Dell EMC Unity: CIFS-server kan niet worden geopend vanwege de fout 'Geen reactie van KDC' (op te lossen door gebruiker)

Wanneer u probeert een taak uit te voeren om een NAS-server toe te voegen of te wijzigen, ontvangt u een foutmelding van het systeem die wijst op verbindingsproblemen met de Kerberos-service. De ontvangen foutmelding moet het volgende zijn:

WAARSCHUWING: geen reactie van KDC xx.xx.xx.xx

In de logbestanden van het Unity-systeem vindt u de volgende details:

In de Unity Ktrace-logboeken (Pad: /EMC/C4Core/log/c4_safe_ktrace.log), kunnen de volgende fouten hieronder worden gevonden:

2018/08/20-15:48:29.177142 10 7FF16C907703 sade:KERBEROS: 4:[VDM] WARNING: no response from KDC xx.xx.xx.xx
2018/08/20-15:48:29.532994 5540 7FF16C96D705 sade:SMB: 4:[VDM] Unsupported authentication mode: authMethod:4, kerberosSupport:1, negoMethod:0
2018/08/20-15:48:29.533033 40 7FF16C96D705 sade:SMB: 3:[VDM] OpenAndBind[NETLOGON] DC=xxx failed:
Bind_OpenXFailed NO_SUCH_PACKAGE 2018/08/20-15:48:29.533042 10 7FF16C96D705 sade:SMB: 3:[VDM] Can't open NETLOGON file for DC=xxx
2018/08/20-15:48:29.760148 6 7FF16C96D703 sade:KERBEROS: 3:[VDM] krb5_sendto_kdc: udp RecvFromStream from addr xx.xx.xx.xx failed 91

In de Unity EMCSystemLogFile.log (Pad: /EMC/backend/log_shared) rapporteert het systeem het volgende bericht:

"2018-08-20T15:50:53.588Z" "xxx_spa" "Kittyhawk_safe" "356" "unix/spa/root" "WARN" "13:10380008" :: "Voor de NAS-server xxx in het domein xxx heeft de DC xxx de volgende fout: compname xxx DC=xxx Step='Logon IPC$' get Kerberos credential failed, gssError=Miscellaneous failure. Kan geen contact opnemen met een KDC voor de aangevraagde realm. . compname xxx DC=xxx Step='Open NETLOGON Secure Channel' ' 'DC cannot open NETLOGON pipe: status=DOMAIN_CONTROLLER_NOT_FOUND '. " :: Category=Audit Component=DART_SMB

Dit probleem kan worden veroorzaakt door een van de volgende factoren:

1. Problemen met de firewall/netwerkconfiguratie, waardoor het verkeer wordt geblokkeerd.
2. Instellingen voor MTU-grootte komen niet overeen in de omgevingsconfiguratie (domeincontrollers, switch en Dell EMC Unity apparaat).

Als gevolg hiervan kan het Kerberos-ticket van de domeincontroller niet via UDP aan de Datamover/SP-interface worden geleverd. Vanuit de netwerktracering is er alleen TGS-REQ, maar geen TGS-REP.

Om deze situatie aan te pakken, kan een configuratiewijziging worden uitgevoerd om de Unity 'NAS-server' op een storageprocessor te dwingen TCP te gebruiken in plaats van UDP voor Kerberos-ticketaanvragen.

Als OE 4.2.x of hoger op het Dell EMC Unity systeem wordt uitgevoerd, kunnen de wijzigingen in de NAS-serverparameters worden aangebracht via de volgende serviceopdracht: svc_nas
Als u een oudere Dell EMC Unity OE-versie (4.0.x of 4.1.x) gebruikt, wordt aanbevolen om de Unity OE te upgraden naar de doelversie of de nieuwste OE-versie die beschikbaar is. Raadpleeg KB 000489694 (Dell EMC Unity OE revisiematrix).

Voer de volgende stappen uit om deze taak uit te voeren:

1. Voer de opdracht uit svc_nas ALL -param -f security -info kerbTcpProtocolom de huidige status van de Kerberus TCP Protocol status voor de NAS-servers te controleren.

service@(geen) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = beveiliging
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = geen
change_effective = direct
bereik = (0,1)
description = 1=Kerberos gebruikt alleen TCP, 0=Kerberos probeert UDP, daarna TCP

SPB :
name = kerbTcpProtocol
facility_name = beveiliging
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = geen
change_effective = direct
bereik = (0,1)
description = 1=Kerberos gebruikt alleen TCP, 0=Kerberos probeert UDP, daarna TCP

2. Na verificatie van de huidige status van de kerbTcpProtocol-service, kan de volgende opdracht worden gebruikt om de protocolinstellingen te wijzigen:

SPA : gedaan
SPB : klaar

3. Zodra de bovenstaande wijziging is uitgevoerd, voert u de eerste opdracht nogmaals uit svc_nas ALL -param -f security -info kerbTcpProtocol om te valideren dat de instellingen zijn toegepast op alle NAS-servers:

service@(geen) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = beveiliging
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = geen
change_effective = direct
bereik = (0,1)
description = 1=Kerberos gebruikt alleen TCP, 0=Kerberos probeert UDP, daarna TCP

SPB :
name = kerbTcpProtocol
facility_name = beveiliging
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = geen
change_effective = direct
bereik = (0,1)
description = 1=Kerberos gebruikt alleen TCP, 0=Kerberos probeert UDP, daarna TCP

BELANGRIJKE OPMERKING: Deze wijziging wordt onmiddellijk van kracht en moet op het hele systeem worden toegepast. Er is geen herstart vereist om de instellingen volledig toe te passen.

Dell Unity 300, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500 , Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid ... View More View Less