PowerScale: OneFS: AD-server mangler nødvendig SPN-varsel for NFS HTTP HDFS

概要: Administratorer kan noen ganger observere varsler som angir at tjenestens hovednavn for NFS-, HTTP- eller HDFS-tjenestene mangler.

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

Under visse forhold kan det genereres et varsel for manglende SPN-er. SPN-kontroller utføres vanligvis etter at følgende hendelser på klyngen oppstår:
  • Klynge eller node startet på nytt
  • CELOG prosesser og eller tjenester tilbakestilles
  • Periodiske CELOG-kontroller gjennom CELOG-skjermen
  • Tilføyelse av en ny AD-leverandør
  • Endring av nettverkskonfigurasjon (hvis utvalget er konfigurert med SmartConnect-sonenavn og aliaser)
En PowerScale OneFS-klynge rapporterer følgende varsel: 
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'

原因

CLOG-varslingssystemet kjører med jevne mellomrom en kontroll mot hver AD-leverandør for å verifisere at SPN-er er riktig registrert, og kan rapportere at SPN-er "mangler". Dette skjer også ved oppstart ved oppstart av noder.

Logikken som brukes av CELOG sjekken er som følger:
  1. For hver AD-leverandør kontrollerer du eksisterende registrerte SPN-er mot konfigurerte SmartConnect-sonenavn og aliaser. Hvis utvalget med et konfigurert SmartConnect-sonenavn ble endret (for eksempel inkludert et nytt alias), kontrolleres en SPN-kontroll mot AD-leverandøren mot den oppdaterte informasjonen.
  2. Hvis en NFS-eksport ble konfigurert i tidligere versjoner av OneFS har sikkerhetssmaken "krb5", vil man anta at NFS SPN-er er nødvendig for hver SC-sone/alias. Fra og med 8.0.0.5/8.0.1.2/8.1.0.1 og senere antas NFS å mangle som standard (hvis det ikke allerede er registrert). NFS-eksportsikkerheten ble fjernet.
  3. Hvis HDFS er lisensiert, antar OneFS at HDFS SPN-er er nødvendige for hver SC-sone/alias. Dette gjelder selv om selve tjenesten ikke er aktivert på klyngen.
  4. HTTP SPN-kontroller utføres automatisk uavhengig av klyngekonfigurasjon da tjenesten er aktivert som standard. Det er ingen spesielle betingelser for en HTTP SPN-sjekk.
Varselet er mest utbredt når prosessene lastes inn og/eller lastes inn på nytt, når klyngen startes på nytt, og når en AD-leverandør opprettes på klyngen.
 
Merk: CELOG og isi auth ads spn check utelukker hverandre og bruker forskjellige funksjoner eller logikk for å bestemme manglende SPN-er. Eksempel: isi auth ads spn check -kommandoen har ingen kontroller for NFS-, HTTP- eller HDFS-baserte SPN-er. SC-soner uten tilsvarende SPN antas å mangle.

解決方法

Selve varselet er veiledende og gjelder for ett eller flere AD-domener. SPN-er kreves ikke nødvendigvis fra et OneFS-perspektiv, bortsett fra selve klyngenavnet, som er registrert som standard. Slike standard-SPN-er skal aldri fjernes. De kreves i stedet for at klienter skal kunne koble til klyngen ved hjelp av Kerberos-godkjenning via SMB, NFS eller HDFS. Kerberos med SMB dekkes under HOST SPN, siden CIFS er under paraplyen HOST SPN-omfanget.

Se administrasjonsveiledningene for OneFS-versjonen din på PowerScale OneFS Info Hubs for instruksjoner om hvordan du administrerer SPN-er fra klyngen.

Ellers kan varselet ignoreres hvis SPN-ene anses som unødvendige, eller de kan registreres for å forhindre varselet i fremtiden.

対象製品

PowerScale OneFS

製品

PowerScale OneFS
文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。