PowerScale. Сбой проверки подлинности неопределенного атрибута после модернизации до OneFS 9.5 или более поздней версии для пользователей Active Directory

Summary: При обновлении до OneFS 9.5.x или более поздних версий с любой из предыдущих версий проверки кода перед модернизацией могут выявить значение NULL/0 для «msds-SupportedEncryptionTypes». Если не устранить эту проблему, это может привести к сбоям аутентификации (DU). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Если кластер модернизирован до OneFS 9.5 и значение атрибута учетной записи компьютера msDS-SupportedEncryptionTypes не задано, аутентификация может завершиться сбоем. Поставщик Active Directory может выглядеть так, как будто он не стилизован или отсутствует в isi auth Вывод состояния.

По умолчанию для этого параметра установлено значение 31 (или 0xF1 в шестнадцатеричном формате) при первом присоединении кластера к Active Directory. В руководстве по настройке безопасности OneFS 9.5, которое можно найти на странице продукта PowerScale OneFS службы поддержки Dell, существует множество поддерживаемых типов шифрования для SMB и Kerberos.
 

Примечание. Требуется проверка подлинности на странице руководств Dell.

Если кто-то хочет изменить атрибут для msDS-SupportedEncryptionTypes, это допустимо, если не исключаются необходимые для работы типы шифрования. Например, некоторые могут захотеть изменить значение, чтобы исключить поддержку RC4.

Пример атрибута из Свойств с включенными расширенными функциями:

Значение атрибута msDS-SupportedEncryptionTypes отображается как <«не заданное>».

Рис. 1. Значение для msDS-SupportedEncryptionTypes атрибут отображается как <«Не задан».>

Пример из Powershell:

DistinguishedName : CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
DNSHostName       : ninefiveoh.testdomain.local
Enabled           : True
Name              : NINEFIVEOH
ObjectClass       : computer
ObjectGUID        : 8dbed342-6a12-41ff-889f-8249cc39b673
SamAccountName    : NINEFIVEOH$
SID               : S-1-5-21-3532647020-1821455699-3245163308-1110
UserPrincipalName :

Приведенные выше выходные данные не включают поле для атрибута msDS-SupportedEncryptionTypes, который обычно сообщает целочисленное значение.

Ниже приведен пример из другого кластера, где мы видим, что значение set заполняется для атрибута:

DistinguishedName             : CN=COREBUDDY,CN=Computers,DC=testdomain,DC=local
DNSHostName                   : corebuddy.testdomain.local
Enabled                       : True
msDS-SupportedEncryptionTypes : 31   <<<<<<<<<<<<<<<<
Name                          : COREBUDDY
ObjectClass                   : computer
ObjectGUID                    : e29236a7-cc36-4686-bca9-010ba4143ca3
SamAccountName                : COREBUDDY$
SID                           : S-1-5-21-3532647020-1821455699-3245163308-1104
UserPrincipalName             :

Еще один признак заключается в том, что заполняются определенные сообщения /var/log/lsass.d.log , как показано ниже:

2023-04-14T02:40:07.877593+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:07.877656+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.
2023-04-14T02:40:23.903189+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Failed to read msDS-SupportedEncryptionTypes for account CN=NINEFIVEOH,CN=Computers,DC=testdomain,DC=local
2023-04-14T02:40:23.903268+00:00 <30.3> ninefiveoh-1(id1) lsass[13628]: [lsass] Error 40044 (symbol: LW_ERROR_NO_SUCH_DOMAIN) occurred while putting an LDAP connection back in the domain free list.

Чтобы убедиться в наличии именно этой проблемы, администратор должен проверить объект учетной записи компьютера для кластера в Active Directory. Это можно сделать одним из двух способов:

  • На контроллере домена откройте Active Directories Users and Computers (ADUC).
    1. На верхней ленте окна выберите Вид и нажмите Дополнительные функции.
    2. Щёлкните правой кнопкой мыши по объекту , перейдите на вкладку Редактор атрибутов (Attribute Editor ) и прокрутите экран, чтобы найти msDS-SupportedEncryptionTypes атрибут.
    3. Дважды щелкните поле Атрибут и проверьте десятичное число, указанное в новом окне.
  • Используйте следующую команду PowerShell на контроллере домена с правильным именем учетной записи компьютера. 
    Get-ADComputer -Identity <machine account name> -Properties msDS-SupportedEncryptionTypes

В указанных выше случаях для решения проблемы администраторам необходимо использовать учетную запись в Active Directory с привилегиями уровня домена.

Cause

Ручное удаление msDS-SupportedEncryptionTypes в объекте учетной записи компьютера кластера приводит к тому, что Active Directory сообщает значение NULL. Это приводит к сбою проверок в новом коде в рамках пакета улучшений для лучшей поддержки безопасности.

Более старые кластеры, которые присоединились к Active Directory без задания этого значения, также могут быть подвержены этой проблеме. Это связано с тем, что до тех пор, пока не было выполнено повторное присоединение к Active Directory, значение не устанавливается.

Resolution

Временное решение.
Измените атрибут на значение, отличное от пустого. Безопасным вариантом является выбор значения по умолчанию 31 или 24, в зависимости от требований безопасности. Это можно сделать с помощью пользовательского интерфейса или PowerShell. 

Список значений и поддерживаемых ими типов шифрования можно найти в блоге на веб-сайте Майкрософт. Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies. 

Для присвоения значения атрибуту администратор Active Directory на контроллере домена может использовать следующую команду (с правильным именем учетной записи компьютера и целым числом).

Set-ADComputer -Identity COMPUTERNAME$ -Add @{'msDS-SupportedEncryptionTypes'="<INTEGER>"}

В приведенном ниже примере задается параметр msDS-SupportedEncryptionTypes атрибуту со значением по умолчанию 31 для учетной записи компьютера кластера NINEFIVEOH$:

Set-ADComputer -Identity NINEFIVEOH$ -Add @{'msDS-SupportedEncryptionTypes'="31"}

После применения изменений они должны быть реплицированы на все контроллеры домена в среде Active Directory. Для устранения этого условия может потребоваться обновление аутентификации или перезапуск целевого LSASS в кластере. 

Специалисты инженерного отдела Dell опубликовали улучшения кода в OneFS 9.5.0.3, которые решают эту проблему. Администраторы могут по-прежнему сталкиваться с сбоем предварительных проверок модернизации IOCA, если перед обновлением не было задано значение. Если администратор ограничил права кластера в AD на изменение атрибутов, он ДОЛЖЕН вручную обновить атрибут перед выполнением любых действий по обновлению. Если не обновить атрибут перед модернизацией, когда кластер не имеет достаточных для этого прав, данные станут недоступными.


Примечание. Для OneFS 9.5 и более поздних версий требуется атрибут msDS-SupportedEncryptionTypes. Администраторам, использующим версии Windows Server, которые не имеют или не поддерживают этот атрибут, необходимо модернизировать контроллеры домена. Временное решение для этого требования отсутствует. Отсутствие контроллеров домена в поддерживаемых версиях Windows Server до модернизации OneFS может привести к недоступности данных.

Additional Information

Ниже приведены некоторые рекомендуемые ресурсы по этой теме, которые могут представлять интерес.

 

Affected Products

PowerScale OneFS
Article Properties
Article Number: 000212387
Article Type: Solution
Last Modified: 25 Aug 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.