PowerScale: OneFS: Uwierzytelnianie selektywne: ERROR_AUTHENTICATION_FIREWALL_FAILED
Resumen: Uwierzytelnianie nie powiodło się z powodu uwierzytelniania selektywnego z błędem: ERROR_AUTHENTICATION_FIREWALL_FAILED
Síntomas
Podczas próby wysłania zapytania do obiektów usługi Active Directory z domeny zaufanej klaster PowerScale w domenie ufnej zwraca błąd. Może to uniemożliwić dodawanie obiektów użytkownika do uprawnień udostępniania, list ACL itd.
W dziennikach lsass pojawiają się następujące wpisy:
lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)
Ten błąd może pojawić się podczas uruchamiania polecenia isi auth mapping token dla obiektu użytkownika w zaufanej domenie:
# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user
Ten błąd pojawia się w przykładzie dodawania obiektu użytkownika w celu udostępnienia uprawnień:
# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'
Przechwycone pakiety są wyświetlane w następujący sposób:
347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839
Ten problem występuje w wyniku włączenia selektywnego uwierzytelniania w zaufanych relacjach zaufania usługi AD. Uwierzytelnianie selektywne to funkcja, dzięki której administrator domeny może zarządzać relacjami zaufania w sposób szczegółowy.
Trusty mogą być weryfikowane w następujący sposób:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN
Wskazówka: Netdom zapewnia najlepsze dane wyjściowe do rozwiązania tego problemu.
Causa
Uwierzytelnianie selektywne jest włączone dla odpowiednich relacji zaufania w domenach i obiektach zaufania usługi Active Directory. Funkcja ta została szczegółowo opisana w poniższych artykułach:
Zagadnienia dotyczące bezpieczeństwa dla trustów:
https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx
Konfigurowanie ustawień uwierzytelniania selektywnego:
https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx
Resolución
Dodaj danego użytkownika lub grupę do uprawnienia Zezwolono na uwierzytelnianie obiektu klastra lub usuń uwierzytelnianie selektywne zgodnie z poniższymi artykułami bazy wiedzy:
A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)https://support.microsoft.com/en-us/kb/2959395
Przyznaj uprawnienie "Dozwolone uwierzytelnianie" na komputerach w domenie zaufania lub lesie:
https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx