PowerScale: OneFS: Selektiv autentisering: ERROR_AUTHENTICATION_FIREWALL_FAILED
Resumen: Autentiseringen misslyckas på grund av selektiv autentisering med felet: ERROR_AUTHENTICATION_FIREWALL_FAILED
Síntomas
När du försöker fråga Active Directory-objekt från en betrodd domän genererar ett fel ett PowerScale-kluster i en betrodd domän. Detta kan leda till att det inte går att lägga till användarobjekt i resursbehörigheter, ACL:er och så vidare.
Följande poster visas i lsass-loggar:
lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)
Det här felet kan visas när du kör kommandot, isi auth mapping token för användarobjektet i den betrodda domänen:
# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user
Det här felet visas i exemplet med att lägga till ett användarobjekt för att dela behörigheter:
# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'
Paketinsamlingarna visas på följande sätt:
347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839
Det här problemet uppstår som ett resultat av aktivering av selektiv autentisering på AD-förtroenden. Selektiv autentisering är en funktion där domänadministratören kan hantera förtroenden på ett detaljerat sätt.
Truster kan verifieras enligt följande:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN
Tips: Netdom ger det bästa resultatet för att felsöka det här problemet.
Causa
Selektiv autentisering är aktiverat för relevanta förtroenden i Active Directory-domäner och förtroendeobjekt. Funktionen beskrivs i detalj i artiklarna nedan:
Säkerhetsöverväganden för förtroenden:
https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx
Konfigurera inställningar för selektiv autentisering:
https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx
Resolución
Lägg till användaren eller gruppen i fråga i behörigheten Tillåts att autentisera för klusterobjektet eller ta bort selektiv autentisering per kb nedan:
A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)https://support.microsoft.com/en-us/kb/2959395
Bevilja behörigheten "Tillåts att autentisera" på datorer i domänen eller skogen med förtroende igen:
https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx