PowerScale: OneFS: Вибіркова автентифікація: ERROR_AUTHENTICATION_FIREWALL_FAILED
Resumen: Автентифікація не проходить через вибіркову автентифікацію з помилкою: ERROR_AUTHENTICATION_FIREWALL_FAILED
Síntomas
Під час спроби запиту до об'єктів Active Directory з довіреного домену кластер PowerScale у довіречому домені створює помилку. Це може призвести до неможливості додавати користувацькі об'єкти до дозволів на спільне використання, ACL тощо.
У журналах lsass наведені такі записи:
lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)
Ця помилка може з'являтися під час виконання команди isi auth mapping token для об'єкта користувача в довіреному домені:
# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user
Ця помилка з'являється у прикладі додавання об'єкта користувача до доступу до доступу до спільного доступу:
# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'
Захоплення пакетів показується наступним чином:
347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839
Ця проблема виникає внаслідок увімкнення вибіркової автентифікації на довірчих системах AD. Вибіркова автентифікація — це функція, завдяки якій адміністратор домену може детально керувати трастами.
Трасти можуть бути перевірені наступним чином:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN
Порада: Netdom надає найкращий результат для усунення цієї проблеми.
Causa
Вибіркова автентифікація увімкнена на відповідних довірчих об'єктах Active Directory Domains та Trusts. Ця особливість детально описана у нижче наведених статтях:
Питання безпеки для трастів:
https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx
Налаштування параметрів вибіркової автентифікації:
https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx
Resolución
Додайте користувача або групу, про яку йдеться, до розділу Дозволено автентифікувати для кластерного об'єкта, або прибрати вибіркову автентифікацію за ключовими пунктами нижче:
A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)https://support.microsoft.com/en-us/kb/2959395
Надайте дозвіл «Дозволено автентифікувати» на комп'ютерах у довірчому домені або лісі:
https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx