PowerScale: OneFS: Selektive Authentifizierung: ERROR_AUTHENTICATION_FIREWALL_FAILED
Resumen: Die Authentifizierung schlägt aufgrund der selektiven Authentifizierung mit dem folgenden Fehler fehl: ERROR_AUTHENTICATION_FIREWALL_FAILED
Síntomas
Beim Versuch, Active Directory-Objekte aus einer vertrauenswürdigen Domäne abzufragen, erzeugt ein PowerScale-Cluster in einer vertrauenswürdigen Domäne einen Fehler. Dies kann dazu führen, dass keine Nutzerobjekte zu Freigabeberechtigungen, ACLs usw. hinzugefügt werden können.
Die folgenden Einträge werden in lsass-Protokollen angezeigt:
lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)
Dieser Fehler wird möglicherweise angezeigt, während der Befehl isi auth mapping token für das Nutzerobjekt in der vertrauenswürdigen Domain ausgeführt wird:
# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user
Dieser Fehler wird im Beispiel für das Hinzufügen eines Benutzerobjekts zu Freigabeberechtigungen angezeigt:
# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'
Die Paketerfassungen werden wie folgt angezeigt:
347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839
Dieses Problem tritt auf, wenn die selektive Authentifizierung für die AD-Vertrauensstellungen aktiviert ist. Die selektive Authentifizierung ist eine Funktion, mit der der Domänenadministrator Vertrauensstellungen granular verwalten kann.
Trusts können wie folgt überprüft werden:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN
Tipp: Netdom bietet die beste Ausgabe, um dieses Problem zu beheben.
Causa
Die selektive Authentifizierung ist für die relevanten Vertrauensstellungen in Active Directory-Domänen und Trusts-Objekten aktiviert. Die Funktion wird in den folgenden Artikeln ausführlich beschrieben:
Sicherheitsüberlegungen für Trusts:
https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx
Konfigurieren der Einstellungen für die selektive Authentifizierung:
https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx
Resolución
Fügen Sie den betreffenden Nutzer oder die betreffende Gruppe zur Authentifizierungsberechtigung für das Clusterobjekt hinzu oder entfernen Sie die selektive Authentifizierung gemäß den folgenden Wissensdatenbank-Artikeln:
A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)https://support.microsoft.com/en-us/kb/2959395
Erteilen Sie die Berechtigung "Authentifizierung zugelassen" auf Computern in der vertrauenden Domäne oder Gesamtstruktur:
https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx