PowerScale: OneFS: Alert dotyczący braku wymaganych nazw SPN serwera AD dla NFS HTTP HDFS

概要: Administratorzy mogą czasami obserwować alerty wskazujące brak głównych nazw usług NFS, HTTP lub HDFS.

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

W pewnych warunkach może zostać wygenerowany alert dotyczący brakujących nazw SPN. Kontrole nazwy SPN są zwykle wykonywane po wystąpieniu następujących zdarzeń w klastrze:
  • Klaster lub węzeł uruchomiony ponownie
  • Procesy i/lub usługi CELOG są resetowane
  • Okresowe kontrole CELOG za pośrednictwem monitora CELOG
  • Dodanie nowego dostawcy usługi AD
  • Zmiana konfiguracji sieci (jeśli pula jest skonfigurowana z nazwami stref i aliasami SmartConnect)
Klaster PowerScale OneFS zgłasza następujący alert: 
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'

原因

System alertów CELOG okresowo sprawdza każdego dostawcę usługi AD w celu sprawdzenia, czy nazwy SPN są prawidłowo zarejestrowane, i może zgłaszać "brak" nazw SPN. Dzieje się tak również podczas uruchamiania podczas uruchamiania węzłów.

Logika zastosowana w teście CELOG jest następująca:
  1. Dla każdego dostawcy usługi AD sprawdź istniejące zarejestrowane nazwy SPN pod kątem skonfigurowanych nazw stref i aliasów SmartConnect. Jeśli pula ze skonfigurowaną nazwą strefy SmartConnect została zmodyfikowana (na przykład w celu dodania nowego aliasu), sprawdzenie nazwy SPN u dostawcy usługi AD sprawdzi zaktualizowane informacje.
  2. We wcześniejszych wersjach OneFS, jeśli jakikolwiek eksport NFS został skonfigurowany z zabezpieczeniami "krb5", zakłada się, że nazwy SPN NFS są potrzebne dla każdej strefy/aliasu SC. Począwszy od wersji 8.0.0.5/8.0.1.2/8.1.0.1 i nowszych, NFS jest domyślnie uznawany za brakujący (jeśli nie został jeszcze zarejestrowany). Testy zabezpieczeń eksportowych NFS zostały usunięte.
  3. Jeśli system plików HDFS jest licencjonowany, OneFS zakłada, że nazwy SPN systemu plików HDFS są potrzebne dla każdej strefy/aliasu SC. Dzieje się tak nawet wtedy, gdy sama usługa nie jest włączona w klastrze.
  4. Sprawdzanie nazwy SPN HTTP jest wykonywane automatycznie niezależnie od konfiguracji klastra, ponieważ usługa jest domyślnie włączona. Nie ma specjalnych warunków sprawdzania nazwy SPN HTTP.
Alert jest najbardziej rozpowszechniony, gdy procesy są ładowane i/lub ponownie ładowane, po ponownym uruchomieniu klastra i po utworzeniu dostawcy usługi AD w klastrze.
 
Uwaga: CELOG oraz isi auth ads spn check wzajemnie się wykluczają i używają różnych funkcji lub logiki do określania brakujących nazw SPN. Na przykład isi auth ads spn check nie sprawdza nazw SPN opartych na NFS, HTTP lub HDFS. Zakłada się, że brakuje stref SC bez odpowiadającej im nazwy SPN.

解決方法

Sam alert ma charakter informacyjny i dotyczy co najmniej jednej domeny usługi AD. Nazwy SPN nie muszą być wymagane z punktu widzenia OneFS, z wyjątkiem samej nazwy klastra, która jest zarejestrowana domyślnie. Domyślne nazwy SPN, takie jak te, nigdy nie powinny być usuwane. Są one raczej wymagane, aby klienci mogli łączyć się z klastrem przy użyciu uwierzytelniania Kerberos za pośrednictwem protokołu SMB, NFS lub HDFS. Protokół Kerberos z protokołem SMB jest objęty nazwą SPN hosta, ponieważ CIFS znajduje się w zakresie nazwy SPN hosta.

Aby uzyskać instrukcje dotyczące zarządzania nazwami SPN z klastra, zapoznaj się z podręcznikami administracyjnymi dla danej wersji OneFS w centrach informacji PowerScale OneFS .

W przeciwnym razie alert może zostać zignorowany, jeśli nazwy SPN zostaną uznane za niepotrzebne, lub można je zarejestrować, aby zapobiec alertowi w przyszłości.

対象製品

PowerScale OneFS

製品

PowerScale OneFS
文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。