PowerScale OneFS：OneFS 9.5.0より前のバージョンにロールバックした後にデータが使用不可になる

OneFSは、OneFS 9.5.0より前のバージョンからバージョン9.5.0以降にアップグレードする必要があります。

ロールバック後、認証ベースのデータ欠損が発生します。クラスターからドメイン ユーザーを一覧表示または表示できず、ユーザーは共有を開くことができません。

マシン アカウントのパスワードは、クラスターがドメイン コントローラーと通信するときに使用するものです。

OneFSバージョン9.5.0以降では、マシン アカウントのパスワードはKey Managerに格納され、以前のバージョンのOneFSではパスワードがpstoreに保存されます。

OneFS 9.5では、プロバイダーのマシン パスワードの有効期間設定に基づいてクラスター マシン アカウントのパスワードがアップデートされた場合、キー マネージャーでのみアップデートされ、pstoreではアップデートされません。

バージョンをOneFS 9.5.0より前のバージョンにロールバックした場合、古いバージョンではpstoreパスワードを使用することを余儀なくされるため、ドメイン コントローラーに提示されるマシン アカウントのパスワードが正しくなくなります。

lsass ログには、マシン アカウントのパスワードに問題があることを示す次のエントリが表示されます。

2023-08-10T11:52:23.435858+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328360 (Message: Preauthentication failed)
2023-08-10T11:52:23.435899+00:00 <30.3> CVSISILON1-1(id1) lsass[39396]: [lsass] Refresh TGT with new password failed
2023-08-10T11:52:23.435907+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [lsass] Old password expired, not using it
2023-08-10T11:52:23.436381+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [lsass] Failed to enumerate trusts at domain.com (error 31)
2023-08-10T11:52:23.436452+00:00 <30.3> CVSISILON1-1(id1) lsass[39396]: [lsass] Fatal error enumerating trusts for domain domain.com Error was ERROR_GEN_FAILURE (31)

マシン アカウントのパスワードが最後に更新されたのはいつかを確認するには、 dword.UnixLastChangeTime.value pstoreのプロバイダーの場合:

/ifs/.ifsvar/pstore.gc

これは、ドメイン コントローラー側のマシン アカウントのプロパティの下にも表示できます。

この問題に対処するには、ドメインからクラスターを削除し、ドメイン コントローラーからマシン アカウントを削除して、再参加します。これにより、新しいマシン アカウントのパスワードが作成され、アクセスが復元されます。

ドメインを離れて再度参加する前に、ユーザー マッピングをバックアップすることをお勧めします。

isi auth mapping dump --file=/ifs/data/Isilon_Support/mapping_bakup