Dell EMC Unity: "KDC에서 응답이 없음" 오류로 인해 CIFS 서버에 액세스할 수 없음(사용자 수정 가능)
Summary: 이 문서에서는 LDAP 환경에서 NAS 서버를 추가하거나 수정하려고 할 때 Kerberos 서비스 응답 문제를 확인하고 해결하는 데 필요한 단계를 설명합니다.
Symptoms
NAS 서버를 추가하거나 수정하는 작업을 실행하려고 하면 시스템에서 Kerberos 서비스에 대한 연결 문제를 나타내는 오류 메시지가 수신됩니다. 수신된 오류 메시지는 다음과 같아야 합니다.
WARNING: no response from KDC xx.xx.xx.xx
Unity 시스템의 로그 파일 내에서 다음 세부 정보를 찾을
수 있습니다.Unity Ktrace 로그(경로: /EMC/C4Core/log/c4_safe_ktrace.log)에서 다음 오류를 찾을 수 있습니다.
2018/08/20-15:48:29.177142 10 7FF16C907703 sade:KERBEROS: 4:[VDM] 경고: KDC xx.xx.xx.xx
2018/08/20-15:48:29.532994 5540 7FF16C96D705 sade:SMB에서 응답이 없습니다. 4:[VDM] 지원되지 않는 인증 모드: authMethod:4, kerberosSupport:1, negoMethod:0
2018/08/20-15:48:29.533033 40 7FF16C96D705 sade:SMB: 3:[VDM] OpenAndBind[NETLOGON] DC=xxx 실패:
Bind_OpenXFailed NO_SUCH_PACKAGE 2018/08/20-15:48:29.533042 10 7FF16C96D705 sade:SMB: 3:[VDM] DC=xxx 2018/08
/20-15:48:29.760148 6 7FF16C96D703 sade:KERBEROS: 3:[VDM] krb5_sendto_kdc:addr xx.xx.xx.xx의 udp RecvFromStream 실패 91
Unity EMCSystemLogFile.log(경로: /EMC/backend/log_shared) 시스템에서 다음 메시지를 보고합니다.
"2018-08-20T15:50:53.588Z" "xxx_spa" "Kittyhawk_safe" "356" "unix/spa/root" "WARN" "13:10380008" :: "도메인 xxx의 NAS 서버 xxx의 경우 DC xxx에 compname xxx DC=xxx Step='Logon IPC$' get Kerberos credential failed, gssError=Miscellaneous failure 오류가 있습니다. 요청한 영역의 KDC에 연결할 수 없습니다. . compname xxx DC=xxx Step='NETLOGON 보안 채널 열기' ' ' 'DC에서 NETLOGON 파이프를 열 수 없음: 상태=DOMAIN_CONTROLLER_NOT_FOUND '. " :: Category=감사 구성 요소=DART_SMB
Cause
- 방화벽/네트워크 구성 문제로 인해 트래픽이 차단됩니다.
- 환경 구성(도메인 컨트롤러, 스위치 및 Dell EMC Unity 디바이스)에서 MTU 크기 설정이 일치하지 않습니다.
따라서 도메인 컨트롤러의 Kerberos 티켓을 UDP를 통해 Data Mover/SP 인터페이스에 전달할 수 없습니다. 네트워크 추적에서 TGS-REQ만 있지만 TGS-REP는 없습니다.
Resolution
Dell EMC Unity 시스템에서 OE 4.2.x 이상이 실행 중인 경우 NAS 서버 매개변수 변경은 다음 서비스 명령을 통해 수행할 수 있습니다. svc_nas
이전 Dell EMC Unity OE 버전(4.0.x 또는 4.1.x)을 실행하는 경우 Unity OE를 타겟 또는 사용 가능한 최신 OE 버전으로 업그레이드하는 것이 좋습니다. KB 000489694(Dell EMC Unity OE 개정 매트릭스)를 참조하십시오.
이 작업을 실행하려면 다음 단계를 따르십시오.
- svc_nas ALL -param -f security -info kerbTcpProtocol명령을 실행하여 NAS 서버에 대한 Kerberos TCP 프로토콜 상태의 현재 상태를 확인합니다.
service@(없음) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol
SPA :
name = kerbTcpProtocol
facility_name = 보안
default_value = 0
current_value = 0
configured_value = 0
param_type = 전역
user_action = 없음
change_effective = 직접
범위 = (0,1)
description = 1=Kerberos는 TCP만 사용하고, 0=Kerberos는 UDP를 시도한 다음 TCP를 사용합니다.
SPB :
name = kerbTcpProtocol
facility_name = 보안
default_value = 0
current_value = 0
configured_value = 0
param_type = 전역
user_action = 없음
change_effective = 즉시
범위 = (0,1)
description = 1=Kerberos는 TCP만 사용하고, 0=Kerberos는 UDP를 시도한 다음 TCP를 사용합니다.
- kerbTcpProtocol 서비스의 현재 상태를 확인한 후 다음 명령을 사용하여 프로토콜 설정을 수정할 수 있습니다.
SPA : 완료
SPB : 완료
- 위의 수정이 수행되면 ALL -param -f security -info kerbTcpProtocol svc_nas 첫 번째 명령을 한 번 더 실행하여 설정이 모든 NAS 서버에 적용되었는지 확인합니다.
service@(없음) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol
SPA :
name = kerbTcpProtocol
facility_name = 보안
default_value = 0
current_value = 1
configured_value = 1
param_type = 전역
user_action = 없음
change_effective = 즉시
범위 = (0,1)
description = 1=Kerberos는 TCP만 사용하고, 0=Kerberos는 UDP를 시도한 다음 TCP를 사용합니다.
SPB :
name = kerbTcpProtocol
facility_name = 보안
default_value = 0
current_value = 1
configured_value = 1
param_type = 전역
user_action = 없음
change_effective = 즉시
범위 = (0,1)
description = 1=Kerberos는 TCP만 사용하고, 0=Kerberos는 UDP를 시도한 다음 TCP를 사용합니다.
중요 참고: 이 변경 사항은 즉시 적용되며 전체 시스템에 적용해야 합니다. 설정을 완전히 적용하기 위해 재부팅할 필요가 없습니다.