PowerScale: OneFS: AD-Server fehlt erforderliche SPNs-Warnmeldung für NFS HTTP HDFS

Unter bestimmten Bedingungen kann eine Warnmeldung für fehlende SPNs erzeugt werden. SPN-Prüfungen werden in der Regel durchgeführt, nachdem die folgenden Ereignisse auf dem Cluster aufgetreten sind:

• Neustart von Cluster oder Node
• CELOG-Prozesse und/oder Services werden zurückgesetzt
• Regelmäßige CELOG-Prüfungen über den CELOG-Monitor
• Hinzufügen eines neuen AD-Anbieters
• Änderung der Netzwerkkonfiguration (wenn der Pool mit SmartConnect-Zonennamen und -Aliasnamen konfiguriert ist)

Ein PowerScale OneFS-Cluster meldet die folgende Warnmeldung:

1. Überprüfen Sie für jeden AD-Anbieter vorhandene registrierte SPNs anhand der konfigurierten SmartConnect-Zonennamen und -Aliase. Wenn der Pool mit einem konfigurierten SmartConnect-Zonennamen geändert wurde (z. B. einschließlich eines neuen Alias), würde eine SPN-Prüfung des AD-Anbieters anhand der aktualisierten Informationen durchgeführt.
2. Wenn in früheren Versionen von OneFS ein NFS-Export mit der Sicherheitsvariante "krb5" konfiguriert wurde, wurde davon ausgegangen, dass NFS-SPNs für jede SC-Zone/jeden SC-Alias erforderlich sind. Ab 8.0.0.5/8.0.1.2/8.1.0.1 und höher wird davon ausgegangen, dass NFS fehlt (falls es nicht bereits registriert ist). Die Überprüfung der NFS-Export-Sicherheitsvariante wurde entfernt.
3. Wenn HDFS lizenziert ist, geht OneFS davon aus, dass HDFS-SPNs für jede SC-Zone/jeden SC-Alias erforderlich sind. Dies gilt selbst dann, wenn der Dienst selbst nicht auf dem Cluster aktiviert ist.
4. HTTP-SPN-Prüfungen werden unabhängig von der Clusterkonfiguration automatisch durchgeführt, da der Service standardmäßig aktiviert ist. Es gibt keine besonderen Bedingungen für eine HTTP-SPN-Prüfung.

Die Warnmeldung tritt am häufigsten auf, wenn die Prozesse geladen und/oder neu geladen werden, wenn der Cluster neu gestartet wird und wenn ein AD-Anbieter auf dem Cluster erstellt wird.
 

Die Warnmeldung selbst hat beratenden Charakter und gilt für eine oder mehrere AD-Domains. SPNs sind aus OneFS-Perspektive nicht unbedingt erforderlich, mit Ausnahme des Clusternamens selbst, der standardmäßig registriert ist. Solche Standard-SPNs sollten niemals entfernt werden. Stattdessen sind sie erforderlich, damit Clients mithilfe der Kerberos-Authentifizierung über SMB, NFS oder HDFS eine Verbindung zum Cluster herstellen können. Kerberos mit SMB werden unter dem HOST-SPN abgedeckt, da CIFS unter dem Dach des HOST-SPN-Bereichs liegt.

Anweisungen zum Managen von SPNs aus dem Cluster finden Sie in den Administrationshandbüchern für Ihre Version von OneFS unter PowerScale OneFS Info Hubs .

Andernfalls kann die Warnmeldung ignoriert werden, wenn die SPNs als unnötig erachtet werden, oder sie können registriert werden, um die Warnmeldung in Zukunft zu verhindern.