Dell EMC Unity: Na serverech NAS se zobrazí chyba „DC cannot open NETLOGON pipe“ (oprava uživatelem)

Toto řešení platí v případě, že se používá nejméně jeden řadič domény se systémem Windows Server 2008 nebo starším a je připojen k serveru NAS Unity.  Toto řešení se nevztahuje na řadiče domény Windows Server 2008R2 a novější.

Po upgradu systému Unity na verzi OE 5.0.6 se na některé servery NAS zobrazí tato chybová zpráva:

DC cannot open NETLOGON pipe.

K tomu dochází přerušovaně a náhodně a ovlivňuje několik serverů NAS současně nebo jednotlivě, ale vždy se tato chyba zobrazuje alespoň na jednom.

Zákazník může pro přístup ke sdílené složce použít plně kvalifikovaný název domény, ale nemá přístup prostřednictvím IP adresy.

Při spuštění příkazu svc_cifssupport <NAS_server_name> -pdcdump se zobrazí následující chyba:
 
Cnx=WRONG_CREDENTIAL_HANDLE,DC cannot open NETLOGON pipe

V rámci poskytování funkce Secure RPC v prostředí Dell EMC Unity OE verze 5.0.6 byla v souladu se specifikací funkce Microsoft Netlogon zavedena funkce „getDCcapas“ za účelem podpory parametru ServerCapabilities společnosti Microsoft.  Tato funkce však byla přidána pouze do podporovaných verzí systému Windows Server.  Proto není tato funkce implementována v systému Windows Server 2008 a starších.

Referenční dokument společnosti Microsoft: [MS-NRPC]: Vzdálený protokol Netlogon – 7 Příloha B: Chování produktu
Část 3.5.4.4.10:
Parametr ServerCapabilities není podporován systémy Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista nebo Windows Server 2008.

Oprava:
Nejbezpečnějším dlouhodobým řešením je upgradovat všechny řadiče domény připojované k systémům Unity s verzí 5.0.6 nebo vyšší na podporovanou verzi systému Windows Server.  Do té doby si přečtěte část Zástupné řešení níže.

Zástupné řešení:
Vzhledem k tomu, že parametr „param NTsec.NETLOGON.getDCcapas“ v systémech Dell EMC Unity řídí způsob, jakým servery NAS kontrolují možnosti řadiče DC, řešením je upravit parametr a tuto funkci zakázat.

DŮLEŽITÁ POZNÁMKA:  V prostředích, ve kterých existuje více řadičů domény a alespoň jeden má starší verzi systému Windows Server a alespoň jeden má novější verzi systému Windows Server (např. 2003 a 2012), se zdá, že zakázání funkce ServerCapabilities nemá negativní vliv na novější verze.  To znamená, že v současné době společnost Microsoft nevynucuje používání této funkce.  V budoucnu se to však může v určité chvíli změnit a zákazníci se budou muset rozhodnout mezi staršími nebo novějšími verzemi systému Windows Server, aby fungovaly s tímto SP.

Pokud musíte změnu provést okamžitě a nemůžete restartovat SP, obraťte se na technickou podporu společnosti Dell EMC nebo autorizovaného poskytovatele služeb a uveďte tento článek znalostní databáze.  Zástupné řešení lze implementovat jiným způsobem, ale vyžaduje zvýšená oprávnění.  Upozorňujeme, že tento parametr lze implementovat pouze na úrovni SP, a tudíž ovlivňuje VŠECHNY servery NAS napříč SP.

Pokud můžete implementovat změnu a restartovat SP, postupujte podle následujících kroků:
 

Krok 1 ze 2. Spusťte příkaz:  svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb:~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas přidán do seznamu viditelných parametrů SPA : done Varování 17716815750: SPA : You must reboot the SP for NETLOGON.getDCcapas changes to take effect. SPB : hotovo Varování 17716815750: SPB : You must reboot the SP for NETLOGON.getDCcapas changes to take effect.

Krok 2 ze 2. Restartujte procesory úložiště (SP) jeden po druhém.

Cílová skupina článku si může zobrazit doplňující informace.
Chcete-li ověřit, zda u pole Dell EMC Unity dochází k tomuto problému:

Ze souboru EMCSystemLogFile.log:

service@spb:~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 03/18/21 09:43:44.507 DART_SMB 10380008 [WARN] Audit: For the NAS server NAS in the domain DOMAIN, the DC DC01 has the following error: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
B 03/18/21 09:43:46.559 DART_SMB 10380008 [WARN] Audit: For the NAS server NAS in the domain DOMAIN, the DC DC02 has the following error: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.

Z protokolu c4_safe_ktrace.log: 

service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] RUKOJEŤ pwdno=2
B 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] NLogon_SecureChannel není OK=Capa_ErrorQueryFailed
B 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync se nepodařilo vytvořit nový SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] led SessionKey:StrongKeys authV:[PRIVACY,sign:HMAC_MD5,seal:RC4] 
B 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 6:[NAS] DC0x00175e1038: setDCDown DC(xx.xx.xxx.xxx), v případě potřeby obnovit (origin=netLogonAuth2)
B 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync SamLogon[0] DC=DC01 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
B 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)