Dell EMC Unity: CIFS-serveren er utilgængelig på grund af fejlen "Intet svar fra KDC" (kan rettes af brugeren)

Når du forsøger at køre en opgave med at tilføje eller ændre en NAS-server, modtager systemet en fejlmeddelelse, der angiver forbindelsesproblemer til Kerberos-tjenesten. Den modtagne fejlmeddelelse skal være følgende:

ADVARSEL: intet svar fra KDC xx.xx.xx.xx

I Unity-systemets logfiler kan du finde følgende oplysninger:

I Unity Ktrace-logfilerne (sti: /EMC/C4Core/log/c4_safe_ktrace.log), kan følgende fejl findes nedenfor:

2018/08/20-15:48:29.177142 10 7FF16C907703 sade:KERBEROS: 4:[VDM] ADVARSEL: intet svar fra KDC xx.xx.xx.xx
2018/08/20-15:48:29.532994 5540 7FF16C96D705 sade:SMB: 4:[VDM] Ikke-understøttet godkendelsestilstand: authMethod:4, kerberosSupport:1, negoMethod:0
2018/08/20-15:48:29.533033 40 7FF16C96D705 sade:SMB: 3:[VDM] OpenAndBind[NETLOGON] DC=xxx mislykkedes:
Bind_OpenXFailed NO_SUCH_PACKAGE 2018/08/20-15:48:29.533042 10 7FF16C96D705 sade:SMB: 3:[VDM] Kan ikke åbne NETLOGON-fil for DC=xxx
2018/08/20-15:48:29.760148 6 7FF16C96D703 sade:KERBEROS: 3:[VDM] krb5_sendto_kdc: udp RecvFromStream fra addr xx.xx.xx.xx mislykkedes 91

I Unity EMCSystemLogFile.log (sti: /EMC/backend/log_shared) rapporterer systemet følgende meddelelse:

"2018-08-20T15:50:53.588Z" "xxx_spa" "Kittyhawk_safe" "356" "unix/spa/root" "WARN" "13:10380008" :: "For NAS-serveren xxx i domænet xxx har DC xxx følgende fejl: compname xxx DC=xxx Step='Logon IPC$' get Kerberos-legitimationsoplysninger mislykkedes, gssError=Diverse-fejl. Kan ikke kontakte nogen KDC for anmodet rige. . compname xxx DC=xxx Step='Open NETLOGON Secure Channel' ' ' 'DC kan ikke åbne NETLOGON-pipe: status=DOMAIN_CONTROLLER_NOT_FOUND '. " :: Kategori=Revisionskomponent=DART_SMB

Dette problem kan skyldes en af følgende faktorer:

1. Problemer med firewall-/netværkskonfiguration, der får trafikken til at blive blokeret.
2. Uoverensstemmelse mellem MTU-størrelsesindstillinger i miljøkonfigurationen (domænecontrollere, switch og Dell EMC Unity-enhed).

Kerberos-billetten fra domænecontrolleren kan derfor ikke leveres til Datamover/SP-grænsefladen via UDP. Fra netværkssporingen er der kun TGS-REQ, men ingen TGS-REP.

For at løse denne situation kan der foretages en konfigurationsændring for at tvinge Unity "nas-serveren", der er placeret på en storageprocessor, til at bruge TCP i stedet for UDP til Kerberos-anmodninger.

Hvis Dell EMC Unity-systemet kører OE 4.2.x eller nyere, kan ændringerne af NAS-serverparametrene udføres via følgende servicekommando: svc_nas
Hvis du kører en ældre Dell EMC Unity OE-version (4.0.x eller 4.1.x), anbefales det at opgradere Unity OE til målversion eller seneste tilgængelige OE-version. Se KB 000489694 (Dell EMC Unity OE-revisionsmatrix).

For at køre denne opgave skal du bruge følgende trin:

1. Kør kommandoen svc_nas ALL -param -f security -info kerbTcpProtocolfor at kontrollere den aktuelle status for Kerberus TCP-protokolstatus for NAS-serverne.

service@(ingen) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = sikkerhed
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = ingen
change_effective = umiddelbar
rækkevidde = (0,1)
beskrivelse = 1=Kerberos bruger kun TCP, 0=Kerberos prøver UDP og derefter TCP

SPB :
name = kerbTcpProtocol
facility_name = sikkerhed
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = ingen
change_effective = umiddelbar
rækkevidde = (0,1)
beskrivelse = 1=Kerberos bruger kun TCP, 0=Kerberos prøver UDP og derefter TCP

2. Efter kontrol af den aktuelle status for kerbTcpProtocol-tjenesten kan følgende kommando bruges til at ændre protokolindstillingerne:

SPA : færdig
SPB : færdig

3. Når ovenstående ændring er udført, skal du køre den første kommando igen svc_nas ALL -param -f security -info kerbTcpProtocol for at validere, at indstillingerne blev anvendt på alle NAS-servere:

service@(ingen) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = sikkerhed
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = ingen
change_effective = umiddelbar
rækkevidde = (0,1)
beskrivelse = 1=Kerberos bruger kun TCP, 0=Kerberos prøver UDP og derefter TCP

SPB :
name = kerbTcpProtocol
facility_name = sikkerhed
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = ingen
change_effective = umiddelbar
rækkevidde = (0,1)
beskrivelse = 1=Kerberos bruger kun TCP, 0=Kerberos prøver UDP og derefter TCP

VIGTIG BEMÆRKNING: Denne ændring træder i kraft med det samme, og den skal anvendes på hele systemet. Der kræves ingen genstart for at anvende indstillingerne fuldt ud.

Dell Unity 300, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500 , Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid ... View More View Less