Dell EMC Unity: Auf den CIFS-Server kann aufgrund des Fehlers "Keine Antwort von KDC" nicht zugegriffen werden (vom Nutzer korrigierbar).

Beim Versuch, eine Aufgabe zum Hinzufügen oder Ändern eines NAS-Servers auszuführen, wird vom System eine Fehlermeldung mit Verbindungsproblemen zum Kerberos-Service angezeigt. Die angezeigte Fehlermeldung sollte wie folgt lauten:

WARNUNG: keine Antwort von KDC xx.xx.xx.xx

In den Protokolldateien des Unity-Systems finden Sie die folgenden Details:

In den Unity-Ktrace-Protokollen (Pfad: /EMC/C4Core/log/c4_safe_ktrace.log), können die folgenden Fehler unten lokalisiert werden:

2018/08/20-15:48:29.177142 10 7FF16C907703 sade:KERBEROS: 4:[VDM] WARNUNG: keine Antwort von KDC xx.xx.xx.xx
2018/08/20-15:48:29.532994 5540 7FF16C96D705 sade:SMB: 4:[VDM] Nicht unterstützter Authentifizierungsmodus: authMethod:4, kerberosSupport:1, negoMethod:0
2018/08/20-15:48:29.533033 40 7FF16C96D705 sade:SMB: 3:[VDM] OpenAndBind[NETLOGON] DC=xxx fehlgeschlagen:
Bind_OpenXFailed NO_SUCH_PACKAGE 20.08.2018-15:48:29.533042 10 7FF16C96D705 Datei:SMB: 3:[VDM] NETLOGON-Datei für DC=xxx
kann nicht geöffnet werden 2018/08/20-15:48:29.760148 6 7FF16C96D703 sade:KERBEROS: 3:[VDM] krb5_sendto_kdc: udp RecvFromStream von Adresse xx.xx.xx.xx ist fehlgeschlagen 91

In der Unity-EMCSystemLogFile.log (Pfad: /EMC/backend/log_shared) meldet das System die folgende Meldung:

"2018-08-20T15:50:53.588Z" "xxx_spa" "Kittyhawk_safe" "356" "unix/spa/root" "WARN" "13:10380008" :: "Für den NAS-Server xxx in der Domain xxx hat der DC xxxden folgenden Fehler: compname xxx DC=xxx Step='Logon IPC$' get Kerberos credential failed, gssError=Miscellaneous failure. KDC kann für den angeforderten Bereich nicht kontaktiert werden. . compname xxx DC=xxx Step='Open NETLOGON Secure Channel' ' ' 'DC kann NETLOGON Pipe nicht öffnen: status=DOMAIN_CONTROLLER_NOT_FOUND '. " :: Category=Audit Component=DART_SMB

Dieses Problem kann durch einen der folgenden Faktoren verursacht werden:

1. Probleme mit der Firewall/Netzwerkkonfiguration, die dazu führen, dass der Datenverkehr blockiert wird
2. Nicht übereinstimmende MTU-Größeneinstellungen in der Umgebungskonfiguration (Domänen-Controller, Switch und Dell EMC Unity-Gerät).

Daher kann das Kerberos-Ticket vom Domain Controller nicht über UDP an die Datamover-/SP-Schnittstelle übermittelt werden. Im Netzwerk-Trace gibt es nur TGS-REQ, aber keinen TGS-REP.

Um diese Situation zu beheben, kann eine Konfigurationsänderung vorgenommen werden, um zu erzwingen, dass der Unity-NAS-Server, der sich auf einem Storage-Prozessor befindet, TCP anstelle von UDP für Kerberos-Ticketanforderungen verwendet.

Wenn auf dem Dell EMC Unity-System OE 4.2.x oder höher ausgeführt wird, können die Änderungen der NAS-Serverparameter über den folgenden Servicebefehl vorgenommen werden: svc_nas
Wenn Sie eine ältere Dell EMC Unity OE-Version (4.0.x oder 4.1.x) ausführen, wird empfohlen, die Unity-Betriebsumgebung auf die Zielversion oder die neueste verfügbare OE-Version zu aktualisieren. Weitere Informationen finden Sie im Wissensdatenbank-000489694 (Dell EMC Unity OE-Revisionsmatrix).

Um diese Aufgabe auszuführen, führen Sie bitte die folgenden Schritte aus:

1. Führen Sie den Befehl svc_nas ALL -param -f security -info kerbTcpProtocolaus, um den aktuellen Status des Kerberus-TCP-Protokollstatus für die NAS-Server zu überprüfen.

service@(none) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = Sicherheit
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = keine
change_effective = unmittelbarer
Bereich = (0,1)
description = 1=Kerberos verwendet nur TCP, 0=Kerberos versucht es mit UDP, dann TCP

SPB :
name = kerbTcpProtocol
facility_name = Sicherheit
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = keine
change_effective = unmittelbarer
Bereich = (0,1)
description = 1=Kerberos verwendet nur TCP, 0=Kerberos versucht es mit UDP, dann TCP

2. Nach der Überprüfung des aktuellen Status des kerbTcpProtocol-Service können die Protokolleinstellungen mit dem folgenden Befehl geändert werden:

SPA : fertig
SPB : fertig

3. Sobald die obige Änderung durchgeführt wurde, führen Sie den ersten Befehl erneut svc_nas ALL -param -f security -info kerbTcpProtocol aus, um zu überprüfen, ob die Einstellungen auf alle NAS-Server angewendet wurden:

service@(none) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = Sicherheit
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = keine
change_effective = unmittelbarer
Bereich = (0,1)
description = 1=Kerberos verwendet nur TCP, 0=Kerberos versucht es mit UDP, dann TCP

SPB :
name = kerbTcpProtocol
facility_name = Sicherheit
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = keine
change_effective = unmittelbarer
Bereich = (0,1)
description = 1=Kerberos verwendet nur TCP, 0=Kerberos versucht es mit UDP, dann TCP

WICHTIGER HINWEIS: Diese Änderung wird sofort wirksam und muss auf das gesamte System angewendet werden. Es ist kein Neustart erforderlich, um die Einstellungen vollständig zu übernehmen.

Dell Unity 300, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500 , Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid ... View More View Less