlkesi, Güvenler. SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
3268 3268 numaralı bağlantı noktası, genel katalog LDAP sorguları için kullanılır. (AD sağlayıcısındaki genel katalog etkinse kullanılır) Dizin, Çoğaltma, Kullanıcı ve Bilgisayar Kimlik Doğrulaması, Grup İlkesi, Güvenler LDAP GC


LDAP

Aşağıdaki bölümde, isi_auth_expert komutu her LDAP sağlayıcısı için gerçekleştirir.

LDAP bağlantısı

  • Anonim bir LDAP bağlaması yaparak ve sonuçları kontrol ederek LDAP sunucusu bağlantısını kontrol edin.

LDAP numaralandırılmış nesne desteği

  • LDAP sunucularının desteklediği denetimleri denetleyerek her LDAP sunucusunun numaralandırılmış nesneleri desteklediğini doğrulayın. OneFS, sayfalanmış sonuç denetimlerini veya hem sanal liste görünümünü hem de sunucu tarafı sıralama denetimlerini gerektirir.

Yapılandırılmış base-dn'yi doğrulama

  • LDAP sunucusuyla yapılandırma uyumluluğu olduğundan emin olmak için yapılandırılmış base-dn'de bir test sorgusu gerçekleştirin.

Yapılandırılmış user-base-dn'yi doğrulayın

  • LDAP sunucusuyla yapılandırma uyumluluğundan emin olmak için yapılandırılmış user-base-dn'ye karşı bir test sorgusu gerçekleştirin.

Yapılandırılmış group-base-dn yi doğrulayın.

  • LDAP sunucusuyla yapılandırma uyumluluğu sağlamak için yapılandırılmış group-base-dn'de bir test sorgusu gerçekleştirin.


OneFS 7.2.1.5 ve sonraki sürümlerdeki diğer kontroller ve parametreler

OneFS 7.2.1.5'e aşağıdaki kontroller eklenmiştir.

  • Active Directory

    • Etki alanı denetleyicisi gecikme denetimi
    • Saat Sapması ve gecikme kontrolü
    • Kullanıcı (SFU) denetimi için Genel Katalog hizmeti
  • LDAP - Kullanıcı denetimi
  • Kerberos - SmartConnect bölgeleri ve diğer adları için Hizmet Ana Adı (SPN) denetimleri
cd-key isi_auth_expert Komutu iki tür gecikmeyi hesaplayabilir: Tüm etki alanı denetleyicileri için ping gecikme süresi ve LDAP gecikme süresi. Saat sapması beş dakikadan azsa komut şunu döndürür: AD sağlayıcısı ile makineniz arasında çok az fark var veya hiç fark yok."

Aşağıdaki parametreler de eklendi.
 
Seçenek     Açıklama
--ldap-user Belirli bir kullanıcı için LDAP sağlayıcısını kontrol eder
--sfu-user Belirtilen kullanıcı için Active Directory Genel Kataloğunu kontrol eder
--admin-creds Active Directory Genel Kataloğunu kontrol ederken gereken kimlik bilgilerini girin.


LDAP kullanıcı özniteliği denetimi

LDAP kullanıcı özniteliği denetimini çalıştırmak için isi_auth_expert komutu ile --ldap-user=<user> parametresini kullanın, burada <kullanıcı> kontrol etmek istediğiniz kullanıcıdır. Aramanın çalışması için kullanıcı adının "düz ad" biçiminde olması gerekir. LDAP kullanıcı özniteliği denetimi, bir LDAP sunucusuna bağlanır ve belirtilen kullanıcı için bu sunucuyu sorgular. Ardından, kullanıcının herhangi bir etki alanında kimlik doğrulaması için gerekli tüm gerekli özniteliklere sahip olduğundan emin olmak için sorgunun sonuçlarını kontrol edebiliriz.


Active Directory Genel Katalog SFU denetimi

Genel katalog sunucusu, ilişkili olduğu etki alanı ve ormandaki diğer tüm etki alanları hakkında bilgi içeren bir etki alanı denetleyicisidir. LDAP sunucusu gibi, genel katalog da diğer etki alanı denetleyicilerinden aldığı verilerin kısmi bir kopyasına ek olarak, denetlediği etki alanıyla ilişkili verilerin bir listesine sahiptir. Etki alanı denetleyicilerinin paylaştığı tüm veriler içermiyorsa kimlik doğrulama sorunları olabilir.

Active Directory Genel Katalog SFU denetimini çalıştırmak için isi_auth_expert komutu ile --sfu-user=<user> ve --admin-creds="[('<Domain>', '<User>', '<password>')]" parametreler, burada <kullanıcı> kontrol etmek istediğiniz SFU kullanıcısıdır ve "[('<Etki Alanı>', 'Kullanıcı>', '<<parola>')]" kimlik bilgileridir. isi_auth_expert komutu, etki alanı denetleyicisinde Genel Katalog araması gerçekleştirmek için sağlanmalıdır. Genel kataloğu kontrol ederken aşağıdaki sınırlamayla karşılaşırız: Yönetici kimlik bilgilerini sağlamanız gerekir.


Sunucu asıl adı (SPN) denetimi

SPN'ler, bir Kerberos sağlayıcısına katıldığınızda veya bir SmartConnect bölgesinin adını değiştirdiğinizde mevcut değilse kimlik doğrulama hatalarına neden olabilir. cd-key isi_auth_expert komutu, SPN'lerin eksik, eski veya yanlış olup olmadığını belirler. Bu özellik, her zaman otomatik olarak çalışır. isi_auth_expert komutu çalıştırılır.

Bu özellik, hem Kerberos sağlayıcılarında hem de SmartConnect bölgelerinde eksik SPN'leri kontrol etmek için kullanılır. Komut, sağlayıcılar ve SmartConnect bölgeleriyle ilişkili tüm SPN'leri toplar ve gerekli SPN'lerin mevcut olduğundan emin olur.

SmartConnect diğer adlarını kullanıyorsanız bu diğer adları da kontrol eder. Kullanabilirsiniz isi auth ads spn veya isi auth krb5 spn Bildirilen eksik SPN'leri listeleme, kontrol etme veya düzeltme komutları.

Article Properties

Affected Product

Isilon, PowerScale OneFS

Last Published Date

29 Apr 2024

Version

7

Article Type

Solution

Back to Top