Dell EMC Unity:由於錯誤「沒有來自 KDC 的回應」(使用者可修正),CIFS 伺服器無法存取
Summary: 本文涵蓋在嘗試在 LDAP 環境中新增或修改 NAS 伺服器時,驗證和解決 Kerberos 服務回應問題所需的步驟。
Symptoms
嘗試執行工作以新增或修改 NAS 伺服器時,系統會收到錯誤訊息,指出 Kerberos 服務的連線問題。收到的錯誤訊息應如下:
警告:KDC xx.xx.xx.xx
沒有回應 在 Unity 系統的記錄檔案中,可以找到下列詳細資料:
在 Unity Ktrace 記錄中 (路徑:/EMC/C4Core/log/c4_safe_ktrace.log),下列錯誤位於下方:
2018/08/20-15:48:29.177142 10 7FF16C907703 sade:KERBEROS:4:[VDM] 警告:KDC xx.xx.xx.xx
2018/08/20-15:48:29.532994 5540 7FF16C96D705 sade:SMB:4:[VDM] 不支援的驗證模式:authMethod:4, kerberosSupport:1, negoMethod:0
2018/08/20-15:48:29.533033 40 7FF16C96D705 sade:SMB:3:[VDM] OpenAndBind[NETLOGON] DC=xxx 失敗:
Bind_OpenXFailed NO_SUCH_PACKAGE 2018/08/20-15:48:29.533042 10 7FF16C96D705 sade:SMB:3:[VDM] 無法開啟 DC=xxx
的 NETLOGON 檔案 2018/08/20-15:48:29.760148 6 7FF16C96D703 sade:KERBEROS:3:[VDM] krb5_sendto_kdc:來自 addr xx.xx.xx.xx 的 udp RecvFromStream 失敗 91
在 Unity EMCSystemLogFile.log中 (路徑:/EMC/backend/log_shared) 系統將報告以下消息:“
2018-08-20T15:50:53.588Z”“xxx_spa”“Kittyhawk_safe”“356”“unix/spa/root”“警告”“13:10380008”::「對於網域 xxx 中的 NAS 伺服器 xxx,DC xxx有下列錯誤:compname xxx DC=xxx Step='Logon IPC$' 取得 Kerberos 登入資料失敗,gssError=Miscellaneous failure。無法聯繫任何 KDC 以取得要求的領域。.compname xxx DC=xxx Step='Open NETLOGON Secure Channel' ' ' ' 'DC cannot open NETLOGON pipe: status=DOMAIN_CONTROLLER_NOT_FOUND '." :: 類別=審核元件=DART_SMB
Cause
- 防火牆/網路組態問題,導致流量遭到封鎖。
- 環境組態 (網域控制站、交換器和 Dell EMC Unity 裝置) 中的 MTU 大小設定不相符。
因此,無法透過 UDP,將來自網域控制站的 Kerberos 工單傳送到資料移動者/SP 介面。從網路追蹤來看,只有 TGS-REQ,但沒有 TGS-REP。
Resolution
如果 Dell EMC Unity 系統執行的是 OE 4.2.x 或更新版本,則可透過下列 service 命令進行 NAS 伺服器參數變更: svc_nas
如果執行的是舊版 Dell EMC Unity OE (4.0.x 或 4.1.x),建議將 Unity OE 升級至可用的目標或最新 OE 版本。請參閱 KB 000489694 (Dell EMC Unity OE 修訂版矩陣表)。
若要執行此工作,請使用下列步驟:
- 執行 svc_nas ALL -param -f security -info kerbTcpProtocol命令,以確認 NAS 伺服器的 Kerberus TCP 通訊協定狀態。
service@ (none) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol
SPA :
name = kerbTcpProtocol
facility_name = 安全性
default_value = 0
current_value = 0
configured_value = 0
param_type = 全域
user_action = 無
change_effective = 即時
範圍 = (0,1)
描述 = 1=Kerberos 只會使用 TCP,0=Kerberos 會嘗試 UDP,然後 TCP
SPB :
name = kerbTcpProtocol
facility_name = 安全性
default_value = 0
current_value = 0
configured_value = 0
param_type = 全域
user_action = 無
change_effective = 即時
範圍 = (0,1)
描述 = 1=Kerberos 只會使用 TCP,0=Kerberos 會嘗試 UDP,然後 TCP
- 驗證 kerbTcpProtocol 服務的當前狀態後,可以使用以下命令修改協定設置:
SPA : 完成
SPB : 完成
- 執行上述修改後,請再次執行第一個命令 svc_nas ALL -param -f security -info kerbTcpProtocol 以驗證設定是否已套用至所有 NAS 伺服器:
service@ (none) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol
SPA :
name = kerbTcpProtocol
facility_name = 安全性
default_value = 0
current_value = 1
configured_value = 1
param_type = 全域
user_action = 無
change_effective = 即時
範圍 = (0,1)
描述 = 1=Kerberos 只會使用 TCP,0=Kerberos 會嘗試 UDP,然後 TCP
SPB :
name = kerbTcpProtocol
facility_name = 安全性
default_value = 0
current_value = 1
configured_value = 1
param_type = 全域
user_action = 無
change_effective = 即時
範圍 = (0,1)
描述 = 1=Kerberos 只會使用 TCP,0=Kerberos 會嘗試 UDP,然後 TCP
重要注意事項:此變更會立即生效,且必須套用至整個系統。不需要重新開機,即可完整套用設定。