Dell EMC Unity. Сервер CIFS недоступен из-за ошибки «Нет ответа от KDC» (исправляется пользователем)

При попытке выполнить задачу добавления или изменения сервера NAS система получает сообщение об ошибке, указывающее на проблемы с подключением к сервису Kerberos. Полученное сообщение об ошибке должно выглядеть следующим образом:

ПРЕДУПРЕЖДЕНИЕ: нет ответа от KDC xx.xx.xx.xx

В файлах журналов системы Unity можно найти следующие сведения:

В журналах Ktrace Unity (путь: /EMC/C4Core/log/c4_safe_ktrace.log), ниже могут быть расположены следующие ошибки:

2018/08/20-15:48:29.177142 10 7FF16C907703 sade:KERBEROS: 4:[VDM] ПРЕДУПРЕЖДЕНИЕ: нет ответа от KDC xx.xx.xx.xx
2018/08/20-15:48:29.532994 5540 7FF16C96D705 sade:SMB: 4:[VDM] Неподдерживаемый режим аутентификации: authMethod:4, kerberosSupport:1, negoMethod:0
2018/08/20-15:48:29.533033 40 7FF16C96D705 sade:SMB: Сбой 3:[VDM] OpenAndBind[NETLOGON] DC=xxx:
Bind_OpenXFailed NO_SUCH_PACKAGE 2018/08/20-15:48:29.533042 10 7FF16C96D705 sade:SMB: 3:[VDM] Не удается открыть файл NETLOGON для DC=xxx
2018/08/20-15:48:29.760148 6 7FF16C96D703 sade:KERBEROS: 3:[VDM] krb5_sendto_kdc: сбой udp RecvFromStream из адреса xx.xx.xx.xx 91

В EMCSystemLogFile.log Unity (путь: /EMC/backend/log_shared) система выдаст следующее сообщение:

"2018-08-20T15:50:53.588Z" "xxx_spa" "Kittyhawk_safe" "356" "unix/spa/root" "WARN" "13:10380008" :: «Для сервера сетевой системы хранения данных xxx в домене xxx контроллер домена xxxимеет следующую ошибку: compname xxx DC=xxx Step='Logon IPC$' get Kerberos credential failed, gssError=Miscellaneous failure. Не удается связаться с каким-либо KDC для запрашиваемой области. . compname xxx DC=xxx Step='Открыть защищенный канал NETLOGON' ' ' ' ' 'Контроллер домена не может открыть канал NETLOGON: status=DOMAIN_CONTROLLER_NOT_FOUND '. " :: Категория=Компонент аудита=DART_SMB

Эта проблема может быть вызвана одним из следующих факторов:

1. Проблемы с конфигурацией межсетевого экрана/сети, приводящие к блокировке трафика.
2. Несоответствие параметров размера MTU в конфигурации среды (контроллеры домена, коммутатор и устройство Dell EMC Unity).

В результате билет Kerberos от контроллера домена не может быть доставлен в интерфейс модуля переноса данных/процессора СХД по протоколу UDP. Из трассировки сети отображается только TGS-REQ, но нет TGS-REP.

Чтобы решить эту проблему, можно изменить конфигурацию, чтобы заставить сервер сетевой системы хранения данных Unity, расположенный на процессоре СХД, использовать для запросов билетов Kerberos протокол TCP вместо UDP.

Если система Dell EMC Unity работает под управлением OE 4.2.x или более поздней версии, изменения параметров сервера NAS можно выполнить с помощью следующей сервисной команды: svc_nas
При использовании более ранней версии Dell EMC Unity OE (4.0.x или 4.1.x) рекомендуется модернизировать Unity OE до целевой или последней доступной версии. См. 000489694 базы знаний (Таблица версий операционной среды Dell EMC Unity).

Для запуска этой задачи выполните следующие действия.

1. Выполните команду svc_nas ALL -param -f security -info kerbTcpProtocol, чтобы проверить текущее состояние протокола Kerberus TCP для серверов NAS.

service@(none) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = безопасность
default_value = 0
current_value = 0
configured_value = 0
param_type = глобальный
user_action = нет
change_effective = непосредственный
диапазон = (0,1)
description = 1=Kerberos будет использовать только TCP, 0=Kerberos будет использовать только UDP, затем TCP

SPB :
name = kerbTcpProtocol
facility_name = безопасность
default_value = 0
current_value = 0
configured_value = 0
param_type = глобальный
user_action = нет
change_effective = непосредственный
диапазон = (0,1)
description = 1=Kerberos будет использовать только TCP, 0=Kerberos будет использовать только UDP, затем TCP

2. После проверки текущего состояния службы kerbTcpProtocol можно использовать следующую команду для изменения параметров протокола:

СПА : готово
СПБ : готово

3. После выполнения указанных выше изменений еще раз выполните первую команду svc_nas ALL -param -f security -info kerbTcpProtocol, чтобы убедиться, что настройки применены ко всем серверам NAS:

service@(none) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = безопасность
default_value = 0
current_value = 1
configured_value = 1
param_type = глобальный
user_action = нет
change_effective = непосредственный
диапазон = (0,1)
description = 1=Kerberos будет использовать только TCP, 0=Kerberos будет использовать только TCP, затем TCP

SPB :
name = kerbTcpProtocol
facility_name = безопасность
default_value = 0
current_value = 1
configured_value = 1
param_type = глобальный
user_action = нет
change_effective = непосредственный
диапазон = (0,1)
description = 1=Kerberos будет использовать только TCP, 0=Kerberos будет использовать только TCP, затем TCP

ВАЖНОЕ ПРИМЕЧАНИЕ. Это изменение вступает в силу немедленно, и его нужно применить ко всей системе. Для полного применения настроек перезагрузка не требуется.

Dell Unity 300, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500 , Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid ... View More View Less