PowerScale: Active Directory 사용자에 대해 OneFS 9.5 이상으로 업그레이드한 후 정의되지 않은 속성 인증 실패

Summary: 모든 이전 버전에서 OneFS 9.5.x 이상 버전으로 업그레이드하는 경우 업그레이드 전 코드 검사에서 msds-SupportedEncryptionTypes 에 대한 NULL/0 값을 식별할 수 있습니다. 이 문제를 해결하지 않으면 DU(Authentication Failure)가 발생할 수 있습니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

클러스터가 OneFS 9.5로 업그레이드되고 머신 계정 속성 값이 msDS-SupportedEncryptionTypes 이 설정되지 않으면 인증에 실패할 수 있습니다. Active Directory 공급자가 스타일이 지정되지 않은 상태로 표시되거나 에서 누락되었을 수 있습니다. isi auth 상태 출력.

기본적으로 이 값은 클러스터가 Active Directory에 처음 연결될 때 31(또는 16진수로 0xF1)로 설정됩니다. Dell 지원 PowerScale OneFS 제품 페이지에서 찾을 수 있는 OneFS 9.5 보안 구성 가이드에 따라 SMB 및 Kerberos에 지원되는 다양한 암호화 유형이 있습니다.
 

참고: Dell 설명서 페이지에 인증이 필요합니다.

누군가 속성을 수정하려는 경우 msDS-SupportedEncryptionTypes, 작동하는 데 필요한 필수 암호화 유형을 제외하지 않는 경우 허용됩니다. 예를 들어 RC4에 대한 지원을 생략하도록 값을 조정할 수 있습니다.

고급 기능이 활성화된 속성의 속성 예:

msDS-SupportedEncryptionTypes 특성 값이 설정>되지 않음으로 <표시됩니다.

그림 1: 에 대한 값 msDS-SupportedEncryptionTypes 속성이 설정>되지 않음으로 <표시됩니다.

PowerShell의 예:

DistinguishedName : CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
DNSHostName       : ninefiveoh.testdomain.local
Enabled           : True
Name              : NINEFIVEOH
ObjectClass       : computer
ObjectGUID        : 8dbed342-6a12-41ff-889f-8249cc39b673
SamAccountName    : NINEFIVEOH$
SID               : S-1-5-21-3532647020-1821455699-3245163308-1110
UserPrincipalName :

위 출력에는 속성에 대한 필드가 포함되어 있지 않습니다. msDS-SupportedEncryptionTypes일반적으로 정수 값을 보고합니다.

다음은 속성에 대해 설정 값이 채워지는 것을 볼 수 있는 다른 클러스터의 예입니다.

DistinguishedName             : CN=COREBUDDY,CN=Computers,DC=testdomain,DC=local
DNSHostName                   : corebuddy.testdomain.local
Enabled                       : True
msDS-SupportedEncryptionTypes : 31   <<<<<<<<<<<<<<<<
Name                          : COREBUDDY
ObjectClass                   : computer
ObjectGUID                    : e29236a7-cc36-4686-bca9-010ba4143ca3
SamAccountName                : COREBUDDY$
SID                           : S-1-5-21-3532647020-1821455699-3245163308-1104
UserPrincipalName             :

또 다른 증상은 채워지는 특정 메시지가 있다는 것입니다 /var/log/lsass.d.log 아래 그림과 같은 파일:

2023-04-14T02:40:07.877593+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:07.877656+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.
2023-04-14T02:40:23.903189+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:23.903268+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.

이것이 문제인지 확인하려면 관리자가 Active Directory 내의 클러스터에 대한 컴퓨터 계정 개체를 확인해야 합니다. 이 작업은 다음 두 가지 방법 중 하나로 수행할 수 있습니다.

  • DC에서 ADUC(Active Directory 사용자 및 컴퓨터)를 엽니다.
    1. 창의 상단 리본에서 View 를 선택하고 Advanced Features를 클릭합니다.
    2. 객체를 마우스 오른쪽 버튼으로 클릭하고 속성 편집기 탭으로 이동하여 스크롤하여 msDS-SupportedEncryptionTypes 속성.
    3. Attribute 필드를 두 번 클릭하고 새 창에 보고된 10진수를 검토합니다.
  • 올바른 컴퓨터 계정 이름을 사용하여 DC에서 다음 Powershell 명령을 사용합니다. 
    Get-ADComputer -Identity <machine account name> -Properties msDS-SupportedEncryptionTypes

위의 경우 관리자는 도메인 수준 권한이 있는 Active Directory의 계정을 사용하여 문제를 해결해야 합니다.

Cause

수동 삭제 msDS-SupportedEncryptionTypes 특성을 사용하면 Active Directory에서 NULL 값을 보고합니다. 이렇게 하면 보안 지원 향상을 위한 향상된 기능 모음의 일환으로 최신 코드의 검사가 실패합니다.

이 값을 설정하지 않고 Active Directory에 가입한 이전 클러스터도 이 문제에 취약할 수 있습니다. Active Directory에 다시 가입하지 않으면 값이 설정되지 않기 때문입니다.

Resolution

해결 방법:
속성을 빈 값이 아닌 값으로 변경합니다. 안전한 옵션은 보안 요구 사항에 따라 기본값 31 또는 24를 선택하는 것입니다. 이 작업은 UI 또는 Powershell을 통해 수행됩니다. 

값 목록과 값이 지원하는 암호화 유형은 Microsoft 웹 사이트 블로그에서 찾을 수 있습니다. 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다. 

다음 명령(올바른 컴퓨터 계정 이름 및 정수가 삽입됨)은 UI 대신 DC의 Active Directory 관리자가 특성에 값을 할당하는 데 사용할 수 있습니다.

Set-ADComputer -Identity COMPUTERNAME$ -Add @{'msDS-SupportedEncryptionTypes'="<INTEGER>"}

아래 예에서는 msDS-SupportedEncryptionTypes 클러스터 머신 계정에 대해 속성을 기본값 31 로 설정합니다 NINEFIVEOH$:

Set-ADComputer -Identity NINEFIVEOH$ -Add @{'msDS-SupportedEncryptionTypes'="31"}

변경 내용이 적용되면 Active Directory 환경 내의 모든 도메인 컨트롤러에 복제해야 합니다. 이후 조건을 지우려면 클러스터에서 인증 새로 고침 또는 대상 LSASS 재시작이 필요할 수 있습니다. 

Dell 엔지니어링 팀은 이 문제를 해결하는 OneFS 9.5.0.3의 코드 개선 사항을 게시했습니다. 관리자는 업그레이드 전에 설정된 값이 없는 경우 IOCA 업그레이드 사전 검사가 실패하는 것을 볼 수 있습니다. 관리자가 AD에서 속성을 수정할 수 있도록 클러스터 권한을 제한한 경우 업그레이드 작업이 진행되기 전에 속성을 수동으로 업데이트해야 합니다. 클러스터에 업그레이드할 수 있는 충분한 권한이 없는 경우 업그레이드 전에 속성을 업데이트하지 않으면 데이터 가용성 손실이 발생합니다.


참고: OneFS 9.5 이상에는 속성 msDS-SupportedEncryptionTypes. 이 특성이 없거나 이 특성을 지원하지 않는 Windows Server 버전을 실행하는 관리자는 도메인 컨트롤러를 업그레이드해야 합니다. 이 요구 사항에 대한 해결 방법은 없습니다. OneFS 업그레이드 전에 지원되는 버전의 Windows Server에 도메인 컨트롤러가 없으면 데이터 가용성 손실이 발생할 수 있습니다.

Additional Information

다음은 이 주제와 관련하여 관심을 가질만한 몇 가지 권장 리소스입니다.

 

Affected Products

PowerScale OneFS
Article Properties
Article Number: 000212387
Article Type: Solution
Last Modified: 25 Aug 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.