Dell EMC Unity: Сервер CIFS недоступний через помилку "No Response from KDC" (User Correctable)

При спробі запустити завдання на додавання або зміну сервера NAS від системи надходить повідомлення про помилку, що вказує на проблеми з підключенням до служби Kerberos. Отримане повідомлення про помилку має бути таким:

УВАГА: немає відповіді від KDC xx.xx.xx.xx

У файлах журналів системи Unity можна знайти такі дані:

У журналах Unity Ktrace (Шлях: /EMC/C4Core/log/c4_safe_ktrace.log), нижче можна знайти такі помилки:

2018/08/20-15:48:29.177142 10 7FF16C907703 sade:KERBEROS: 4:[VDM] УВАГА: немає відповіді від KDC xx.xx.xx.xx
2018/08/20-15:48:29.532994 5540 7FF16C96D705 sade:SMB: 4:[VDM] Непідтримуваний режим автентифікації: authMethod:4, kerberosSupport:1, negoMethod:0
2018/08/20-15:48:29.533033 40 7FF16C96D705 sade:SMB: 3:[VDM] OpenAndBind[NETLOGON] DC=xxx не вдалося:
Bind_OpenXFailed NO_SUCH_PACKAGE 2018/08/20-15:48:29.533042 10 7FF16C96D705 sade:SMB: 3:[VDM] Не вдається відкрити файл NETLOGON для DC=xxx
2018/08/20-15:48:29.760148 6 7FF16C96D703 sade:KERBEROS: 3:[VDM] krb5_sendto_kdc: udp RecvFromStream з addr xx.xx.xx не вдалося 91

У EMCSystemLogFile.log «Єдність» (шлях: /EMC/backend/log_shared) система повідомить наступне повідомлення:

"2018-08-20T15:50:53.588Z" "xxx_spa" "Kittyhawk_safe" "356" "unix/spa/root" "WARN" "13:10380008" :: "Для сервера NAS xxx у домені xxx, DC xxxмає наступну помилку: compname xxx DC=xxx Step='Logon IPC$' отримати облікові дані Kerberos не вдалося, gssError=Різне збій. Не вдається зв'язатися з жодним KDC для запитуваної області. . compname xxx DC=xxx Step='Відкрити безпечний канал NETLOGON' ' ' ' ' DC не може відкрити трубу NETLOGON: status=DOMAIN_CONTROLLER_NOT_FOUND '. " :: Category=Аудиторський компонент=DART_SMB

Ця проблема може бути викликана одним із таких факторів:

1. Проблеми з брандмауером / конфігурацією мережі, що призводить до блокування трафіку.
2. Невідповідність налаштувань розміру MTU в конфігурації середовища (контролери домену, Switch і пристрій Dell EMC Unity).

Як наслідок, квиток Kerberos від Контролера домену не може бути доставлений до інтерфейсу Datamover/SP через UDP. З мережевого трасування є тільки TGS-REQ, але немає TGS-REP.

Щоб вирішити цю ситуацію, можна внести зміну конфігурації, щоб змусити «nas-сервер» Unity, розташований на процесорі зберігання даних, використовувати TCP замість UDP для запитів квитків Kerberos.

Якщо система Dell EMC Unity працює під управлінням OE 4.2.x або вище, зміну параметрів сервера NAS можна здійснити за допомогою наступної сервісної команди: svc_nas
Якщо використовується старіша версія Dell EMC Unity OE (4.0.x або 4.1.x), рекомендується оновити Unity OE до цільової або останньої доступної версії OE. Будь ласка, зверніться до KB 000489694 (матриця версій Dell EMC Unity OE).

Щоб виконати це завдання, виконайте наступні кроки:

1. Виконайте команду svc_nas ALL -param -f security -info kerbTcpProtocol, щоб перевірити поточний стан стану протоколу Kerberus TCP для серверів NAS.

service@(немає) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = безпека
default_value = 0
current_value = 0
configured_value = 0
param_type = глобальний
user_action = немає
change_effective = безпосередній
діапазон = (0,1)
description = 1=Kerberos буде використовувати тільки TCP, 0=Kerberos спробує UDP, потім TCP

SPB :
name = kerbTcpProtocol
facility_name = безпека
default_value = 0
current_value = 0
configured_value = 0
param_type = глобальний
user_action = немає
change_effective = безпосередній
діапазон = (0,1)
description = 1=Kerberos використовуватиме лише TCP, 0=Kerberos спробує UDP, потім TCP

2. Після перевірки поточного стану служби kerbTcpProtocol для зміни налаштувань протоколу можна використовувати таку команду:

SPA : done
SPB : done

3. Як тільки вищевказана модифікація буде виконана, виконайте першу команду ще раз svc_nas ALL -param -f security -info kerbTcpProtocol, щоб перевірити, що налаштування були застосовані до всіх серверів NAS:

service@(немає) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = безпека
default_value = 0
current_value = 1
configured_value = 1
param_type = глобальний
user_action = немає
change_effective = безпосередній
діапазон = (0,1)
description = 1=Kerberos буде використовувати тільки TCP, 0=Kerberos спробує UDP, потім TCP

SPB :
name = kerbTcpProtocol
facility_name = безпека
default_value = 0
current_value = 1
configured_value = 1
param_type = глобальний
user_action = немає
change_effective = безпосередній
діапазон = (0,1)
description = 1=Kerberos використовуватиме лише TCP, 0=Kerberos спробує UDP, потім TCP

ВАЖЛИВЕ ЗАУВАЖЕННЯ: Ця зміна набуває чинності негайно, і її потрібно застосувати до всієї системи. Для повного застосування налаштувань не потрібне перезавантаження.

Dell Unity 300, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500 , Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid ... View More View Less