PowerScale: OneFS: На сервері AD відсутні необхідні сповіщення SPN для NFS HTTP HDFS
概要: Іноді адміністратори можуть спостерігати попередження, які вказують на те, що імена керівників служб для служб NFS, HTTP або HDFS відсутні.
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
За певних умов може бути згенеровано сповіщення про відсутність SPN. Перевірка SPN зазвичай виконується після настання таких подій у кластері:
- Перезавантаження кластера або вузла
- Процеси та/або служби CELOG скидаються
- Періодичні перевірки CELOG через монітор CELOG
- Додавання нового постачальника AD
- Зміна конфігурації мережі (якщо пул налаштований з назвами та псевдонімами зон SmartConnect)
AD server missing needed SPN(s) HOST/sczone.domain.com, HOST/sczone, nfs/sczone.domain.com, nfs/sczone, hdfs/sczone.domain.com, hdfs/sczone; try 'isi auth ads spn check'
原因
Система оповіщення CELOG періодично перевіряє кожного постачальника AD, щоб переконатися, що SPN належним чином зареєстровані, і може повідомляти про те, що SPN «відсутні». Це також відбувається під час запуску під час завантаження вузлів.
Логіка, яка використовується при перевірці CELOG, полягає в наступному:
Логіка, яка використовується при перевірці CELOG, полягає в наступному:
- Для кожного постачальника AD перевірте наявні зареєстровані SPN за налаштованими назвами та псевдонімами зон SmartConnect. Якщо пул із налаштованим ім'ям зони SmartConnect було змінено (наприклад, включено новий псевдонім), то перевірка SPN за постачальником AD звіриться з оновленою інформацією.
- У попередніх версіях OneFS, якщо будь-який експорт NFS було налаштовано, має присмак безпеки «krb5», буде вважатися, що NFS SPN потрібні для кожної зони/псевдоніма SC. Починаючи з версій 8.0.0.5/8.0.1.2/8.1.0.1 і пізніших версій, NFS вважається відсутньою за замовчуванням (якщо її ще не зареєстровано). Прибрано перевірку безпеки експорту NFS.
- Якщо HDFS ліцензовано, OneFS припускає, що HDFS SPN потрібні для кожної зони/псевдоніма SC. Це вірно, навіть якщо сама служба не включена на кластері.
- Перевірки HTTP SPN виконуються автоматично незалежно від конфігурації кластера, оскільки службу ввімкнено за замовчуванням. Особливих умов для перевірки HTTP SPN немає.
Примітка: CELOG та
isi auth ads spn check є взаємовиключними один з одним і використовують різні функції або логіку для визначення відсутніх SPN. Наприклад, об'єкт isi auth ads spn check не перевіряє SPN на основі NFS, HTTP або HDFS. Зони СК без відповідного СПН вважаються відсутніми.
解決方法
Саме оповіщення має рекомендаційний характер і стосується одного або кількох доменів AD. SPN не обов'язково потрібні з точки зору OneFS, за винятком самої назви кластера, яка реєструється за замовчуванням. Такі SPN за замовчуванням ніколи не слід видаляти. Скоріше, вони потрібні для того, щоб клієнти могли підключатися до кластера за допомогою автентифікації Kerberos через SMB, NFS або HDFS. Kerbero з SMB підпадають під дію SPN HOST, оскільки CIFS знаходиться під егідою області SPN HOST.
Перегляньте посібники з адміністрування вашої версії OneFS на сторінці PowerScale OneFS Info Hubs, щоб дізнатися, як керувати SPN із кластера.
В іншому випадку оповіщення може бути проігноровано, якщо SPN буде визнано непотрібним, або їх можна зареєструвати, щоб запобігти появі оповіщення в майбутньому.
Перегляньте посібники з адміністрування вашої версії OneFS на сторінці PowerScale OneFS Info Hubs, щоб дізнатися, як керувати SPN із кластера.
В іншому випадку оповіщення може бути проігноровано, якщо SPN буде визнано непотрібним, або їх можна зареєструвати, щоб запобігти появі оповіщення в майбутньому.
対象製品
PowerScale OneFS製品
PowerScale OneFS文書のプロパティ
文書番号: 000167340
文書の種類: Solution
最終更新: 24 5月 2024
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。