PowerScale: Falla de autenticación de atributo indefinido después de la actualización a OneFS 9.5 o posterior para usuarios de Active Directory
Summary: Cuando se actualiza a OneFS 9.5.x o versiones posteriores desde cualquier versión anterior, las comprobaciones de código previas a la actualización pueden identificar un valor NULO o 0 para "msds-SupportedEncryptionTypes". Si no se aborda, esto puede provocar fallas de autenticación (DU). ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Si un clúster se actualiza a OneFS 9.5 y el valor para el atributo de cuenta de máquina msDS-SupportedEncryptionTypes no está configurado, la autenticación puede fallar. Es posible que el proveedor de Active Directory parezca estar en un estado sin estilo o que falte en isi auth salida de estado.
De manera predeterminada, este valor se establece en 31 (o 0xF1 en hexadecimales) cuando el clúster se une por primera vez a Active Directory. Según la Guía de configuración de seguridad de OneFS 9.5, que se encuentra en la página del producto de soporte de Dell PowerScale OneFS, tenemos muchos tipos de cifrado compatibles para SMB y Kerberos.
Nota: La página Manuales de Dell requiere autenticación.
Si alguien desea modificar el atributo de
msDS-SupportedEncryptionTypes, esto es aceptable si no excluye los tipos de cifrado requeridos para funcionar. Por ejemplo, es posible que algunos deseen ajustar el valor para omitir la compatibilidad con RC4.
Ejemplo del atributo de Propiedades con funciones avanzadas habilitadas:
Figura 1: El valor de msDS-SupportedEncryptionTypes El atributo se muestra como <no establecido>.
Ejemplo de Powershell:
DistinguishedName : CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local DNSHostName : ninefiveoh.testdomain.local Enabled : True Name : NINEFIVEOH ObjectClass : computer ObjectGUID : 8dbed342-6a12-41ff-889f-8249cc39b673 SamAccountName : NINEFIVEOH$ SID : S-1-5-21-3532647020-1821455699-3245163308-1110 UserPrincipalName :
La salida anterior no incluye un campo para el atributo msDS-SupportedEncryptionTypes, que normalmente informaría de un valor entero.
A continuación, se muestra un ejemplo de otro clúster en el que vemos que el valor establecido se completa para el atributo:
DistinguishedName : CN=COREBUDDY,CN=Computers,DC=testdomain,DC=local DNSHostName : corebuddy.testdomain.local Enabled : True msDS-SupportedEncryptionTypes : 31 <<<<<<<<<<<<<<<< Name : COREBUDDY ObjectClass : computer ObjectGUID : e29236a7-cc36-4686-bca9-010ba4143ca3 SamAccountName : COREBUDDY$ SID : S-1-5-21-3532647020-1821455699-3245163308-1104 UserPrincipalName :
Otro síntoma es que hay mensajes específicos que completan /var/log/lsass.d.log como se muestra a continuación:
2023-04-14T02:40:07.877593+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local 2023-04-14T02:40:07.877656+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list. 2023-04-14T02:40:23.903189+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local 2023-04-14T02:40:23.903268+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.
Para confirmar que este es el problema, el administrador debe comprobar el objeto de la cuenta de máquina para el clúster dentro de Active Directory. Esto se puede hacer de una de dos maneras:
- En una DC, abra Usuarios y equipos de Active Directories (ADUC).
- En la cinta superior de la ventana, seleccione Ver y haga clic en Funciones avanzadas.
- Haga clic con el botón secundario en el objeto y vaya a la pestaña Editor de atributos y desplácese para buscar el
msDS-SupportedEncryptionTypesatributo. - Haga doble clic en el campo Attribute y examine el número decimal informado en la nueva ventana.
- Utilice el siguiente comando de PowerShell en una DC con el nombre de cuenta de máquina correcto.
Get-ADComputer -Identity <machine account name> -Properties msDS-SupportedEncryptionTypes
Para lo anterior, los administradores deben usar una cuenta en Active Directory con privilegios de nivel de dominio para resolver el problema.
Cause
Eliminación manual del msDS-SupportedEncryptionTypes en el objeto de la cuenta de máquina del clúster hace que Active Directory informe un valor NULL. Esto hace que fallen las comprobaciones en el código más reciente como parte de un conjunto de mejoras para una mejor compatibilidad con la seguridad.
Los clústeres más antiguos que se unieron a Active Directory sin configurar este valor también pueden ser susceptibles a este problema. Esto se debe a que no se establece ningún valor a menos que se haya realizado una reincorporación a Active Directory.
Resolution
Solución alternativa:
Cambie el atributo a un valor distinto de un valor vacío. Una opción segura es elegir el valor predeterminado de 31 o 24, según los requisitos de seguridad. Esto se hace a través de la interfaz de usuario o mediante Powershell.
Puede encontrar una lista de valores y los tipos de cifrado que admiten en el blog del sitio web de Microsoft. 
Un administrador de Active Directory puede utilizar el siguiente comando (con el nombre de cuenta de máquina correcto y el número entero insertado) en una DC en lugar de en la IU para asignar un valor al atributo.
Set-ADComputer -Identity COMPUTERNAME$ -Add @{'msDS-SupportedEncryptionTypes'="<INTEGER>"}
En el siguiente ejemplo, se establece el msDS-SupportedEncryptionTypes atributo al valor predeterminado 31 para la cuenta de máquina del clúster NINEFIVEOH$:
Set-ADComputer -Identity NINEFIVEOH$ -Add @{'msDS-SupportedEncryptionTypes'="31"}
Una vez que se aplican los cambios, se deben replicar a todas las controladoras de dominio dentro del entorno de Active Directory. Es posible que sea necesaria una actualización de la autenticación o un reinicio de LSASS específico en el clúster para borrar la condición después.
El Departamento de Ingeniería de Dell publicó mejoras de código en OneFS 9.5.0.3 que abordan este problema. Los administradores aún pueden ver fallas en las comprobaciones previas de actualización de IOCA si no tienen un valor configurado antes de la actualización. Si un administrador limitó los privilegios del clúster en AD para modificar atributos, DEBE actualizar manualmente el atributo antes de que se lleve a cabo cualquier actividad de actualización. Si no se actualiza el atributo antes de la actualización cuando el clúster no tiene suficientes privilegios para hacerlo, se genera una falta de disponibilidad de datos.
Nota: OneFS 9.5 y versiones posteriores requieren el atributo
msDS-SupportedEncryptionTypes. Los administradores que ejecutan versiones de Windows Server que no tienen o no admiten este atributo deben actualizar sus controladoras de dominio. No hay una solución alternativa para este requisito. Si no hay controladoras de dominio en las versiones soportadas de Windows Server antes de la actualización de OneFS, es posible que los datos no estén disponibles.
Additional Information
Estos son algunos recursos recomendados relacionados con este tema que pueden ser de interés:
- PowerScale: cómo ejecutar la herramienta de análisis de clúster IOCA
- Parches actuales de PowerScale OneFS
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000212387
Article Type: Solution
Last Modified: 25 Aug 2025
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.