PowerScale: OneFS: Alerta de SPNs necessários de servidor AD para NFS HTTP HDFS

概要: Às vezes, os administradores podem observar alertas que indicam que os nomes da entidade de serviço para os serviços NFS, HTTP ou HDFS estão ausentes.

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

Em determinadas condições, pode ser gerado um alerta para SPNs em falta. As verificações SPN normalmente são executadas após a ocorrência dos seguintes eventos no cluster:
  • Cluster ou nó reiniciado
  • Os processos e/ou serviços CELOG são repostos
  • Verificações periódicas do CELOG através do monitor CELOG
  • Adição de um novo provedor do AD
  • Alteração na configuração da rede (se o agrupamento estiver configurado com nomes de zona e aliases SmartConnect)
Um cluster PowerScale OneFS reporta o seguinte alerta: 
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'

原因

O sistema de alerta CELOG executa periodicamente uma verificação em relação a cada provedor do AD para verificar se os SPNs estão registrados corretamente e pode relatar que os SPNs estão "ausentes". Isso também ocorre na inicialização ao inicializar nós.

A lógica utilizada pela verificação CELOG é a seguinte:
  1. Para cada fornecedor do AD, verifique os SPNs registados existentes em relação aos nomes e aliases de zona SmartConnect configurados. Se o pool com um nome de zona SmartConnect configurado tiver sido modificado (por exemplo, incluindo um novo alias), uma verificação do SPN em relação ao provedor do AD verificará as informações atualizadas.
  2. Em versões anteriores do OneFS, se qualquer exportação NFS configurada tiver um sabor de segurança 'krb5', presumirá que os SPNs NFS são necessários para cada zona/alias SC. A partir da versão 8.0.0.5/8.0.1.2/8.1.0.1 e posteriores, considera-se que o NFS está em falta por defeito (se ainda não estiver registado). As verificações de sabor de segurança de exportação NFS foram removidas.
  3. Se o HDFS for licenciado, o OneFS assumirá que os SPNs do HDFS são necessários para cada zona/alias SC. Isso é verdadeiro mesmo se o serviço em si não estiver habilitado no cluster.
  4. As verificações de HTTP SPN são feitas automaticamente, independentemente da configuração do cluster, pois o serviço está habilitado por padrão. Não há condições especiais para uma verificação HTTP SPN.
O alerta é mais prevalente quando os processos são carregados e/ou recarregados, quando o cluster é reiniciado e quando um provedor do AD é criado no cluster.
 
Nota: CELOG e isi auth ads spn check excluem-se mutuamente e utilizam diferentes funções ou lógicas na determinação de SPNs em falta. Por exemplo, o isi auth ads spn check não tem verificações para NFS, HTTP ou SPNs baseados em HDFS. Presume-se que as zonas SC sem SPN correspondente estão em falta.

解決方法

O alerta em si é de natureza consultiva e aplica-se a um ou mais domínios AD. Os SPNs não são necessariamente necessários de uma perspectiva OneFS, exceto para o próprio nome do cluster, que é registrado por padrão. SPNs padrão como esses nunca devem ser removidos. Em vez disso, eles são necessários para que os clientes se conectem ao cluster usando a autenticação Kerberos por meio de SMB, NFS ou HDFS. Kerberos com SMB são cobertos pelo SPN do HOST, pois o CIFS está sob o guarda-chuva do escopo do SPN do HOST.

Consulte os guias de administração para a sua versão do OneFS em PowerScale OneFS Info Hubs para obter instruções sobre como gerir SPNs a partir do cluster.

Caso contrário, o alerta pode ser ignorado se os SPNs forem considerados desnecessários ou se eles podem ser registrados para evitar o alerta no futuro.

対象製品

PowerScale OneFS

製品

PowerScale OneFS
文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。