Dell Unity : Serveurs de contrôleur de domaine signalés par le serveur NAS inaccessibles (corrigible par l’utilisateur)
Zusammenfassung: Le client reçoit une alerte sur le serveur NAS signalant que le contrôleur de domaine n’est pas accessible lorsqu’un ou plusieurs contrôleurs de domaine configurés sont RODC (Contrôleur de domaine en lecture seule) ...
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
Le serveur NAS a signalé un avertissement intermittent indiquant que les contrôleurs de domaine ne sont pas accessibles.
La commande svc_cifssupport -pingdc affiche l’échec dc NETLOGON et DOWNGRADE_DETECTED
La commande svc_cifssupport -pingdc affiche l’échec dc NETLOGON et DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Ursache
Le contrôleur de domaine auquel le serveur NAS ne parvient pas à se connecter est un RODC (Contrôleur de domaine en lecture seule).
La RODC stocke uniquement les mots de passe des utilisateurs et des ordinateurs en fonction de sa « stratégie de réplication des mots de passe ». Seuls les mots de passe des comptes qui se trouvent dans les groupes Allow et non dans les groupes Deny peuvent être répliqués vers le RODC.
Une fois le serveur NAS joint au domaine, son compte d’ordinateur et son mot de passe sont enregistrés dans le contrôleur de domaine wirteable et, par défaut, ils ne sont pas répliqués sur le RODC.
Ainsi, lorsque le serveur NAS tente d’établir le canal sécurisé vers le RODC, le RODC ne dispose pas du mot de passe de l’ordinateur du serveur NAS. Par conséquent, il renvoie « STATUS_NO_TRUST_SAM_ACCOUNT » et « DOWNGRADE_DETECTED ».
La RODC stocke uniquement les mots de passe des utilisateurs et des ordinateurs en fonction de sa « stratégie de réplication des mots de passe ». Seuls les mots de passe des comptes qui se trouvent dans les groupes Allow et non dans les groupes Deny peuvent être répliqués vers le RODC.
Une fois le serveur NAS joint au domaine, son compte d’ordinateur et son mot de passe sont enregistrés dans le contrôleur de domaine wirteable et, par défaut, ils ne sont pas répliqués sur le RODC.
Ainsi, lorsque le serveur NAS tente d’établir le canal sécurisé vers le RODC, le RODC ne dispose pas du mot de passe de l’ordinateur du serveur NAS. Par conséquent, il renvoie « STATUS_NO_TRUST_SAM_ACCOUNT » et « DOWNGRADE_DETECTED ».
Lösung
Pour contourner ce problème, le client doit ajouter le compte d’ordinateur du serveur NAS à la stratégie de réplication des mots de passe de RODC afin que les mots de passe du compte du serveur NAS puissent être répliqués dans RODC.
1. Connectez-vous au contrôleur de domaine inscriptible.
2. Ouvrez « Active Directory Usrs and Computers »
3. Accédez à « Domain controllers » OU
4. Sélectionnez le RODC dont vous avez besoin pour configurer la « Stratégie de réplication Passowrd », puis cliquez sur les propriétés.
5. Accédez à l’onglet « Password replication Policy » et ajoutez le compte d’ordinateur du serveur NAS au groupe ALLOW.
Exécutez à nouveau la commande pingdc, cette fois-ci, le pingdc se termine sans erreur.
1. Connectez-vous au contrôleur de domaine inscriptible.
2. Ouvrez « Active Directory Usrs and Computers »
3. Accédez à « Domain controllers » OU
4. Sélectionnez le RODC dont vous avez besoin pour configurer la « Stratégie de réplication Passowrd », puis cliquez sur les propriétés.
5. Accédez à l’onglet « Password replication Policy » et ajoutez le compte d’ordinateur du serveur NAS au groupe ALLOW.
Exécutez à nouveau la commande pingdc, cette fois-ci, le pingdc se termine sans erreur.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Weitere Informationen
Référence:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Betroffene Produkte
Dell EMC UnityArtikeleigenschaften
Artikelnummer: 000204287
Artikeltyp: Solution
Zuletzt geändert: 14 März 2023
Version: 3
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.