Dell EMC Unity: Il server CIFS non è accessibile a causa dell'errore "No Response from KDC" (correggibile dall'utente)

Quando si tenta di eseguire un attività per aggiungere o modificare un server NAS, il sistema riceve un messaggio di errore che indica problemi di connessione al servizio Kerberos. Il messaggio di errore ricevuto dovrebbe essere il seguente:

WARNING: nessuna risposta da KDC xx.xx.xx.xx

All'interno dei file di registro del sistema Unity, è possibile individuare i seguenti dettagli:

Nei registri Ktrace di Unity (percorso: /EMC/C4Core/log/c4_safe_ktrace.log), è possibile trovare i seguenti errori:

2018/08/20-15:48:29.177142 10 7FF16C907703 sade:KERBEROS: 4:[VDM] AVVERTENZA: nessuna risposta da KDC xx.xx.xx.xx
2018/08/20-15:48:29.532994 5540 7FF16C96D705 sade:SMB: 4: [VDM] Modalità di autenticazione non supportata: authMethod:4, kerberosSupport:1, negoMethod:0
2018/08/20-15:48:29.533033 40 7FF16C96D705 sade:SMB: 3:[VDM] OpenAndBind[NETLOGON] DC=xxx non riuscito:
Bind_OpenXFailed NO_SUCH_PACKAGE 2018/08/20-15:48:29.533042 10 7FF16C96D705 sade:SMB: 3:[VDM] Impossibile aprire il file NETLOGON per DC=xxx
2018/08/20-15:48:29.760148 6 7FF16C96D703 sade:KERBEROS: 3:[VDM] krb5_sendto_kdc: udp RecvFromStream da addr xx.xx.xx.xx non riuscito 91

Nella EMCSystemLogFile.log Unity (Percorso: /EMC/backend/log_shared) il sistema riporterà il seguente messaggio:"2018-08-20T15:50:53.588Z" "xxx_spa" "Kittyhawk_safe" "356" "unix/spa/root" "WARN" "13:10380008" ::

"Per il server NAS xxx nel dominio xxx, il controller di dominio xxx contiene il seguente errore: compname xxx DC=xxx Step='Logon IPC$' get Kerberos credential failed, gssError=Miscellaneous failure. Impossibile contattare alcun KDC per l'area di autenticazione richiesta. . compname xxx DC=xxx Step='Apri NETLOGON Secure Channel' ' ' 'DC non può aprire la pipe NETLOGON: status=DOMAIN_CONTROLLER_NOT_FOUND '. " :: Categoria=Componente di controllo=DART_SMB

Questo problema può essere causato da uno dei seguenti fattori:

1. Problemi di configurazione del firewall/rete che causano il blocco del traffico.
2. Impostazioni delle dimensioni MTU non corrispondenti nella configurazione dell'ambiente (controller di dominio, switch e dispositivo Dell EMC Unity).

Di conseguenza, il ticket Kerberos del controller di dominio non può essere consegnato all'interfaccia Data Mover/SP tramite UDP. Dalla traccia di rete, è presente solo TGS-REQ ma nessun TGS-REP.

Per risolvere questa situazione, è possibile apportare una modifica alla configurazione per forzare il "server NAS" di Unity che si trova su uno storage processor a utilizzare TCP anziché UDP per le richieste di ticket Kerberos.

Se il sistema Dell EMC Unity esegue OE 4.2.x o versione successiva, le modifiche dei parametri del server NAS possono essere eseguite tramite il seguente comando di servizio: svc_nas
Se si esegue una versione precedente di Dell EMC Unity OE (4.0.x o 4.1.x), si consiglia di aggiornare Unity OE alla destinazione o alla versione più recente disponibile. Fare riferimento all'articolo 000489694 della Knowledge Base (Matrice delle revisioni di Dell EMC Unity OE).

Per eseguire questa attività, attenersi alla seguente procedura:

1. Eseguire il comando svc_nas ALL -param -f security -info kerbTcpProtocolper verificare lo stato corrente del protocollo TCP Kerberus per i server NAS.

service@(nessuna) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = sicurezza
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = nessuno
change_effective = intervallo immediato
= (0,1)
descrizione = 1=Kerberos utilizzerà solo TCP, 0=Kerberos tenterà UDP, quindi TCP

SPB:
nome = kerbTcpProtocol
facility_name = sicurezza
default_value = 0
current_value = 0
configured_value = 0
param_type = globale
user_action = nessuno
change_effective = intervallo immediato
= (0,1)
descrizione = 1=Kerberos utilizzerà solo TCP, 0=Kerberos tenterà UDP, quindi TCP

2. Dopo aver verificato lo stato corrente del servizio kerbTcpProtocol, è possibile utilizzare il seguente comando per modificare le impostazioni del protocollo:

SPA : fatto
SPB : fatto

3. Una volta eseguita la modifica precedente, eseguire nuovamente il primo comando svc_nas ALL -param -f security -info kerbTcpProtocol per verificare che le impostazioni siano state applicate a tutti i server NAS:

service@(nessuna) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos utilizzerà solo TCP, 0=Kerberos tenterà UDP, quindi TCP

SPB:
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos utilizzerà solo TCP, 0=Kerberos tenterà UDP, quindi TCP

NOTA IMPORTANTE: Questa modifica ha effetto immediato e deve essere applicata all'intero sistema. Non è necessario riavviare il sistema per applicare completamente le impostazioni.

Dell Unity 300, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500 , Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid ... View More View Less