「Dell EMC Unity:「No Response from KDC」エラーのためCIFSサーバーにアクセスできない(ユーザー修正可能)
Summary: この記事では、LDAP環境でNASサーバーを追加または変更しようとすると、Kerberosサービス応答の問題を確認して対処するために必要な手順について説明します。
Symptoms
NASサーバーを追加または変更するタスクを実行しようとすると、Kerberosサービスへの接続の問題を示すエラー メッセージがシステムから表示されます。受信したエラー メッセージは次のとおりです。
WARNING: no response from KDC xx.xx.xx.xx
Unityシステムのログ ファイル内には、次の詳細があります
。Unity Ktraceログ(パス: /EMC/C4Core/log/c4_safe_ktrace.log)、次のエラーが見つかります。
2018/08/20-15:48: 29.177142 10 7FF16C907703 sade:KERBEROS: 4: [VDM] 警告: KDC xx.xx.xx.xx
2018/08/20-15:48: 29.532994 5540 7FF16C96D705 sade: SMB: 4: [VDM] サポートされていない認証モード: authMethod: 4、kerberosSupport: 1、negoMethod: 0
2018/08/20-15:48: 29.533033 40 7FF16C96D705 sade: SMB: 3: [VDM] OpenAndBind [NETLOGON] DC = xxx が失敗しました:
Bind_OpenXFailed NO_SUCH_PACKAGE 2018/08/20-15:48: 29.533042 10 7FF16C96D705 sade: SMB: 3:[VDM] DC=xxx 2018/08/20-15
:48: 29.760148 6 7FF16C96D703 sade: KERBEROS: 3: [VDM] krb5_sendto_kdc: addr xx.xx.xx.xx からの udp RecvFromStream が失敗しました 91
Unity EMCSystemLogFile.log内(パス: /EMC/backend/log_shared) システムは次のメッセージを報告します。
「2018-08-20T15:50:53.588Z" "xxx_spa" "Kittyhawk_safe" "356" "unix/spa/root" "WARN" "13:10380008" :: 「ドメインxxxのNASサーバーxxxについて、DC xxxに次のエラーがあります。compname xxx DC=xxx Step='Logon IPC$' get Kerberos credential failed, gssError=Miscellaneous failure。要求されたレルムのKDCに接続できません。.compname xxx DC=xxx Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=DOMAIN_CONTROLLER_NOT_FOUND '." :: カテゴリ=監査コンポーネント=DART_SMB
Cause
- ファイアウォール/ネットワーク構成の問題により、トラフィックがブロックされています。
- 環境構成(ドメイン コントローラー、スイッチ、Dell EMC Unityデバイス)にMTUサイズ設定が一致しません。
その結果、ドメイン コントローラーからのKerberosチケットをUDP経由でDatamover/SPインターフェイスに配信できません。ネットワーク トレースからは、TGS-REQ のみがあり、TGS-REP はありません。
Resolution
Dell EMC UnityシステムでOE 4.2.x以降を実行している場合は、次のサービス コマンドを使用してNASサーバーのパラメーターを変更できます。 svc_nas
古いDell EMC Unity OEバージョン(4.0.xまたは4.1.x)を実行している場合は、Unity OEを使用可能なターゲットまたは最新のOEバージョンにアップグレードすることをお勧めします。KB 000489694(Dell EMC Unity OEリビジョン マトリックス)を参照してください。
このタスクを実行するには、次の手順を実行します。
- svc_nas ALL -param -f security -info kerbTcpProtocolコマンドを実行して、NASサーバーのKerberus TCPプロトコル ステータスの現在のステータスを確認します。
service@(none) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol
SPA :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos は TCP のみを使用し、0=Kerberos は UDP を試し、次に TCP を試行します
SPB :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos は TCP のみを使用し、0=Kerberos は UDP を試し、次に TCP を試行します
- kerbTcpProtocolサービスの現在のステータスを確認したら、次のコマンドを使用してプロトコル設定を変更できます。
SPA : 完了
SPB : 完了
- 上記の変更を実行したら、最初のコマンドをもう一度ALL -param -f security -info kerbTcpProtocol svc_nas実行して、設定がすべてのNASサーバーに適用されたことを確認します。
service@(none) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol
SPA :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos は TCP のみを使用し、0=Kerberos は UDP を試し、次に TCP を試行します
SPB :
name = kerbTcpProtocol
facility_name = security
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = none
change_effective = immediate
range = (0,1)
description = 1=Kerberos は TCP のみを使用し、0=Kerberos は UDP を試し、次に TCP を試します
重要事項:この変更はすぐに有効になり、システム全体に適用する必要があります。設定を完全に適用するために再起動する必要はありません。