PowerScale. OneFS. На сервере Active Directory отсутствуют необходимые имена SPN ALERT ДЛЯ NFS HTTP HDFS

概要: Иногда администраторы могут наблюдать оповещения об отсутствии имен субъектов-служб для служб NFS, HTTP или HDFS.

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

При определенных условиях может создаваться оповещение об отсутствии имен SPN. Проверки SPN обычно выполняются после следующих событий в кластере:
  • Кластер или узел перезагружены
  • Процессы и/или сервисы CELOG сброшены
  • Периодические проверки CELOG с помощью монитора CELOG
  • Добавление нового поставщика AD
  • Изменение конфигурации сети (если для пула настроены имена и псевдонимы зон SmartConnect)
Кластер PowerScale OneFS сообщает следующее оповещение: 
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'

原因

Система оповещений CELOG периодически выполняет проверку каждого поставщика AD, чтобы убедиться, что SPN зарегистрированы правильно, и может сообщать об отсутствии SPN. Это также происходит при запуске при загрузке узлов.

Логика, используемая при проверке CELOG, выглядит следующим образом:
  1. Для каждого поставщика AD проверьте существующие зарегистрированные имена SPN по настроенным именам и псевдонимам зон SmartConnect. Если пул с настроенным именем зоны SmartConnect был изменен (например, включен новый псевдоним), то при проверке SPN поставщика Active Directory будет выполнена проверка обновленной информации.
  2. В более ранних версиях OneFS: если какой-либо экспортируемый каталог NFS был настроен с разновидностью безопасности «krb5», предполагается, что для каждой зоны/псевдонима SC требуются имена SPN NFS. Начиная с версии 8.0.0.5/8.0.1.2/8.1.0.1 и более поздних версий по умолчанию считается, что NFS отсутствует (если он еще не зарегистрирован). Проверки безопасности экспорта NFS были удалены.
  3. Если HDFS лицензируется, OneFS предполагает, что для каждой зоны/псевдонима SC требуются имена SPN HDFS. Это верно даже в том случае, если в кластере не включена сама служба.
  4. Проверки SPN HTTP выполняются автоматически независимо от конфигурации кластера, так как этот сервис включен по умолчанию. Особых условий для проверки имени субъекта-службы HTTP не предусмотрено.
Оповещение наиболее распространено при загрузке и/или повторной загрузке процессов, при перезагрузке кластера и при создании в кластере поставщика AD.
 
Примечание.: CELOG и isi auth ads spn check являются взаимоисключающими друг друга и используют различные функции или логику при определении отсутствующих SPN. Например, метод isi auth ads spn check не проверяет имена SPN на основе NFS, HTTP или HDFS. Предполагается, что зоны SC, для которых нет соответствующего SPN , считаются отсутствующими.

解決方法

Оповещение носит рекомендательный характер и применяется к одному или нескольким доменам AD. Имена SPN не являются обязательными с точки зрения OneFS, за исключением самого имени кластера, которое регистрируется по умолчанию. Такие имена SPN по умолчанию никогда не следует удалять. Они необходимы для того, чтобы клиенты могли подключаться к кластеру с помощью аутентификации Kerberos посредством SMB, NFS или HDFS. Kerberos с SMB относятся к имени HOST SPN, так как CIFS относится к области действия HOST SPN.

Инструкции по управлению именами SPN из кластера см. в руководствах по администрированию для вашей версии OneFS в информационных центрах PowerScale OneFS .

В противном случае оповещение может быть проигнорировано, если имена SPN будут признаны ненужными, или их можно зарегистрировать, чтобы предотвратить появление оповещения в будущем.

対象製品

PowerScale OneFS

製品

PowerScale OneFS
文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。