Dell Unity: O servidor NAS relatou que os servidores do controlador de domínio não estão acessíveis (corrigível pelo usuário)
Zusammenfassung: O cliente recebe um alerta sobre o controlador de domínio de relatórios do servidor NAS inacessível quando um ou mais controladores de domínio configurados são RODC (Read-Only Domain Controller, controlador de domínio somente leitura) ...
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
O servidor NAS relatou um aviso intermitente informando que os controladores de domínio não estão acessíveis.
O comando svc_cifssupport -pingdc mostra falha do DC NETLOGON e DOWNGRADE_DETECTED
O comando svc_cifssupport -pingdc mostra falha do DC NETLOGON e DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Ursache
O controlador de domínio ao qual o servidor NAS não consegue se conectar é um RODC (Read-Only Domain Controller, controlador de domínio somente leitura).
O RODC armazena apenas senhas de usuários e computadores com base em sua "Política de replicação de senha". Somente as senhas das contas que estão nos grupos Permitir e não nos grupos Deny podem ser replicadas para o RODC.
Depois que o servidor NAS é associado ao domínio, a conta e a senha do computador são salvas no controlador de domínio cabeável e, por padrão, não serão replicados para o RODC.
Portanto, quando o servidor NAS tenta estabelecer o canal seguro para o RODC, o RODC não tem a senha do computador do servidor NAS, portanto, ele retornará "STATUS_NO_TRUST_SAM_ACCOUNT" e "DOWNGRADE_DETECTED"
O RODC armazena apenas senhas de usuários e computadores com base em sua "Política de replicação de senha". Somente as senhas das contas que estão nos grupos Permitir e não nos grupos Deny podem ser replicadas para o RODC.
Depois que o servidor NAS é associado ao domínio, a conta e a senha do computador são salvas no controlador de domínio cabeável e, por padrão, não serão replicados para o RODC.
Portanto, quando o servidor NAS tenta estabelecer o canal seguro para o RODC, o RODC não tem a senha do computador do servidor NAS, portanto, ele retornará "STATUS_NO_TRUST_SAM_ACCOUNT" e "DOWNGRADE_DETECTED"
Lösung
Para solucionar o problema, o cliente precisará adicionar a conta do computador do servidor NAS à política de replicação de senha do RODC para que as senhas da conta do servidor NAS possam ser replicadas para RODC.
1. Faça log-in no controlador de domínio gravável.
2. Abra "Active Directory Usrs and Computers"
3. Vá para "Controladores de domínio" OU
4. Selecione o RODC de que você precisa para configurar a "Política de replicação passo a passo" e clique nas propriedades.
5. Vá para a guia "Password replication Policy" (Política de replicação de senha) e adicione a conta do computador do servidor NAS ao grupo ALLOW.
Agora, execute o comando pingdc novamente, desta vez, o pingdc será concluído sem erro.
1. Faça log-in no controlador de domínio gravável.
2. Abra "Active Directory Usrs and Computers"
3. Vá para "Controladores de domínio" OU
4. Selecione o RODC de que você precisa para configurar a "Política de replicação passo a passo" e clique nas propriedades.
5. Vá para a guia "Password replication Policy" (Política de replicação de senha) e adicione a conta do computador do servidor NAS ao grupo ALLOW.
Agora, execute o comando pingdc novamente, desta vez, o pingdc será concluído sem erro.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Weitere Informationen
Referência:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Betroffene Produkte
Dell EMC UnityArtikeleigenschaften
Artikelnummer: 000204287
Artikeltyp: Solution
Zuletzt geändert: 14 März 2023
Version: 3
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.