PowerScale OneFS : Indisponibilité des données suite à une restauration vers des versions antérieures à OneFS 9.5.0

OneFS doit être mis à niveau à partir de versions antérieures à OneFS 9.5.0 vers les versions 9.5.0 ou ultérieures.

Après la restauration, il y a une indisponibilité des données basées sur l’authentification ; Impossible de répertorier ou d’afficher les utilisateurs de domaine à partir du cluster et les utilisateurs ne peuvent pas ouvrir de partages.

Le mot de passe du compte de machine est celui que le cluster utilise lors de la communication avec les contrôleurs de domaine.

Sur OneFS 9.5.0 et versions ultérieures, le mot de passe du compte de machine est stocké dans le gestionnaire de clés. Les versions précédentes de OneFS stockent le mot de passe dans le pstore. 

Dans OneFS 9.5, si le mot de passe du compte de la machine du cluster est mis à jour en fonction du paramètre Machine Password Lifespan sur le fournisseur, il est uniquement mis à jour dans le gestionnaire de clés, et non dans le magasin d’applications.

Si la version est restaurée vers une version antérieure à OneFS 9.5.0, le mot de passe du compte de machine présenté aux contrôleurs de domaine est désormais incorrect, car nous sommes obligés d’utiliser le mot de passe pstore sur les versions antérieures.

lsass Les journaux affichent les entrées suivantes indiquant qu’il existe des problèmes avec le mot de passe du compte de la machine :

2023-08-10T11:52:23.435858+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328360 (Message: Preauthentication failed)
2023-08-10T11:52:23.435899+00:00 <30.3> CVSISILON1-1(id1) lsass[39396]: [lsass] Refresh TGT with new password failed
2023-08-10T11:52:23.435907+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [lsass] Old password expired, not using it
2023-08-10T11:52:23.436381+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [lsass] Failed to enumerate trusts at domain.com (error 31)
2023-08-10T11:52:23.436452+00:00 <30.3> CVSISILON1-1(id1) lsass[39396]: [lsass] Fatal error enumerating trusts for domain domain.com Error was ERROR_GEN_FAILURE (31)

Pour savoir quand le mot de passe du compte de machine a été mis à jour pour la dernière fois, consultez le dword.UnixLastChangeTime.value Pour le fournisseur dans le pStore :

/ifs/.ifsvar/pstore.gc

Vous pouvez également l’afficher du côté du contrôleur de domaine, sous les propriétés du compte de l’ordinateur.

Pour résoudre ce problème, supprimez le cluster du domaine, supprimez le compte d’ordinateur des contrôleurs de domaine, puis rejoignez l’équipe. Cela crée un nouveau mot de passe de compte d’ordinateur et l’accès est restauré.

Avant de quitter le domaine et de le réintégrer, il est recommandé de sauvegarder les mappages d’utilisateurs.

isi auth mapping dump --file=/ifs/data/Isilon_Support/mapping_bakup