Share via

Verificatieproblemen in Azure HDInsight

  • Artikel

In dit artikel worden de stappen voor probleemoplossing en mogelijke oplossingen beschreven voor problemen bij interactie met Azure HDInsight-clusters.

Wanneer domeingebruikers zich aanmelden bij de clusterservices via HDI Gateway (zoals aanmelden bij de Apache Ambari-portal), probeert HDI Gateway eerst een OAuth-token van Microsoft Entra te verkrijgen en vervolgens een Kerberos-ticket van Microsoft Entra Domain Services op te halen op beveiligde clusters die worden ondersteund door Azure Data Lake (Gen1 of Gen2). Verificatie kan mislukken in een van deze fasen. Dit artikel is gericht op het opsporen van fouten in een aantal van deze problemen.

Wanneer de verificatie mislukt, wordt u gevraagd om referenties. Als u dit dialoogvenster annuleert, wordt het foutbericht afgedrukt. Hier volgen enkele veelvoorkomende foutberichten:

invalid_grant of unauthorized_client, 50126

Probleem

Aanmelden mislukt voor federatieve gebruikers met foutcode 50126 (aanmelden slaagt voor cloudgebruikers). Foutbericht is vergelijkbaar met:

Reason: Bad Request, Detailed Response: {"error":"invalid_grant","error_description":"AADSTS70002: Error validating credentials. AADSTS50126: Invalid username or password\r\nTrace ID: 09cc9b95-4354-46b7-91f1-efd92665ae00\r\n Correlation ID: 4209bedf-f195-4486-b486-95a15b70fbe4\r\nTimestamp: 2019-01-28 17:49:58Z","error_codes":[70002,50126], "timestamp":"2019-01-28 17:49:58Z","trace_id":"09cc9b95-4354-46b7-91f1-efd92665ae00","correlation_id":"4209bedf-f195-4486-b486-95a15b70fbe4"}

Oorzaak

Foutcode 50126 van Microsoft Entra betekent dat het AllowCloudPasswordValidation beleid niet is ingesteld door de tenant.

Oplossing

De Globale Beheer istrator van de Microsoft Entra-tenant moet Microsoft Entra-id inschakelen voor het gebruik van wachtwoordhashes voor door ADFS ondersteunde gebruikers. Pas de AllowCloudPasswordValidationPolicy zoals weergegeven in het artikel Enterprise Security Package gebruiken in HDInsight toe.

invalid_grant of unauthorized_client, 50034

Probleem

Aanmelden mislukt met foutcode 50034. Foutbericht is vergelijkbaar met:

{"error":"invalid_grant","error_description":"AADSTS50034: The user account Microsoft.AzureAD.Telemetry.Diagnostics.PII doesn't exist in the 0c349e3f-1ac3-4610-8599-9db831cbaf62 directory. To sign into this application, the account must be added to the directory.\r\nTrace ID: bbb819b2-4c6f-4745-854d-0b72006d6800\r\nCorrelation ID: b009c737-ee52-43b2-83fd-706061a72b41\r\nTimestamp: 2019-04-29 15:52:16Z", "error_codes":[50034],"timestamp":"2019-04-29 15:52:16Z","trace_id":"bbb819b2-4c6f-4745-854d-0b72006d6800", "correlation_id":"b009c737-ee52-43b2-83fd-706061a72b41"}

Oorzaak

Gebruikersnaam is onjuist (bestaat niet). De gebruiker gebruikt niet dezelfde gebruikersnaam die wordt gebruikt in Azure Portal.

Oplossing

Gebruik dezelfde gebruikersnaam die in die portal werkt.

invalid_grant of unauthorized_client, 50053

Probleem

Gebruikersaccount is vergrendeld, foutcode 50053. Foutbericht is vergelijkbaar met:

{"error":"unauthorized_client","error_description":"AADSTS50053: You've tried to sign in too many times with an incorrect user ID or password.\r\nTrace ID: 844ac5d8-8160-4dee-90ce-6d8c9443d400\r\nCorrelation ID: 23fe8867-0e8f-4e56-8764-0cdc7c61c325\r\nTimestamp: 2019-06-06 09:47:23Z","error_codes":[50053],"timestamp":"2019-06-06 09:47:23Z","trace_id":"844ac5d8-8160-4dee-90ce-6d8c9443d400","correlation_id":"23fe8867-0e8f-4e56-8764-0cdc7c61c325"}

Oorzaak

Te veel aanmeldingspogingen met een onjuist wachtwoord.

Oplossing

Wacht 30 minuten of zo, stop alle toepassingen die mogelijk proberen te verifiëren.

invalid_grant of unauthorized_client, 50053 (#2)

Probleem

Wachtwoord is verlopen, foutcode 50053. Foutbericht is vergelijkbaar met:

{"error":"user_password_expired","error_description":"AADSTS50055: Password is expired.\r\nTrace ID: 241a7a47-e59f-42d8-9263-fbb7c1d51e00\r\nCorrelation ID: c7fe4a42-67e4-4acd-9fb6-f4fb6db76d6a\r\nTimestamp: 2019-06-06 17:29:37Z","error_codes":[50055],"timestamp":"2019-06-06 17:29:37Z","trace_id":"241a7a47-e59f-42d8-9263-fbb7c1d51e00","correlation_id":"c7fe4a42-67e4-4acd-9fb6-f4fb6db76d6a","suberror":"user_password_expired","password_change_url":"https://portal.microsoftonline.com/ChangePassword.aspx"}

Oorzaak

Het wachtwoord is verlopen.

Oplossing

Wijzig het wachtwoord in Azure Portal (op uw on-premises systeem) en wacht 30 minuten totdat de synchronisatie is ingehaald.

interaction_required

Probleem

Foutbericht ontvangen interaction_required.

Oorzaak

Het beleid voor voorwaardelijke toegang of MFA wordt toegepast op de gebruiker. Omdat interactieve verificatie nog niet wordt ondersteund, moet de gebruiker of het cluster worden uitgesloten van MFA/voorwaardelijke toegang. Als u ervoor kiest om het cluster (op IP-adres gebaseerd uitzonderingsbeleid) uit te sluiten, moet u ervoor zorgen dat de AD ServiceEndpoints is ingeschakeld voor dat vnet.

Oplossing

Gebruik beleid voor voorwaardelijke toegang en sluit de HDInsight-clusters uit van MFA, zoals wordt weergegeven in Een HDInsight-cluster configureren met Enterprise Security Package met behulp van Microsoft Entra Domain Services.

Aanmelden geweigerd

Probleem

Aanmelden is geweigerd.

Oorzaak

Om deze fase te bereiken, is uw OAuth-verificatie geen probleem, maar Kerberos-verificatie is dat wel. Als dit cluster wordt ondersteund door ADLS, is OAuth-aanmelding geslaagd voordat kerberos-verificatie wordt geprobeerd. In WASB-clusters wordt aanmelding bij OAuth niet geprobeerd. Er kunnen veel redenen zijn voor kerberos-fouten, zoals wachtwoordhashes zijn niet gesynchroniseerd, gebruikersaccount vergrendeld in Microsoft Entra Domain Services, enzovoort. Wachtwoordhashes worden alleen gesynchroniseerd wanneer de gebruiker het wachtwoord wijzigt. Wanneer u het Microsoft Entra Domain Services-exemplaar maakt, worden wachtwoorden gesynchroniseerd die na het maken zijn gewijzigd. Wachtwoorden die vóór de oprichting zijn ingesteld, kunnen niet met terugwerkende kracht worden gesynchroniseerd.

Oplossing

Als u denkt dat wachtwoorden mogelijk niet synchroon zijn, wijzigt u het wachtwoord en wacht u enkele minuten om te synchroniseren.

Probeer SSH uit te voeren in een poging om te verifiëren (kinit) met dezelfde gebruikersreferenties, vanaf een computer die lid is van het domein. SSH in het hoofd-/edge-knooppunt met een lokale gebruiker en voer vervolgens kinit uit.

kinit mislukt

Probleem

Kinit mislukt.

Oorzaak

Varieert.

Oplossing

Als u kinit wilt laten slagen, moet u uw sAMAccountName (dit is de korte accountnaam zonder de realm). sAMAccountName is meestal het accountvoorvoegsel (zoals bob in bob@contoso.com). Voor sommige gebruikers kan dit anders zijn. U hebt de mogelijkheid nodig om door de map te bladeren/ te zoeken om uw sAMAccountNamete leren.

Manieren om het volgende te vinden sAMAccountName:

  • Als u zich kunt aanmelden bij Ambari met behulp van de lokale Ambari-beheerder, bekijkt u de lijst met gebruikers.

  • Als u een windows-computer hebt die lid is van een domein, kunt u de standaardhulpprogramma's van Windows AD gebruiken om te bladeren. Hiervoor is een werkaccount in het domein vereist.

  • Vanuit het hoofdknooppunt kunt u SAMBA-opdrachten gebruiken om te zoeken. Hiervoor is een geldige Kerberos-sessie (geslaagde kinit) vereist. net ads search "(userPrincipalName=bob*)"

    In de zoekresultaten wordt het sAMAccountName kenmerk weergegeven. U kunt ook andere kenmerken bekijken, zoals pwdLastSet, badPasswordTimeuserPrincipalName enzovoort, om te zien of deze eigenschappen overeenkomen met wat u verwacht.

kinit mislukt met fout bij verificatie vooraf

Probleem

Kinit mislukt met Preauthentication fouten.

Oorzaak

Onjuiste gebruikersnaam of wachtwoord.

Oplossing

Controleer uw gebruikersnaam en wachtwoord. Controleer ook op andere beschreven eigenschappen. Als u uitgebreide foutopsporing wilt inschakelen, voert u deze uit export KRB5_TRACE=/tmp/krb.log vanuit de sessie voordat u kinit probeert.

Taak/HDFS-opdracht mislukt vanwege TokenNotFoundException

Probleem

Taak/HDFS-opdracht mislukt vanwege TokenNotFoundException.

Oorzaak

Het vereiste OAuth-toegangstoken is niet gevonden voor de taak/opdracht om te slagen. Het ADLS-/ABFS-stuurprogramma probeert het OAuth-toegangstoken op te halen uit de referentieservice voordat opslagaanvragen worden ingediend. Dit token wordt geregistreerd wanneer u zich met dezelfde gebruiker aanmeldt bij de Ambari-portal.

Oplossing

Zorg ervoor dat u zich eenmaal hebt aangemeld bij de Ambari-portal via de gebruikersnaam waarvan de identiteit wordt gebruikt om de taak uit te voeren.

Fout bij het ophalen van toegangstoken

Probleem

Gebruiker ontvangt een foutbericht Error fetching access token.

Oorzaak

Deze fout treedt af en toe op wanneer gebruikers toegang proberen te krijgen tot de ADLS Gen2 met behulp van ACL's en het Kerberos-token is verlopen.

Oplossing

  • Voor Azure Data Lake Storage Gen1 schoont u de browsercache op en meldt u zich opnieuw aan bij Ambari.

  • Voer /usr/lib/hdinsight-common/scripts/RegisterKerbTicketAndOAuth.sh <upn> voor Azure Data Lake Storage Gen2 uit voor de gebruiker die de gebruiker probeert aan te melden als

Volgende stappen

Als u uw probleem niet hebt gezien of uw probleem niet kunt oplossen, gaat u naar een van de volgende kanalen voor meer ondersteuning:

  • Krijg antwoorden van Azure-experts via de ondersteuning van De Azure-community.

  • Verbinding maken met @AzureSupport: het officiële Microsoft Azure-account voor het verbeteren van de klantervaring. Verbinding maken de Azure-community naar de juiste resources: antwoorden, ondersteuning en experts.

  • Als u meer hulp nodig hebt, kunt u een ondersteuningsaanvraag indienen via Azure Portal. Selecteer Ondersteuning in de menubalk of open de Help + ondersteuningshub . Raadpleeg hoe u een ondersteuning voor Azure aanvraag maakt voor meer informatie. Toegang tot abonnementsbeheer en factuurbeheer is in uw Microsoft Azure-abonnement inbegrepen, en technische ondersteuning wordt verstrekt via een van de Azure-ondersteuningsplannen.