PowerScale. OneFS. Выборочная аутентификация: ERROR_AUTHENTICATION_FIREWALL_FAILED

Resumen: Сбой проверки подлинности из-за выборочной проверки подлинности с ошибкой: ERROR_AUTHENTICATION_FIREWALL_FAILED

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Síntomas

При попытке запросить объекты Active Directory из доверенного домена кластер PowerScale в доверенном домене выдает ошибку. Это может привести к тому, что пользовательские объекты не смогут добавлять объекты в разрешения общего ресурса, списки контроля доступа и т. д.

В журналах lsass отображаются следующие записи:

lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)



Эта ошибка может появиться во время выполнения команды isi auth mapping token для объекта пользователя в доверенном домене:

# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user



Эта ошибка появляется в примере добавления объекта пользователя к разрешениям общего ресурса:
 

# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'



Захват пакетов отображается следующим образом:
 

347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839



Эта проблема возникает в результате включения выборочной проверки подлинности в доверительных учреждениях Active Directory. Выборочная аутентификация — это функция, с помощью которой администратор домена может детально управлять трастами.

Трасты могут быть проверены следующим образом:

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN

Совет: Netdom обеспечивает наилучшие выходные данные для устранения этой проблемы.

Causa

Выборочная проверка подлинности включена для соответствующих объектов доверия в объектах Active Directory Domains и Trusts. Эта функция подробно описана в следующих статьях:

Соображения безопасности для трастов:

https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx

Настройка параметров выборочной аутентификации:

https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx

Resolución

Добавьте пользователя или группу, о которых идет речь, в список разрешений с разрешением на аутентификацию для объекта кластера или удалите выборочную проверку подлинности в соответствии с приведенными ниже статьями:

A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)

https://support.microsoft.com/en-us/kb/2959395

Предоставьте разрешение «Разрешено аутентифицировать» на компьютерах в доверенном домене или лесу:

https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx
 

Productos afectados

PowerScale OneFS

Productos

Isilon
Propiedades del artículo
Número del artículo: 000018338
Tipo de artículo: Solution
Última modificación: 25 nov. 2025
Versión:  7
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.