Dell Unity: NAS-server rapporterte at domenekontrollerservere ikke kan nås (kan korrigeres av brukeren)
Zusammenfassung: Kunden mottar varsel på NAS-server som rapporterer at domenekontrolleren ikke kan nås når én eller flere konfigurerte domenekontrollere er RODC (skrivebeskyttet domenekontroller)
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
NAS-serveren rapporterte periodisk advarsel som sier at domenekontrollerne ikke kan nås.
Kommandoen svc_cifssupport -pingdc viser DC NETLOGON-feil og DOWNGRADE_DETECTED
Kommandoen svc_cifssupport -pingdc viser DC NETLOGON-feil og DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Ursache
Domenekontrolleren som NAS-serveren ikke kan koble til, er en RODC (skrivebeskyttet domenekontroller).
RODC lagrer bare bruker- og datamaskinpassord basert på policyen for replikering av passord. Bare passord for kontoene som er i Tillat-gruppene, og ikke i Deny-gruppene, kan replikeres til RODC.
Etter at NAS-serveren er koblet til domenet, lagres datamaskinkontoen og passordet i den wirteable domenekontrolleren, og som standard blir de ikke replikert til RODC.
Så når NAS-serveren prøver å etablere den sikre kanalen til RODC, har ikke RODC datamaskinpassordet til NAS-serveren, og dermed vil den returnere «STATUS_NO_TRUST_SAM_ACCOUNT» og «DOWNGRADE_DETECTED»
RODC lagrer bare bruker- og datamaskinpassord basert på policyen for replikering av passord. Bare passord for kontoene som er i Tillat-gruppene, og ikke i Deny-gruppene, kan replikeres til RODC.
Etter at NAS-serveren er koblet til domenet, lagres datamaskinkontoen og passordet i den wirteable domenekontrolleren, og som standard blir de ikke replikert til RODC.
Så når NAS-serveren prøver å etablere den sikre kanalen til RODC, har ikke RODC datamaskinpassordet til NAS-serveren, og dermed vil den returnere «STATUS_NO_TRUST_SAM_ACCOUNT» og «DOWNGRADE_DETECTED»
Lösung
For å løse problemet må kunden legge til NAS-serverens datamaskinkonto i RODCs policy for passordreplikering, slik at NAS-serverens kontopassord kan replikeres til RODC.
1. Logg på den skrivbare domenekontrolleren.
2. Åpne active directory Usrs and Computers
3. Gå til OU 4 for domenekontrollere
. Velg RODC du trenger for å konfigurere «Passowrd replication Policy» (Bestått replikeringspolicy), og klikk på egenskapene.
5. Gå til fanen "Passordreplikeringspolicy", og legg til NAS-serverens datamaskinkonto i ALLOW-gruppen.
Nå kjører du pingdc-kommandoen på nytt. Denne gangen fullføres pingdc uten feil.
1. Logg på den skrivbare domenekontrolleren.
2. Åpne active directory Usrs and Computers
3. Gå til OU 4 for domenekontrollere
. Velg RODC du trenger for å konfigurere «Passowrd replication Policy» (Bestått replikeringspolicy), og klikk på egenskapene.
5. Gå til fanen "Passordreplikeringspolicy", og legg til NAS-serverens datamaskinkonto i ALLOW-gruppen.
Nå kjører du pingdc-kommandoen på nytt. Denne gangen fullføres pingdc uten feil.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Weitere Informationen
Referanse:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Betroffene Produkte
Dell EMC UnityArtikeleigenschaften
Artikelnummer: 000204287
Artikeltyp: Solution
Zuletzt geändert: 14 März 2023
Version: 3
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.