PowerScale OneFS: Недоступність даних після відкату до версій до OneFS 9.5.0

OneFS потрібно оновити з версій до OneFS 9.5.0 до версій 9.5.0 або новіших.

Після відкату виникає недоступність даних на основі аутентифікації; не вдається вивести список або переглянути користувачів домену з кластера, а користувачі не можуть відкривати спільні ресурси.

Пароль облікового запису комп'ютера – це те, що кластер використовує під час зв'язку з контролерами домену.

У OneFS версії 9.5.0 і новіших пароль облікового запису комп'ютера зберігається в диспетчері ключів, у попередніх версіях OneFS пароль зберігається в pstore. 

У OneFS 9.5, якщо пароль облікового запису кластерного комп'ютера оновлюється на основі параметра Термін дії пароля комп'ютера на надавачі послуг, він оновлюється лише в диспетчері ключів, а не в pstore.

Якщо версію відкотити до версії до OneFS 9.5.0, пароль облікового запису комп'ютера, який надається контролерам домену, тепер неправильний, оскільки ми змушені використовувати пароль pstore у старіших версіях.

lsass У журналах відображаються такі записи, які вказують на проблеми з паролем облікового запису комп'ютера:

2023-08-10T11:52:23.435858+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [LwKrb5GetTgtImpl /b/mnt/src/isilon/fsp/lwadvapi/threaded/krbtgt.c:247] KRB5 Error code: -1765328360 (Message: Preauthentication failed)
2023-08-10T11:52:23.435899+00:00 <30.3> CVSISILON1-1(id1) lsass[39396]: [lsass] Refresh TGT with new password failed
2023-08-10T11:52:23.435907+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [lsass] Old password expired, not using it
2023-08-10T11:52:23.436381+00:00 <30.4> CVSISILON1-1(id1) lsass[39396]: [lsass] Failed to enumerate trusts at domain.com (error 31)
2023-08-10T11:52:23.436452+00:00 <30.3> CVSISILON1-1(id1) lsass[39396]: [lsass] Fatal error enumerating trusts for domain domain.com Error was ERROR_GEN_FAILURE (31)

Щоб дізнатися, коли востаннє оновлювався пароль облікового запису комп'ютера, перевірте dword.UnixLastChangeTime.value Для провайдера в pstore:

/ifs/.ifsvar/pstore.gc

Це також можна переглянути на стороні контролера домену у властивостях облікового запису комп'ютера.

Щоб вирішити цю проблему, видаліть кластер із домену, видаліть обліковий запис комп'ютера з контролерів домену та знову приєднайтеся. Буде створено новий пароль облікового запису комп'ютера, і доступ буде відновлено.

Перш ніж покинути домен і знову приєднатися до нього, рекомендується створити резервну копію зіставлень користувачів.

isi auth mapping dump --file=/ifs/data/Isilon_Support/mapping_bakup