PowerScale: OneFS: Seçmeli Kimlik Doğrulama: ERROR_AUTHENTICATION_FIREWALL_FAILED
Resumen: Kimlik doğrulama, şu hatayı veren Seçmeli Kimlik Doğrulama nedeniyle başarısız oluyor: ERROR_AUTHENTICATION_FIREWALL_FAILED
Síntomas
Güvenilen bir Etki Alanından Active Directory nesnelerini sorgulamaya çalışırken, Güvenilen Etki Alanındaki bir PowerScale kümesi bir hata üretir. Bu, Paylaşım İzinleri, ACL'ler vb. için kullanıcı nesnelerinin eklenememesine neden olabilir.
lsass günlüklerinde aşağıdaki girdiler görünür:
lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)
Bu hata, Trusted Domain'deki kullanıcı nesnesi için isi auth mapping token komutunu çalıştırırken görüntülenebilir:
# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user
Bu hata, izinleri paylaşmak için kullanıcı nesnesi ekleme örneğinde görünür:
# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'
Paket yakalamaları aşağıdaki gibi gösterilir:
347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839
Bu sorun, AD Güvenlerinde Seçmeli Kimlik Doğrulamanın etkinleştirilmesinin bir sonucu olarak oluşur. Seçici Kimlik Doğrulama, Etki Alanı Yöneticisinin Güvenleri ayrıntılı bir şekilde yönetebilmesini sağlayan bir özelliktir.
Güvenler aşağıdaki şekilde doğrulanabilir:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN
Ipucu: Netdom, bu sorunu gidermek için en iyi çıktıyı sağlar.
Causa
Seçmeli Kimlik Doğrulama, Active Directory Etki Alanları ve Güven nesnelerindeki ilgili güven alanlarında etkinleştirilir. Bu özellik aşağıdaki makalelerde ayrıntılı olarak açıklanmaktadır:
Güvenler için Güvenlik Konuları:
https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx
Seçmeli Kimlik Doğrulama Ayarlarını Yapılandırma:
https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx
Resolución
Söz konusu Kullanıcı veya Grubu Küme Nesnesi için Kimlik Doğrulama İznine İzin Verildi alanına ekleyin ya da aşağıdaki kb'lere göre Seçmeli Kimlik Doğrulamayı kaldırın:
A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)https://support.microsoft.com/en-us/kb/2959395
Güvenen Etki Alanı veya Ormandaki Bilgisayarlarda "Kimlik Doğrulamasına İzin Verilen" izni verin:
https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx