Dell EMC Unity: Serwer CIFS jest niedostępny z powodu błędu "Brak odpowiedzi z KDC" (możliwość naprawienia przez użytkownika)

Podczas próby uruchomienia zadania dodawania lub modyfikowania serwera NAS z systemu wyświetlany jest komunikat o błędzie wskazujący na problemy z połączeniem z usługą Kerberos. Otrzymany komunikat o błędzie powinien być następujący:

OSTRZEŻENIE: brak odpowiedzi z KDC xx.xx.xx.xx

W plikach dziennika systemu Unity można znaleźć następujące informacje:

W dziennikach Unity Ktrace (ścieżka: /EMC/C4Core/log/c4_safe_ktrace.log), poniżej można znaleźć następujące błędy:

2018/08/20-15:48:29.177142 10 7FF16C907703 sade:KERBEROS: 4:[VDM] OSTRZEŻENIE: brak odpowiedzi ze strony KDC xx.xx.xx.xx
2018/08/20-15:48:29.532994 5540 7FF16C96D705 sade:SMB: 4:[VDM] Nieobsługiwany tryb uwierzytelniania: authMethod:4, kerberosSupport:1, negoMethod:0
2018/08/20-15:48:29.533033 40 7FF16C96D705 sade:SMB: 3:[VDM] OpenAndBind[NETLOGON] DC=xxx nie powiodło się:
Bind_OpenXFailed NO_SUCH_PACKAGE 2018/08/20-15:48:29.533042 10 7FF16C96D705 sade:SMB: 3:[VDM] Nie można otworzyć pliku NETLOGON dla DC=xxx
2018/08/20-15:48:29.760148 6 7FF16C96D703 sade:KERBEROS: 3:[VDM] krb5_sendto_kdc: udp RecvFromStream z addr xx.xx.xx.xx nie powiodło się 91

W EMCSystemLogFile.log Unity (ścieżka: /EMC/backend/log_shared), system zgłosi następujący komunikat:

"2018-08-20T15:50:53.588Z" "xxx_spa"", "Kittyhawk_safe", "356", "unix/spa/root", "WARN", "13:10380008" :: "W przypadku serwera NAS xxx w domenie xxx, DC xxxma następujący błąd: compname xxx DC=xxx Step='Logon IPC$' get Kerberos credential failed, gssError=Miscellaneous failure. Nie można skontaktować się z żadnym centrum dystrybucji kluczy dla żądanego obszaru. . compname xxx DC=xxx Step='Otwórz bezpieczny kanał NETLOGON' ' ' 'DC nie może otworzyć potoku NETLOGON: status=DOMAIN_CONTROLLER_NOT_FOUND '. " :: Category=Komponent audytu=DART_SMB

Ten problem może być spowodowany jednym z następujących czynników:

1. Problemy z konfiguracją zapory sieciowej / sieci, powodujące blokowanie ruchu.
2. Niezgodność ustawień rozmiaru MTU w konfiguracji środowiska (kontrolery domeny, przełącznik i urządzenie Dell EMC Unity).

W związku z tym bilet Kerberos z kontrolera domeny nie może zostać dostarczony do interfejsu Datamover/SP za pośrednictwem protokołu UDP. W śledzeniu sieci istnieje tylko TGS-REQ, ale nie ma TGS-REP.

Aby rozwiązać ten problem, można zmienić konfigurację, aby wymusić na serwerze Unity "nas" znajdującym się na procesorze pamięci masowej używanie protokołu TCP zamiast protokołu UDP dla żądań zgłoszeń Kerberos.

Jeśli system Dell EMC Unity działa w wersji OE 4.2.x lub nowszej, zmiany parametrów serwera NAS można przeprowadzić za pomocą następującego polecenia serwisowego: svc_nas
W przypadku korzystania ze starszej wersji Dell EMC Unity OE (4.0.x lub 4.1.x) zaleca się uaktualnienie systemu Unity OE do wersji docelowej lub najnowszej dostępnej wersji OE. Zapoznaj się z artykułem z bazy wiedzy 000489694 (Dell EMC Unity OE revision Matrix).

Aby uruchomić to zadanie, wykonaj następujące czynności:

1. Uruchom polecenie svc_nas ALL -param -f security -info kerbTcpProtocol, aby sprawdzić bieżący stan protokołu Kerberus TCP dla serwerów NAS.

service@(none) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos użyje tylko TCP, 0=Kerberos spróbuje UDP, a następnie TCP

SPB :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos użyje tylko TCP, 0=Kerberos spróbuje UDP, a następnie TCP

2. Po zweryfikowaniu bieżącego stanu usługi kerbTcpProtocol ustawienia protokołu można zmodyfikować za pomocą następującego polecenia:

SPA : gotowe
SPB : gotowe

3. Po wykonaniu powyższej modyfikacji uruchom ponownie pierwsze polecenie svc_nas ALL -param -f security -info kerbTcpProtocol, aby sprawdzić, czy ustawienia zostały zastosowane do wszystkich serwerów NAS:

service@(none) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 1
configured_value = 1
param_type = globalny
user_action = brak
change_effective = najbliższy
zakres = (0,1)
description = 1=Kerberos użyje tylko TCP, 0=Kerberos spróbuje UDP, a następnie TCP

SPB :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 1
configured_value = 1
param_type = globalny
user_action = brak
change_effective = bezpośredni
zakres = (0,1)
description = 1=Kerberos użyje tylko TCP, 0=Kerberos spróbuje UDP, a następnie TCP

WAŻNA UWAGA: Zmiana ta zostanie zastosowana natychmiast i należy ją zastosować w całym systemie. Do pełnego zastosowania ustawień nie jest wymagane ponowne uruchomienie komputera.

Dell Unity 300, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500 , Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid ... View More View Less