PowerFlex：MDM認証が有効になっている場合、SVM OS変換が失敗するSDS_AUTHENTICATION_FAILED

• SVM OS変換は完了しますが、SDSサービスがクラスターへの再接続に失敗します。
• クエリーSDSコマンドの出力 にはSVMがリストされていますが、その状態はDisconnectedです。
• MDMイベント ログにはSDS_RECONNECTED直後にエラーを伴うSDS_AUTHENTICATION_FAILEDが表示されます。"認証キーペアのロードに失敗しました":

  2025-10-10 16:20:36.649 SDS_RECONNECTED INFO SDS: Sds-esxi249.chronex.lab (ID 39c9b4dc00000003) reconnected
  2025-10-10 16:20:36.651 SDS_AUTHENTICATION_FAILED ERROR SDS: Sds-esxi249.chronex.lab (ID 39c9b4dc00000003) failed authentication (Failed loading the authentication key-pair)

• MDM認証が明示的に有効になっている(デフォルト構成ではない): 

  scli --query_all | grep -i "MDM connection"
  MDM connection authentication: Enabled

• MDMシステム クロックに誤った時刻(1970-01-01など)が表示され、NTP構成がないことが示される場合があります。
• Chronycトラッキングで「Offline」と報告されるか、有効なNTPソースが表示されません。

問題

• MDM認証が有効になっている間は、OS変換を完了できません。
• 変換されたSDSノードはオフラインのままになり、クラスターに再参加できません。
• SDS容量が欠落しているため、ストレージ プールが縮退状態になる可能性があります。

重要：MDM認証は、PowerFlexではデフォルトで無効になっています。この問題は、セキュリティを強化するために認証が明示的に有効になっている環境にのみ影響します。

MDM認証が有効になっている場合、SDSサービスはMDMと通信するために有効な証明書を必要とします。OSの変換中に、SDSサービスが再インストールされ、その証明書の認証情報は失われます。SDSが再接続を試みると、SDSが有効な証明書を提示できないため、MDM認証レイヤーは登録をブロックします。

また、NTPがMDMクラスター ノードで適切に構成されていない場合、システム クロックが正しくない可能性があります(通常は1970-01-01と表示されます)。無効なタイムスタンプで生成された証明書はMDMによって拒否され、証明書の発行失敗イベントが発生します。これにより、認証が再度有効になった後でも、証明書の生成が正常に行われなくなります。

OS変換プロセスではMDM認証ワークフローが自動的に処理されないため、認証の無効化、再接続の許可、証明書の再生成を行うには手動による介入が必要です。

1.OS変換を開始する前に、NTPがすべてのPowerFlex MDMノードで構成されていることを確認します。

chronyc tracking

Example:

svm-esxi246:~ # chronyc tracking
Reference ID    : 0AEA7154 (CGee-10-234-113-84.Chronex.lab)
Stratum         : 4
Ref time (UTC)  : Wed Oct 29 14:45:52 2025
System time     : 0.000019126 seconds slow of NTP time
Last offset     : -0.000027579 seconds
RMS offset      : 0.000036048 seconds
Frequency       : 10.327 ppm slow
Residual freq   : -0.062 ppm
Skew            : 0.298 ppm
Root delay      : 0.033223286 seconds
Root dispersion : 0.037000805 seconds
Update interval : 129.4 seconds
Leap status     : Normal

NTPが構成されていない場合は、NTPサーバーを構成して検証します。

chronyc add server 10.10.10.1 prefer
systemctl restart chronyd
chronyc tracking

2.MDM認証ステータスを確認します。

scli --query_all | grep -i "MDM connection"

Example:

scli --query_all | grep -i "MDM connection"
MDM connection authentication: Enabled

3.MDM認証が有効になっている場合は、OS変換を続行する前にMDM認証を一時的に無効にします。

scli --set_component_authentication_properties --dont_use_authentication

Example:

scli --query_all | grep -i "MDM connection" 
MDM connection authentication: Disabled

4.PFMPを使用してOS変換を実行します。

5.変換後にSDSがオンラインになることを確認します。予定：SDSのステータスがConnectedと表示されます。

scli --query_all_sds

6.SDSが正常に再接続されたら、MDM認証を再度有効にします(必要な場合)。

scli --set_component_authentication_properties --use_authentication

7.認証が有効になっていて、SDSがオンラインのままであることを確認します。予定：SDSのステータスが Connectedと表示されます。 

scli --query_all_sds

8.1つまたはすべてのSDSの証明書を再生成するには、次の手順を実行します。

For a Single SDS:
scli --generate_certificate --sds_id 39c9b4dc00000003--i_am_sure

For All SDS's:
for sds_id in $(scli --query_all_sds | grep "SDS ID:" | awk '{print $3}'); do scli --generate_certificate --sds_id $sds_id --i_am_sure; done
Successfully generated a new certificate
Successfully generated a new certificate
Successfully generated a new certificate
Successfully generated a new certificate

問題が発生するバージョン

PFMPの4.6.1