Dell EMC Unity: NAS-servere viser fejlen "DC kan ikke åbne NETLOGON-pipe" (kan rettes af brugeren)

Denne løsning gælder, når mindst én Windows Server 2008 eller ældre domænecontroller er i brug og er tilsluttet Unitys NAS-server.  Denne løsning gælder ikke for Windows Server 2008R2 og nyere domænecontrollere.

Efter opgradering af Unity-systemet til OE-version 5.0.6 er nogle NAS-servere berørt af denne fejlmeddelelse:

DC kan ikke åbne NETLOGON-pipe.

Dette sker periodisk og tilfældigt og påvirker flere NAS-servere på samme tid eller individuelt, men der er altid mindst én, der viser denne fejl.

Kunden kan bruge FQDN til at få adgang til delingen, men kan ikke få adgang via IP-adressen.

Når du kører kommandoen svc_cifssupport <NAS_server_name> -pdcdump , viser den følgende fejl:
 
Cnx=WRONG_CREDENTIAL_HANDLE,DC kan ikke åbne NETLOGON-rør

Som en del af leveringen af Secure RPC-funktionalitet i Dell EMC Unity OE version 5.0.6 blev funktionen "getDCcapas" introduceret i overensstemmelse med Microsoft Netlogon-funktionsspecifikationen for at understøtte Microsofts ServerCapabilities-parameter.  Denne funktion blev dog kun føjet til understøttede versioner af Windows Server.  Derfor er funktionen ikke implementeret i Windows Server 2008 og tidligere.

Microsoft-referencedokument: [MS-NRPC]: Netlogon Remote Protocol - 7 Tillæg B: Produktadfærd
Afsnit 3.5.4.4.10:
ServerCapabilities-parameteren understøttes ikke af Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista eller Windows Server 2008.

Reparere:
Den sikreste løsning på lang sigt er at opgradere alle domænecontrollere, der opretter forbindelse til Unity-systemer, der kører 5.0.6 eller nyere, til en understøttet version af Windows Server.  Indtil da kan du se afsnittet Løsning nedenfor.

Løsning:
Da parameteren "param NTsec.NETLOGON.getDCcapas" i Dell EMC Unity-systemer styrer, hvordan NAS-servere kontrollerer DC-funktioner, er løsningen at ændre parameteren for at deaktivere denne funktion.

VIGTIG BEMÆRKNING:  I miljøer, hvor der findes flere domænecontrollere, og mindst én er på ældre Windows Server-versioner, og mindst én er på nyere Windows Server-versioner (dvs. 2003 og 2012), ser det ud til, at deaktivering af ServerCapabilities-funktionen ikke påvirker de nyere versioner negativt.  Dette indikerer, at Microsoft i øjeblikket ikke håndhæver brugen af denne funktion.  Dette kan dog ændre sig på et tidspunkt i fremtiden, og kunderne bliver nødt til at vælge mellem ældre eller nyere versioner af Windows Server for at køre mod denne SP.

Hvis du er nødt til at implementere ændringen med det samme, og du ikke kan genstarte din SP, skal du kontakte Dell EMC s tekniske support eller din autoriserede serviceudbyder og citere denne vidensbaseartikel.  Løsningen kan implementeres på en anden måde, men det kræver forhøjet privilegium.  Bemærk, at denne parameter kun kan implementeres på SP-niveau og dermed påvirker ALLE NAS-servere på tværs af SP.

Hvis du kan implementere ændringen og genstarte din SP, skal du følge nedenstående trin:
 

Trin 1 af 2. Kør kommandoen:  svc_nas ALL -param -facilitet NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb:~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas tilføjet til listen over synlige parametre SPA : udført Advarsel 17716815750: SPA: Du skal genstarte lagerprocessoren, så ændringerne NETLOGON.getDCcapas kan træde i kraft. SPB: færdig Advarsel 17716815750: SPB : Du skal genstarte lagerprocessoren, så ændringerne NETLOGON.getDCcapas kan træde i kraft.

Trin 2 af 2. Genstart lagerprocessorer (SP'er) én ad gangen.

Yderligere oplysninger kan ses af artiklens udpegede målgruppe.
Sådan bekræfter du, om Dell EMC Unity-systemet oplever dette problem:

Fra EMCSystemLogFile.log:

service@spb:~/bruger# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 03/18/21 09:43:44.507 DART_SMB 10380008 [WARN] Revision: For NAS-serverens NAS i domænet DOMAIN har DC DC01 følgende fejl: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC kan ikke åbne NETLOGON-pipe: status=WRONG_CREDENTIAL_HANDLE '.
B 03/18/21 09:43:46.559 DART_SMB 10380008 [WARN] Revision: For NAS-serverens NAS i domænet DOMAIN har DC DC02 følgende fejl: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC kan ikke åbne NETLOGON-pipe: status=WRONG_CREDENTIAL_HANDLE '.

Fra c4_safe_ktrace.log: 

service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] Srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] HÅNDTAG pwdno=2
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] NLogon_SecureChannel ikke OK=Capa_ErrorQueryFailed
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] smbSync kunne ikke oprette ny SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3: [NAS] led SessionKey: StrongKeys authV: [PRIVACY, sign: HMAC_MD5, seal: RC4] 
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 6:[NAS] DC0x00175e1038: setDCDown DC(xx.xx.xxx.xxx), opdater om nødvendigt (origin=netLogonAuth2)
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] smbSync SamLogon[0] DC=DC01 'DC kan ikke åbne NETLOGON-pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)