PowerScale:OneFS: 选择性身份验证:ERROR_AUTHENTICATION_FIREWALL_FAILED
Resumen: 身份验证因选择性身份验证而失败,并显示以下错误:ERROR_AUTHENTICATION_FIREWALL_FAILED
Síntomas
尝试从受信任域查询 Active Directory 对象时,信任域中的 PowerScale 群集会生成错误。这可能会导致无法将用户对象添加到共享权限、ACL 等。
lsass 日志中显示以下条目:
lsass[85427]: [lsass] Ignoring failure enumerating trusts for forest , <CustomerDomain.com> Error was ERROR_AUTHENTICATION_FIREWALL_FAILED (1935)
运行命令 isi auth mapping token for the user object in the Trusted Domain 时可能会显示此错误:
# isi auth mapping token --user="CustomerDomain.com\\TestUserAccount"
Failed to map user 'CustomerDomain.com\TestUserAccount': No such user
在添加用户对象以共享权限的示例中出现此错误:
# isi smb shares permission create --share=ShareName --zone=ZoneName "CustomerDomain.com\\TestUserAccount"
Failed to create persona 'USER:CustomerDomain.com\TestUserAccount'
数据包捕获显示如下:
347 2015-12-02 13:38:59.050609 10.29.1.61 141.119.201.2 KRB5 21 196 KRB Error: KRB5KDC_ERR_POLICY NT Status: Unknown error code 0xc0000413 0.016839
在 AD 信任上启用选择性身份验证后,会出现此问题。选择性身份验证是一项功能,域管理员可以借此以精细的方式管理信任。
可以按如下方式验证信任:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753821(v=ws.11)?redirectedfrom=MSDN
提示:Netdom 提供了解决此问题的最佳输出。
Causa
对 Active Directory 域和信任关系对象中的相关信任启用选择性身份验证。以下文章中详细介绍了该功能:
信任的安全注意事项:
https://technet.microsoft.com/en-us/library/cc755321%28v=ws.10%29.aspx
配置选择性身份验证设置:
https://technet.microsoft.com/en-us/library/cc755844%28v=ws.10%29.aspx
Resolución
将相关用户或组添加到允许对群集对象进行身份验证权限,或根据以下 kb 删除选择性身份验证:
A TGS request for the krbtgt account fails with KDC_ERR_POLICY and an extended status of STATUS_AUTHENTICATION_FIREWALL_FAILED (0xC0000413)https://support.microsoft.com/en-us/kb/2959395
授予对信任域或林中的计算机的“允许进行身份验证”权限:
https://technet.microsoft.com/en-us/library/cc816733%28v=ws.10%29.aspx