PowerScale: OneFS: AD-server saknar nödvändiga SPN:er Varning för NFS HTTP HDFS

概要: Administratörer kan ibland observera aviseringar som anger att tjänstens huvudnamn för NFS-, HTTP- eller HDFS-tjänsterna saknas.

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

Under vissa förhållanden kan en avisering om saknade SPN genereras. SPN-kontroller utförs vanligtvis efter att följande händelser i klustret har inträffat:
  • Klustret eller noden startas om
  • CELOG-processer och/eller -tjänster återställs
  • Periodiska CELOG-kontroller via CELOG-monitorn
  • Tillägg av en ny AD-leverantör
  • Ändring av nätverkskonfiguration (om poolen har konfigurerats med SmartConnect-zonnamn och alias)
Ett PowerScale OneFS-kluster rapporterar följande varning: 
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'

原因

CELOG-varningssystemet kör regelbundet en kontroll mot varje AD-leverantör för att verifiera att SPN:er är korrekt registrerade och kan rapportera att SPN:er "saknas". Detta inträffar även vid start när noder startas.

Den logik som används vid CELOG-kontrollen är följande:
  1. För varje AD-provider kontrollerar du befintliga registrerade SPN:er mot konfigurerade SmartConnect-zonnamn och alias. Om poolen med ett konfigurerat SmartConnect-zonnamn har ändrats (till exempel inklusive ett nytt alias) kontrollerar en SPN-kontroll mot AD-leverantören mot den uppdaterade informationen.
  2. Om någon NFS-export har konfigurerats med säkerhetsvarianten "krb5" i tidigare versioner av OneFS förutsätter det att NFS-SPN behövs för varje SC-zon/alias. Från och med 8.0.0.5/8.0.1.2/8.1.0.1 och senare antas NFS saknas som standard (om det inte redan är registrerat). Smakkontrollerna för NFS-exportsäkerhet har tagits bort.
  3. Om HDFS är licensierat förutsätter OneFS att HDFS-SPN:er behövs för varje SC-zon/alias. Detta gäller även om själva tjänsten inte är aktiverad i klustret.
  4. HTTP SPN-kontroller görs automatiskt oavsett klusterkonfiguration eftersom tjänsten är aktiverad som standard. Det finns inga särskilda villkor för en HTTP SPN-kontroll.
Aviseringen är vanligast när processerna läses in och/eller läses in igen, när klustret startas om och när en AD-leverantör skapas i klustret.
 
Obs! CELOG och isi auth ads spn check utesluter varandra och använder olika funktioner eller logik för att fastställa saknade SPN. Till exempel isi auth ads spn check Kommandot har inga kontroller för NFS-, HTTP- eller HDFS-baserade SPN:er. SC-zoner utan motsvarande SPN antas saknas.

解決方法

Själva aviseringen är av rådgivande karaktär och gäller för en eller flera AD-domäner. SPN krävs inte nödvändigtvis ur ett OneFS-perspektiv, förutom själva klusternamnet, som är registrerat som standard. Standard-SPN:er som dessa bör aldrig tas bort. I stället krävs de för att klienter ska kunna ansluta till klustret med Kerberos-autentisering via SMB, NFS eller HDFS. Kerberos med SMB omfattas av HOST SPN eftersom CIFS ingår i HOST SPN-omfånget.

I administratörsmanualerna för din version av OneFS på PowerScale OneFS Info Hubs finns anvisningar om hur du hanterar SPN från klustret.

Annars kan aviseringen ignoreras om SPN:erna anses vara onödiga, eller om de kan registreras för att förhindra aviseringen i framtiden.

対象製品

PowerScale OneFS

製品

PowerScale OneFS
文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。