PowerScale: OneFS: AD-server ontbreekt benodigde SPN's Waarschuwing voor NFS HTTP HDFS

概要: Beheerders kunnen soms waarschuwingen waarnemen die aangeven dat de namen van de serviceprincipaal voor de NFS-, HTTP- of HDFS-services ontbreken.

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

Onder bepaalde omstandigheden kan een waarschuwing voor ontbrekende SPN's worden gegenereerd. SPN-controles worden doorgaans uitgevoerd nadat de volgende gebeurtenissen op het cluster zich hebben voorgedaan:
  • Cluster of knooppunt opnieuw opgestart
  • CELOG-processen en/of -services worden gereset
  • Periodieke CELOG-controles via de CELOG-monitor
  • Toevoeging van een nieuwe AD-provider
  • Wijziging netwerkconfiguratie (als de pool is geconfigureerd met SmartConnect-zonenamen en aliassen)
Een PowerScale OneFS cluster meldt de volgende waarschuwing: 
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'

原因

Het CELOG-waarschuwingssysteem voert periodiek een controle uit bij elke AD-provider om te controleren of SPN's correct zijn geregistreerd en kan melden dat SPN's 'ontbreken'. Dit gebeurt ook bij het opstarten bij het opstarten van knooppunten.

De logica die door de CELOG-controle wordt gebruikt, is als volgt:
  1. Controleer voor elke AD-provider bestaande geregistreerde SPN's aan de hand van geconfigureerde SmartConnect-zonenamen en aliassen. Als de pool met een geconfigureerde SmartConnect-zonenaam is gewijzigd (bijvoorbeeld door een nieuwe alias toe te voegen), dan zou een SPN-controle tegen de AD-provider controleren aan de hand van de bijgewerkte informatie.
  2. Als in eerdere versies van OneFS een NFS-export is geconfigureerd met een beveiligingssmaak krb5, wordt ervan uitgegaan dat NFS SPN's nodig zijn voor elke SC-zone/alias. Vanaf 8.0.0.5/8.0.1.2/8.1.0.1 en hoger wordt NFS standaard verondersteld te ontbreken (indien nog niet geregistreerd). De smaakcontroles voor NFS-exportbeveiliging zijn verwijderd.
  3. Als HDFS is gelicentieerd, gaat OneFS ervan uit dat HDFS SPN's nodig zijn voor elke SC-zone/alias. Dit geldt zelfs als de service zelf niet is ingeschakeld op het cluster.
  4. HTTP SPN-controles worden automatisch uitgevoerd, ongeacht de clusterconfiguratie, omdat de service standaard is ingeschakeld. Er zijn geen speciale voorwaarden voor een HTTP SPN-controle.
De waarschuwing komt het meest voor wanneer de processen worden geladen en/of opnieuw worden geladen, wanneer het cluster opnieuw wordt opgestart en wanneer een AD-provider op het cluster wordt gemaakt.
 
Opmerking: CELOG en isi auth ads spn check sluiten elkaar onderling uit en gebruiken verschillende functies of logica bij het bepalen van ontbrekende SPN's. Zo heeft de isi auth ads spn check De opdracht controleert niet op NFS-, HTTP- of HDFS-gebaseerde SPN's. SC-zones zonder bijbehorende SPN worden verondersteld te ontbreken.

解決方法

De waarschuwing zelf heeft een adviserend karakter en is van toepassing op een of meer AD-domeinen. SPN's zijn niet noodzakelijkerwijs vereist vanuit een OneFS-perspectief, behalve voor de clusternaam zelf, die standaard is geregistreerd. Standaard-SPN's zoals deze mogen nooit worden verwijderd. Ze zijn eerder vereist om clients verbinding te laten maken met het cluster met behulp van Kerberos-verificatie via SMB, NFS of HDFS. Kerberos met SMB vallen onder de HOST SPN omdat CIFS onder de paraplu van het HOST SPN-bereik valt.

Zie de beheerhandleidingen voor uw versie van OneFS op PowerScale OneFS Info Hubs voor instructies over het beheren van SPN's vanuit het cluster.

Anders kan de waarschuwing worden genegeerd als de SPN's overbodig worden geacht, of kunnen ze worden geregistreerd om de waarschuwing in de toekomst te voorkomen.

対象製品

PowerScale OneFS

製品

PowerScale OneFS
文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。