Vor ca. 3 Monaten hat Microsoft die finale Version seines Server-Betriebssystems, Windows Server 2025, offiziell veröffentlicht.
Inzwischen hat das sicher der ein oder andere schon mal in einer VM oder in einer virtuellen Lab-Umgebung getestet. Vielleicht plant ihr ja auch schon die produktive Einführung von Server 2025, weil ihr zum Beispiel eines der neuen Features nutzen wollt.
In diesem Zuge möchten wir euch auf ein aktuell noch bestehendes Problem im Zusammenhang mit ONTAP (und anderen nicht-Microsoft Betriebssystemen bzw. SMB Implementierungen) hinweisen.
Aktuell gibt es ein Problem, wenn man versucht, einen Domain Join einer ONTAP SVM zu einem Windows 2025 Domain Controller herzustellen. Der Domain Join wird dann fehlschlagen. Auch ein bereits existierender Domain Join wird, spätestens bei der regelmäßigen Passwort-Änderung des Computerkontos, nicht mehr auf den DC zugreifen können und somit effektiv aus der Domäne hinausfliegen.
Das ganze äußert sich in der Fehlermeldung KRB5KRB_AP_ERR_MODIFIED während des Domain Join Vorgangs. Auf der ONTAP CLI sieht das beispielsweise so aus:
cl1::*> vserver cifs create -vserver cifstest -cifs-server cifstest -domain demo.local
In order to create an Active Directory machine account for the CIFS server, you must supply the name and password of a Windows account with sufficient privileges to add computers to the "CN=Computers" container within the "DEMO.LOCAL" domain.
Enter the user name: Administrator
Enter the password:
Error: Machine account creation procedure failed
[ 25] Loaded the preliminary configuration.
[ 60] Created a machine account in the domain
[ 60] SID to name translations of Domain Users and Admins
completed successfully
[ 60] Successfully connected to ip 10.X.X.X, port 88 using
TCP
[ 63] Successfully connected to ip 10.X.X.X, port 464 using
TCP
**[ 107] FAILURE: Kerberos password set for
** 'CIFSTEST$@DEMO.LOCAL' failed with Message stream
** modified (KRB5KRB_AP_ERR_MODIFIED)
[ 109] Deleted existing account
'CN=CIFSTEST,CN=Computers,DC=demo,DC=local'Die Ursache davon wird von NetApp und Microsoft noch untersucht, Stand heute (15. Januar 2025) ist noch kein Bugfix in Sicht. Der Bug betriffrt alle ONTAP Versionen und wird unter CONTAP-347583 bei NetApp getrackt.
Als Workaround wird empfohlen, noch mindestens einen Windows 2022 Domain Controller in der Domäne zu behalten und diesen als Preferred DC im ONTAP zu hinterlegen:
cl1::> vserver cifs domain preferred-dc add -vserver cifstest -domain demo.local -preferred-dc dc4.demo.localWeitere Informationen (sobald sie verfügbar sind) werden wir in diesen Artikel integrieren.
Matthias Beller