PowerScale OneFS: OneFS 9.5.0 이전 버전으로 롤백 후 데이터 가용성 손실

OneFS는 OneFS 9.5.0 이전 버전에서 9.5.0 이상 버전으로 업그레이드해야 합니다.

롤백 후 인증 기반 데이터를 사용할 수 없습니다. 클러스터에서 도메인 사용자를 나열하거나 볼 수 없으며 사용자가 공유를 열 수 없습니다.

컴퓨터 계정 암호는 클러스터가 도메인 컨트롤러와 통신할 때 사용하는 암호입니다.

OneFS 버전 9.5.0 이상에서는 시스템 계정 비밀번호가 Key Manager에 저장되고, 이전 버전의 OneFS에서는 비밀번호가 pstore에 저장됩니다. 

OneFS 9.5에서 클러스터 머신 계정 암호가 공급업체의 시스템 암호 수명 설정에 따라 업데이트되는 경우 pstore가 아니라 키 매니저에서만 업데이트됩니다.

버전이 OneFS 9.5.0 이전 버전으로 롤백되는 경우 이전 버전에서는 pstore 비밀번호를 사용해야 하므로 도메인 컨트롤러에 제공되는 시스템 계정 비밀번호가 올바르지 않습니다.

lsass 로그에는 컴퓨터 계정 암호에 문제가 있음을 나타내는 다음 항목이 표시됩니다.

2023-08-10T11:52:23.435858+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328360 (Message: Preauthentication failed)
2023-08-10T11:52:23.435899+00:00 <30.3> CVSISILON1-1(id1) lsass[39396]: [lsass] Refresh TGT with new password failed
2023-08-10T11:52:23.435907+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [lsass] Old password expired, not using it
2023-08-10T11:52:23.436381+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [lsass] Failed to enumerate trusts at domain.com (error 31)
2023-08-10T11:52:23.436452+00:00 <30.3> CVSISILON1-1(id1) lsass[39396]: [lsass] Fatal error enumerating trusts for domain domain.com Error was ERROR_GEN_FAILURE (31)

컴퓨터 계정 암호가 마지막으로 업데이트된 시간을 확인하려면 dword.UnixLastChangeTime.value pstore의 공급자의 경우:

/ifs/.ifsvar/pstore.gc

이는 도메인 컨트롤러 쪽에서 컴퓨터 계정의 속성 아래에서도 볼 수 있습니다.

이 문제를 해결하려면 도메인에서 클러스터를 제거하고 도메인 컨트롤러에서 컴퓨터 계정을 삭제한 다음 다시 가입합니다. 이렇게 하면 새 컴퓨터 계정 암호가 생성되고 액세스가 복원됩니다.

도메인을 떠났다가 다시 가입하기 전에 사용자 매핑을 백업하는 것이 좋습니다.

isi auth mapping dump --file=/ifs/data/Isilon_Support/mapping_bakup