PowerScale: OneFS: NFS HTTP HDFS için AD Sunucusu Eksik Gerekli SPN'ler Uyarısı
概要: Yöneticiler bazen NFS, HTTP veya HDFS hizmetleri için Hizmet Asıl Adlarının eksik olduğunu belirten uyarılar gözlemleyebilir.
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Belirli koşullarda, eksik SPN'ler için bir uyarı oluşturulabilir. SPN denetimleri genellikle kümede aşağıdaki olaylar gerçekleştikten sonra gerçekleştirilir:
- Küme veya düğüm yeniden başlatıldı
- CELOG işlemleri ve/veya hizmetleri sıfırlanır
- CELOG izleyicisi aracılığıyla periyodik CELOG denetimleri
- Yeni bir AD sağlayıcısının eklenmesi
- Ağ yapılandırma değişikliği (havuz, SmartConnect bölge adları ve diğer adlarıyla yapılandırılmışsa)
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'
原因
CELOG uyarı sistemi, SPN'lerin düzgün şekilde kaydedildiğini doğrulamak için her AD sağlayıcısı için düzenli aralıklarla bir denetim gerçekleştirir ve SPN'lerin "eksik" olduğunu bildirebilir. Bu, düğümleri başlatırken başlatma sırasında da oluşur.
CELOG kontrolünün kullandığı mantık şu şekildedir:
CELOG kontrolünün kullandığı mantık şu şekildedir:
- Her AD sağlayıcısı için mevcut kayıtlı SPN'leri yapılandırılmış SmartConnect bölge adları ve diğer adlarıyla karşılaştırarak kontrol edin. SmartConnect bölge adı yapılandırılmış havuz değiştirilirse (örneğin, yeni bir diğer ad dahil) AD sağlayıcısına yönelik bir SPN denetimi güncelleştirilmiş bilgileri kontrol eder.
- OneFS'nin önceki sürümlerinde, herhangi bir NFS dışa aktarımı "krb5" güvenlik özelliğine sahipse her SC bölgesi/diğer ad için NFS SPN'lerinin gerekli olduğu varsayılır. 8.0.0.5/8.0.1.2/8.1.0.1 ve sonraki sürümlerden itibaren, NFS'nin varsayılan olarak eksik olduğu varsayılır (önceden kayıtlı değilse). NFS dışa aktarma güvenliği özellik denetimleri kaldırıldı.
- HDFS lisanslıysa OneFS, her SC bölgesi/diğer adı için HDFS SPN'lerin gerekli olduğunu varsayar. Hizmetin kendisi kümede etkinleştirilmemiş olsa bile bu durum geçerlidir.
- Hizmet varsayılan olarak etkinleştirildiğinden HTTP SPN denetimleri, küme yapılandırmasından bağımsız olarak otomatik olarak gerçekleştirilir. HTTP SPN denetimi için özel bir koşul yoktur.
Not: CELOG ve
isi auth ads spn check birbirini dışlar ve eksik SPN'leri belirlerken farklı işlevler veya mantık kullanırlar. Örneğin, isi auth ads spn check komutunda NFS, HTTP veya HDFS tabanlı SPN'ler için denetim yoktur. Karşılık gelen SPN'si olmayan SC bölgelerinin eksik olduğu varsayılır.
解決方法
Uyarının kendisi doğası gereği öneridir ve bir veya daha fazla AD etki alanı için geçerlidir. SPN'ler, varsayılan olarak kaydedilen küme adı dışında, OneFS açısından gerekli olmayabilir. Bunlar gibi varsayılan SPN'ler asla kaldırılmamalıdır. Bunun yerine, istemcilerin SMB, NFS veya HDFS aracılığıyla Kerberos kimlik doğrulamasını kullanarak kümeye bağlanmaları için gereklidirler. CIFS, HOST SPN kapsamı çatısı altında olduğu için SMB'li Kerberos, HOST SPN kapsamındadır.
Kümeden SPN'leri yönetmeyle ilgili yönergeler için PowerScale OneFS Bilgi Merkezleri'ndeki OneFS sürümünüze yönelik yönetim kılavuzlarına bakın.
Aksi takdirde, SPN'lerin gereksiz olduğu düşünülürse uyarı yoksayılabilir veya gelecekte uyarıyı önlemek için kaydedilebilir.
Kümeden SPN'leri yönetmeyle ilgili yönergeler için PowerScale OneFS Bilgi Merkezleri'ndeki OneFS sürümünüze yönelik yönetim kılavuzlarına bakın.
Aksi takdirde, SPN'lerin gereksiz olduğu düşünülürse uyarı yoksayılabilir veya gelecekte uyarıyı önlemek için kaydedilebilir.
対象製品
PowerScale OneFS製品
PowerScale OneFS文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。