Dell EMC Unity : Le serveur CIFS est inaccessible en raison de l’erreur « Aucune réponse du KDC » (corrigible par l’utilisateur)

Lorsque vous tentez d’exécuter une tâche pour ajouter ou modifier un serveur NAS, un message d’erreur du système indique des problèmes de connexion au service Kerberos. Le message d’erreur reçu doit être le suivant :

ATTENTION : aucune réponse de KDC xx.xx.xx.xx

Dans les fichiers journaux du système Unity, les informations suivantes peuvent être trouvées :

Dans les journaux Ktrace Unity (chemin : /EMC/C4Core/log/c4_safe_ktrace.log), les erreurs suivantes peuvent se trouver ci-dessous :2018/08/20-15:48:29.177142 10 7FF16C907703 sade :KERBEROS :

4 :[VDM] WARNING : no response from KDC xx.xx.xx.xx
2018/08/20-15:48:29.532994 5540 7FF16C96D705 sade :SMB : 4 :[VDM] Unsupported authentication mode : authMethod :4, kerberosSupport :1, negoMethod :0
2018/08/20-15:48:29.533033 40 7FF16C96D705 sade :SMB : 3 :[VDM] OpenAndBind[NETLOGON] DC=xxx failed :
Bind_OpenXFailed NO_SUCH_PACKAGE 2018/08/20-15:48:29.533042 10 7FF16C96D705 sade :SMB : 3 :[VDM] Can’t open NETLOGON file for DC=xxx
2018/08/20-15:48:29.760148 6 7FF16C96D703 sade :KERBEROS : 3 :[VDM] krb5_sendto_kdc : udp RecvFromStream from addr xx.xx.xx.xx failed 91

Dans le EMCSystemLogFile.log Unity (chemin : /EMC/backend/log_shared), le système signale le message suivant :

"2018-08-20T15:50:53.588Z » « xxx_spa » « Kittyhawk_safe » « 356 » « unix/spa/root » « WARN » « 13:10380008 » :: "Pour le serveur NAS xxx dans le domaine xxx, le DC xxxprésente l’erreur suivante : compname xxx DC=xxx Step='Logon IPC$' get Kerberos credential failed, gssError=Miscellaneous failure. Impossible de contacter un KDC pour le domaine demandé. . compname xxx DC=xxx Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe : status=DOMAIN_CONTROLLER_NOT_FOUND '. " :: Category=Audit Component=DART_SMB

Ce problème peut être dû à l’un des facteurs suivants :

1. Problèmes de pare-feu/configuration réseau, entraînant le blocage du trafic.
2. Incompatibilité des paramètres de taille de MTU dans la configuration de l’environnement (contrôleurs de domaine, commutateur et appareil Dell EMC Unity).

Par conséquent, le ticket Kerberos du contrôleur de domaine ne peut pas être remis à l’interface Datamover/SP via UDP. Dans la trace réseau, il n’y a que TGS-REQ mais pas de TGS-REP.

Afin de résoudre ce problème, une modification de configuration peut être effectuée pour forcer le « serveur NAS » Unity situé sur un processeur de stockage à utiliser TCP au lieu d’UDP pour les demandes de ticket Kerberos.

Si le système Dell EMC Unity exécute OE 4.2.x ou une version ultérieure, les modifications des paramètres du serveur NAS peuvent être effectuées via la commande de maintenance suivante : svc_nas
Si vous exécutez une version antérieure de Dell EMC Unity OE (4.0.x ou 4.1.x), il est recommandé de mettre à niveau Unity OE vers la version cible ou la plus récente de l’OE disponible. Reportez-vous à l’article KB 000489694 (Dell EMC Unity OE revision Matrix).

Pour exécuter cette tâche, procédez comme suit :

1. Exécutez la commande svc_nas ALL -param -f security -info kerbTcpProtocolpour vérifier l’état actuel du protocole TCP Kerberus pour les serveurs NAS.

service@(none) spa :~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos n’utilisera que TCP, 0=Kerberos essaiera UDP, puis TCP

SPB :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos utilisera uniquement TCP, 0=Kerberos essaiera UDP, puis TCP

2. Lors de la vérification de l’état actuel du service kerbTcpProtocol, la commande suivante peut être utilisée pour modifier les paramètres de protocole :

SPA : done
SPB : done

3. Une fois la modification ci-dessus effectuée, exécutez à nouveau la première commande svc_nas ALL -param -f security -info kerbTcpProtocol pour vérifier que les paramètres ont été appliqués à tous les serveurs NAS :

service@(none) spa :~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos n’utilisera que TCP, 0=Kerberos essaiera UDP, puis TCP

SPB :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos n’utilisera que TCP, 0=Kerberos essaiera UDP, puis TCP

Remarque importante : Cette modification prend effet immédiatement et doit être appliquée à l’ensemble du système. Aucun redémarrage n’est nécessaire pour appliquer entièrement les paramètres.

Dell Unity 300, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500 , Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid ... View More View Less