PowerScale：OneFS： 選択的認証: ERROR_AUTHENTICATION_FIREWALL_FAILED

信頼するドメインからActive Directoryオブジェクトをクエリーしようとすると、信頼するドメイン内のPowerScaleクラスターでエラーが発生します。これにより、共有権限、ACLなどにユーザー オブジェクトを追加できなくなる場合があります

lsassログには、次のエントリーが表示されます。

lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)

このエラーは、コマンド「信頼されたドメイン内のユーザー オブジェクトのisi auth mapping token:

# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user

このエラーは、ユーザー オブジェクトをアクセス許可を共有するために追加した例に表示されます。
 

# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'

パケット キャプチャは次のように表示されます。
 

347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839

この問題は、AD信頼構成で選択的認証を有効にした結果として発生します。選択的認証は、ドメイン管理者が信頼をきめ細かく管理できる機能です

信頼は、次のように検証できます。

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN

ヒント：Netdomは、この問題のトラブルシューティングに最適な出力を提供します。

選択的認証は、Active Directoryドメインおよび信頼オブジェクト内の関連する信頼で有効になります。この機能の詳細については、以下の記事を参照してください。

信頼のセキュリティに関する考慮事項:

https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx

選択的認証の設定:

https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx

対象のユーザーまたはグループをクラスター オブジェクトの認証権限に追加するか、以下のKBごとに選択的認証を削除します。

A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)

https://support.microsoft.com/en-us/kb/2959395

信頼する側のドメインまたはフォレスト内のコンピューターに "認証を許可" アクセス許可を付与します。

https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx