PowerScale: OneFS: Autenticación selectiva: ERROR_AUTHENTICATION_FIREWALL_FAILED

Resumen: La autenticación falla debido a la autenticación selectiva con el siguiente error: ERROR_AUTHENTICATION_FIREWALL_FAILED

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Síntomas

Cuando se intenta consultar objetos de Active Directory desde un dominio de confianza, un clúster PowerScale en un dominio de confianza produce un error. Esto puede provocar que no se puedan agregar objetos de usuario a los permisos de uso compartido, las ACL, etc.

Las siguientes entradas aparecen en los registros de lsass:

lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)



Este error puede aparecer mientras se ejecuta el comando isi auth mapping token para el objeto de usuario en el dominio de confianza:

# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user



Este error aparece en el ejemplo de cómo agregar un objeto de usuario a los permisos de recurso compartido:
 

# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'



Las capturas de paquetes se muestran de la siguiente manera:
 

347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839



Este problema se produce como resultado de la habilitación de la autenticación selectiva en las confianzas de AD. La autenticación selectiva es una función mediante la cual el administrador de dominio puede administrar las confianzas de manera granular.

Los fideicomisos se pueden verificar de la siguiente manera:

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN

Propina: Netdom proporciona la mejor salida para solucionar este problema.

Causa

La autenticación selectiva está habilitada en las confianzas pertinentes en los dominios de Active Directory y los objetos de confianza. La función se describe en detalle en los siguientes artículos:

Consideraciones de seguridad para fideicomisos:

https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx

Configuración de los ajustes de autenticación selectiva:

https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx

Resolución

Agregue el usuario o el grupo en cuestión al permiso Permitido para autenticar el objeto de clúster o elimine la autenticación selectiva según los artículos de la base de conocimientos que aparecen a continuación:

A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)

https://support.microsoft.com/en-us/kb/2959395

Otorgue el permiso "Permitido para autenticarse" en los equipos del bosque o dominio de confianza:

https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx
 

Productos afectados

PowerScale OneFS

Productos

Isilon
Propiedades del artículo
Número del artículo: 000018338
Tipo de artículo: Solution
Última modificación: 25 nov. 2025
Versión:  7
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.