PowerScale: OneFS: AD-server mangler Nødvendig SPNs-advarsel for NFS HTTP HDFS

概要: Administratorer kan nogle gange opleve advarsler, der angiver, at navnene på tjenesteprincipalen for NFS-, HTTP- eller HDFS-tjenesterne mangler.

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

Under visse omstændigheder kan der genereres en advarsel om manglende SPN'er. SPN-kontrol udføres typisk, når følgende hændelser på klyngen har fundet sted:
  • Klynge eller node genstartet
  • CELOG-processer og/eller -tjenester nulstilles
  • Periodiske CELOG-kontroller gennem CELOG-overvågningsenheden
  • Tilføjelse af en ny AD-udbyder
  • Ændring af netværkskonfiguration (hvis puljen er konfigureret med SmartConnect-zonenavne og -aliasser)
En PowerScale OneFS-klynge rapporterer følgende advarsel: 
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'

原因

CELOG-advarselssystemet kører regelmæssigt en kontrol mod hver AD-udbyder for at verificere, at SPN'er er korrekt registreret, og kan rapportere, at SPN'er "mangler". Dette sker også ved opstart ved opstart af noder.

Den logik, der anvendes ved CELOG-kontrollen, er som følger:
  1. For hver AD-udbyder skal du kontrollere eksisterende registrerede SPN er i forhold til konfigurerede SmartConnect-zonenavne og -aliasser. Hvis puljen med et SmartConnect-zonenavn konfigureret blev ændret (f.eks. inklusive et nyt alias), vil en SPN-kontrol mod AD-udbyderen kontrollere i forhold til de opdaterede oplysninger.
  2. I tidligere versioner af OneFS, hvis en NFS-eksport blev konfigureret har en 'krb5'-sikkerhedssmag, antages det, at NFS SPN'er er nødvendige for hver SC-zone/alias. Fra og med 8.0.0.5/8.0.1.2/8.1.0.1 og nyere antages NFS at mangle som standard (hvis den ikke allerede er registreret). NFS-eksportsikkerhedssmagskontrollerne blev fjernet.
  3. Hvis HDFS er licenseret, antager OneFS, at der kræves HDFS SPN'er for hver SC-zone/hvert SC-alias. Dette gælder, selvom selve tjenesten ikke er aktiveret på klyngen.
  4. HTTP SPN-kontroller udføres automatisk uanset klyngekonfigurationen, da tjenesten er aktiveret som standard. Der er ingen særlige betingelser for en HTTP SPN-kontrol.
Advarslen er mest udbredt, når processerne indlæses og/eller genindlæses, når klyngen genstartes, og når der oprettes en AD-udbyder på klyngen.
 
Bemærk: CELOG og isi auth ads spn check gensidigt udelukker hinanden og bruger forskellige funktioner eller logik til at bestemme manglende SPN'er. F.eks. isi auth ads spn check Kommandoen kontrollerer ikke NFS-, HTTP- eller HDFS-baserede SPN'er. SC-zoner uden tilsvarende SPN antages at mangle.

解決方法

Selve advarslen er vejledende og gælder for et eller flere AD-domæner. SPN'er er ikke nødvendigvis påkrævet fra et OneFS-perspektiv, bortset fra selve klyngenavnet, som er registreret som standard. Standard-SPN er som disse bør aldrig fjernes. De er snarere nødvendige, for at klienter kan oprette forbindelse til klyngen ved hjælp af Kerberos-godkendelse via SMB, NFS eller HDFS. Kerberos med SMB er dækket af HOST SPN, da CIFS er underlagt paraplyen af HOST SPN-omfanget.

Se administrationsvejledningerne til din version af OneFS på PowerScale OneFS-informationshubs for at få vejledning i, hvordan du administrerer SPN er fra klyngen.

Ellers kan advarslen blive ignoreret, hvis SPN'erne anses for unødvendige, eller de kan registreres for at forhindre advarslen i fremtiden.

対象製品

PowerScale OneFS

製品

PowerScale OneFS
文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。