Dell VNX/Unity: Domeinverbinding mislukt met fout 13157007728 kan accountkenmerk voor compname niet instellen

Er kunnen verschillende redenen zijn voor deze fout.
Het meest opvallende is dat het gebruikersaccount dat wordt gebruikt voor de domeindeelname mogelijk een computeraccount kan maken, maar deze niet kan wijzigen.

Een klant kan geen bewerking voor domeinkoppeling uitvoeren met bekende standaardvlaggen.
De join-opdracht mislukt met de volgende fout:

Error 13157007728: server_2 : DomainJoin::reuseAccount: Unable set account attribute for compname 'CIFS01' to domain 'DOM.Domain.NET' on Active Directory server 'dc2.dom.domain.net' using CIFS server credential. Distinguished name is 'CN=cifs01,OU=Computers,OU=EMC Celerra,DC=DOM,DC=domain,DC=net'.

server_cifs wordt weergegeven Unjoined:

CIFS Server 02CIFSSERVER[DOM] RC=160 (local users supported)
 Full computer name=02cifs01.dom.domain.net realm=DOM.DOMAIN.NET (domain not joined !)
 Comment='EMC-SNAS:T7.1.83.2'
 if=02CIFS01 l=10.xxx.xx.x b=10.xxx.xx.xx mac=0:00:00:00:00:00
  FQDN=02cifs01.dom.diomain.net (Retrying DNS update...)
 Password change interval: 43140 minutes

Het computeraccount is losgekoppeld van het domein, maar er zijn geen duidelijke aanwijzingen op de NAS-cmd_log dat dit aan de NAS-kant is uitgevoerd.

Methode voor het forceren van de rejoin-operatie:

1. Zorg ervoor dat het account voldoende rechten heeft om deze bewerking uit te voeren.
2. Controleer of het computeraccount bestaat in Active Directory. - Zie nas_message instructies in opmerkingen.
3. Proberen om een rejoin uit te voeren met opties werkt mogelijk ook niet [-option {reuse|resetserverpasswd|addservice=nfs}] en mislukken met een account bestaat niet in AD.
4. Zorg ervoor dat de samenstellingsnaam overeenkomt met de netbios-naam. In één bepaald scenario was het netbios historisch anders ingesteld.

Om dns-domeinregistratie af te dwingen, is de volgende parameter toegepast:

nasadmin@vnxcs01 ~]$ server_param server_2 -facility cifs -info djEnforceDhn
server_2 :
name                    = djEnforceDhn
facility_name           = cifs
default_value           = 1
current_value           = 1
configured_value        =
user_action             = none
change_effective        = immediate
range                   = (0,1)
description             = Enforces the setting of the dNSHostName attribute
[nasadmin@vnxcs01 ~]$ server_param server_2 -facility cifs -modify djEnforceDhn -value 0
server_2 : done
[nasadmin@vnxcs01 ~]$ server_param server_2 -facility cifs -info djEnforceDhn
server_2 :
name                    = djEnforceDhn
facility_name           = cifs
default_value           = 1
current_value           = 0
configured_value        = 0
user_action             = none
change_effective        = immediate
range                   = (0,1)
description             = Enforces the setting of the dNSHostName attribute
[nasadmin@vnxcs01 ~]$

Probeer opnieuw een eenvoudige join te maken zonder speciale vlaggen.

$  nas_message -i 13157007728
MessageID = 13157007728
BaseID    = 368
Severity  = ERROR
Component = DART
Facility  = SMB
Type      = STATUS

Brief_Description  = ${function0,8,%s}: Unable set ${objectName4,8,%s} for compname '${serverName1,8,%s}' to domain '${domainName3,8,%s}' on Active Directory server '${DCName2,8,%s}' using CIFS server credential. Distinguished name is '${distinguishedName5,8,%s}'.

Full_Description   = ${function0,8,%s}: Unable set ${objectName4,8,%s} for compname '${serverName1,8,%s}' to domain '${domainName3,8,%s}' on Active Directory server '${DCName2,8,%s}' using CIFS server credential. Distinguished name is '${distinguishedName5,8,%s}'. This error might occur when the compnuter account already exist in Active Directory (after manual creation for example).

Recommended_Action = Check whether computer account exists in Active Directory.

Param verduidelijking:

• djEnforceDhn:- Bij het toevoegen van een CIFS-server aan een domein, stelt het joinproces het accountkenmerk dNSHostName in op de DNS-hostnaam van de server.
• 0 = Toestaan dat het domeinaanmeldingsproces wordt voortgezet zonder het accountkenmerk dNSHostName in te stellen.
• 1 = Stel het accountkenmerk dNSHostName in op de DNS-hostnaam van de server. Als het domeinaanmeldingsproces het kenmerk niet kan instellen, mislukt de bewerking en wordt er een melding verzonden. In bepaalde domeinconfiguraties kan het domeindeelnameproces het kenmerk account niet instellen vanwege toegangsrechten.