PowerScale: OneFS: Selektivní ověřování: ERROR_AUTHENTICATION_FIREWALL_FAILED
Resumen: Ověřování se nezdaří kvůli výběrovému ověřování s chybou: ERROR_AUTHENTICATION_FIREWALL_FAILED
Síntomas
Při pokusu o dotazování objektů služby Active Directory z důvěryhodné domény dojde v clusteru PowerScale v důvěřující doméně k chybě. To může mít za následek, že nebude možné přidávat objekty uživatelů do oprávnění ke sdílení, seznamů ACL atd.
V protokolech lsass se zobrazí následující položky:
lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)
Tato chyba se může zobrazit při spuštění příkazu isi auth mapping token pro objekt uživatele v důvěryhodné doméně:
# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user
Tato chyba se zobrazí v příkladu přidání objektu uživatele pro sdílení oprávnění:
# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'
Zachytávání paketů se zobrazí takto:
347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839
K tomuto problému dochází v důsledku povolení výběrového ověřování ve vztazích důvěryhodnosti služby AD. Selektivní ověřování je funkce, pomocí které může správce domény spravovat vztahy důvěryhodnosti podrobným způsobem.
Svěřenské fondy lze ověřovat následujícím způsobem:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN
Tip: Netdom poskytuje nejlepší výstup pro řešení tohoto problému.
Causa
Výběrové ověřování je povoleno u příslušných vztahů důvěryhodnosti v doménách služby Active Directory a objektech vztahů důvěryhodnosti. Tato funkce je podrobně popsána v následujících článcích:
Důležité informace o zabezpečení vztahů důvěryhodnosti:
https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx
Konfigurace nastavení výběrového ověřování:
https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx
Resolución
Přidejte příslušného uživatele nebo skupinu do oprávnění Povoleno ověřovat pro objekt clusteru nebo odeberte výběrové ověřování podle níže uvedených znalostí:
A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)https://support.microsoft.com/en-us/kb/2959395
Udělte počítačům v důvěřující doméně nebo doménové struktuře oprávnění "Povoleno ověřování":
https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx