PowerScale:OneFS:AD 伺服器遺失 NFS HTTP HDFS 所需的 SPN 警示
概要: 系統管理員有時可能會觀察到警示,指出遺失 NFS、HTTP 或 HDFS 服務的服務主體名稱。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
在某些情況下,可能會生成缺少SPN的警報。SPN 檢查通常在群集上發生以下事件後執行:
- 叢集或節點已重新開機
- CELOG 程序及/或服務已重設
- 透過 CELOG 監控定期進行 CELOG 檢查
- 新增 AD 提供者
- 網路組態變更 (如果集區已設定 SmartConnect 區域名稱和別名)
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'
原因
CELOG 警示系統會定期檢查每個 AD 提供者,以確認 SPN 已正確註冊,並可能回報 SPN「遺失」。在啟動節點時,也會發生這種情況。
CELOG 檢查使用的邏輯如下:
CELOG 檢查使用的邏輯如下:
- 對於每個 AD 提供程式,請根據配置的 SmartConnect 區域名稱和別名檢查現有註冊的 SPN。如果配置了 SmartConnect 區域名稱的池被修改(例如,包括新的別名),則針對 AD 提供程式的 SPN 檢查將檢查更新的資訊。
- 在舊版的 OneFS 中,如果 設定的任何 NFS 匯出具有「krb5」安全風格,則假定每個 SC 區域/別名都需要 NFS SPN。自 8.0.0.5/8.0.1.2/8.1.0.1 及更新版本起,預設會假定 NFS 遺失 (若尚未註冊)。NFS 匯出安全特定規格檢查已移除。
- 如果 HDFS 已獲得授權,OneFS 會假定每個 SC 區域/別名都需要 HDFS SPN。即使群集上 未 啟用服務本身,也是如此。
- 無論群集配置如何,HTTP SPN 檢查都會自動完成,因為預設情況下該服務處於啟用狀態。HTTP SPN 檢查沒有特殊條件。
注意:CELOG 和
isi auth ads spn check 相互排斥,並使用不同的函數或邏輯來確定缺少的SPN。例如, isi auth ads spn check 命令不會檢查 NFS、HTTP 或 HDFS 型 SPN。假定缺少沒有相應 SPN 的 SC 區域 。
解決方法
警示本身為通報性質,適用於一或多個 AD 網域。從 OneFS 的角度來看,不一定需要 SPN,但預設註冊的叢集名稱本身除外。切勿刪除此類預設SPN。而是讓用戶端透過 SMB、NFS 或 HDFS 使用 Kerberos 驗證連線至叢集時,必須使用它們。具有 SMB 的 Kerberos 包含在主機 SPN 範圍內,因為 CIFS 屬於主機 SPN 範圍。
如需如何從叢集管理 SPN 的指示,請參閱 PowerScale OneFS 資訊中心的 OneFS 版本的管理指南。
否則,如果認為SPN是不必要的,則可以忽略警報,或者可以註冊它們以防止將來發出警報。
如需如何從叢集管理 SPN 的指示,請參閱 PowerScale OneFS 資訊中心的 OneFS 版本的管理指南。
否則,如果認為SPN是不必要的,則可以忽略警報,或者可以註冊它們以防止將來發出警報。
対象製品
PowerScale OneFS製品
PowerScale OneFS文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。