Dell Unity. Сервер NAS сообщил, что серверы контроллера домена недоступны (исправляется пользователем)
Zusammenfassung: Заказчик получает оповещение о том, что контроллер домена сервера NAS недоступен, если один или несколько настроенных контроллеров домена являются RODC (контроллер домена только для чтения) ...
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
Сервер NAS сообщил о периодическим предупреждении о недоступности контроллеров домена.
Команда svc_cifssupport -pingdc показывает сбой и сбой DC NETLOGON DOWNGRADE_DETECTED
Команда svc_cifssupport -pingdc показывает сбой и сбой DC NETLOGON DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Ursache
Контроллер домена, к которым серверу NAS не удается подключиться, является КОНТРОЛЛЕРом домена только для чтения (RODC).
В RODC хранятся только пароли пользователей и компьютеров на основе его политики репликации паролей. В RODC можно реплицировать только пароли для учетных записей, которые находятся в группах «Разрешить», а не в группах «Запретить».
После того как сервер NAS присоединен к домену, его учетная запись компьютера и пароль сохраняются в wirteable Domain controller и по умолчанию они не будут реплицированы на RODC.
Таким образом, когда сервер NAS пытается установить безопасный канал для RODC, в ФАЙЛе RODC нет пароля компьютера сервера NAS, поэтому он возвращает значения «STATUS_NO_TRUST_SAM_ACCOUNT» и «DOWNGRADE_DETECTED».
В RODC хранятся только пароли пользователей и компьютеров на основе его политики репликации паролей. В RODC можно реплицировать только пароли для учетных записей, которые находятся в группах «Разрешить», а не в группах «Запретить».
После того как сервер NAS присоединен к домену, его учетная запись компьютера и пароль сохраняются в wirteable Domain controller и по умолчанию они не будут реплицированы на RODC.
Таким образом, когда сервер NAS пытается установить безопасный канал для RODC, в ФАЙЛе RODC нет пароля компьютера сервера NAS, поэтому он возвращает значения «STATUS_NO_TRUST_SAM_ACCOUNT» и «DOWNGRADE_DETECTED».
Lösung
Для временного решения проблемы заказчику необходимо добавить учетную запись компьютера сервера NAS в политику репликации паролей RODC, чтобы пароли учетных записей сервера NAS были реплицированы на RODC.
1. Войдите в контроллер домена с возможностью записи.
2. Откройте «Active Directory Usrs and Computers»
3. Перейдите в раздел «Контроллеры домена» OU
4. Выберите RODC, который необходимо настроить ,Политика репликации Passowrd, и нажмите на свойства.
5. Перейдите на вкладку «Политика репликации паролей» и добавьте учетную запись компьютера сервера NAS в группу ALLOW.
Теперь снова выполните команду pingdc, и на этот раз pingdc завершится без ошибок.
1. Войдите в контроллер домена с возможностью записи.
2. Откройте «Active Directory Usrs and Computers»
3. Перейдите в раздел «Контроллеры домена» OU
4. Выберите RODC, который необходимо настроить ,Политика репликации Passowrd, и нажмите на свойства.
5. Перейдите на вкладку «Политика репликации паролей» и добавьте учетную запись компьютера сервера NAS в группу ALLOW.
Теперь снова выполните команду pingdc, и на этот раз pingdc завершится без ошибок.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Weitere Informationen
Справочные материалы:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Betroffene Produkte
Dell EMC UnityArtikeleigenschaften
Artikelnummer: 000204287
Artikeltyp: Solution
Zuletzt geändert: 14 März 2023
Version: 3
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.