Dell EMC Unity: NAS-Server zeigen den Fehler „DC cannot open NETLOGON pipe“ an (vom Nutzer korrigierbar)

Diese Lösung gilt, wenn mindestens ein Domain Controller auf Windows Server 2008 oder älter verwendet wird, der mit dem NAS-Server von Unity verbunden ist.  Diese Lösung gilt nicht für Windows Server 2008R2 und neuere Domain Controller.

Nach dem Upgrade des Unity-Systems auf OE-Version 5.0.6 sind einige NAS-Server von dieser Fehlermeldung betroffen:

DC kann die NETLOGON-Pipe nicht öffnen.

Dies tritt gelegentlich und zufällig auf und betrifft mehrere NAS-Server gleichzeitig oder einzeln, aber es gibt immer mindestens einen, der diesen Fehler anzeigt.

Der Kunde kann über den FQDN auf die Freigabe zugreifen, aber nicht über die IP-Adresse zugreifen.

Beim Ausführen des Befehls svc_cifssupport< NAS_server_name> -pdcdump wird der folgende Fehler angezeigt:
 
Cnx=WRONG_CREDENTIAL_HANDLE,DC cannot open NETLOGON pipe

Im Rahmen der Bereitstellung der Secure RPC-Funktion in der Dell EMC Unity OE-Version 5.0.6 wurde die Funktion getDCcapas gemäß der Microsoft Netlogon-Funktionsspezifikation eingeführt, um den Parameter ServerCapabilities von Microsoft zu unterstützen.  Diese Funktion wurde jedoch nur zu unterstützten Versionen von Windows Server hinzugefügt.  Aus diesem Grund ist die Funktion in Windows Server 2008 und früher nicht implementiert.

Referenzdokument von Microsoft: [MS-NRPC]: Netlogon-Remote-Protokoll – 7 Anhang B: Produktverhalten
Abschnitt 3.5.4.4.10:
Der ServerCapabilities-Parameter wird von Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista oder Windows Server 2008 nicht unterstützt.

Korrektur:
Die sicherste langfristige Lösung besteht darin, alle Domain Controller, die mit Unity 5.0.6-Systemen oder höher verbunden sind, auf eine unterstützte Version von Windows Server zu aktualisieren.  Bis dahin finden Sie weitere Informationen im nachfolgenden Abschnitt Problemumgehung.

Problemumgehung:
Da der Parameter param NTsec.NETLOGON.getDCcapas in Dell EMC Unity-Systemen steuert, wie NAS-Server die DC-Funktionen überprüfen, besteht die Problemumgehung darin, den Parameter so zu ändern, dass diese Funktion deaktiviert wird.

WICHTIGER HINWEIS:  In Umgebungen, in denen mehrere Domain Controller vorhanden sind, wovon sich mindestens einer auf einer älteren Windows Server-Version und mindestens einer auf einer neueren Windows Server-Version (z. B. 2003 und 2012) befindet, scheint es, dass die Deaktivierung der ServerCapabilities-Funktion keine negativen Auswirkungen auf die neueren Versionen hat.  Dies weist darauf hin, dass Microsoft die Verwendung dieser Funktion derzeit nicht erzwingt.  Das kann sich jedoch zukünftig ändern und Kunden müssten dann entscheiden, ob SPs auf älteren oder neueren Versionen von Windows Server ausgeführt werden sollen.

Wenn Sie die Änderung sofort implementieren müssen und den SP nicht neu starten können, wenden Sie sich an den technischen Support von Dell EMC oder Ihren autorisierten Serviceanbieter und geben Sie diesen Wissensdatenbank-Artikel an.  Die Problemumgehung kann auch auf andere Weise implementiert werden, dies erfordert jedoch höhere Berechtigungen.  Beachten Sie, dass dieser Parameter nur auf SP-Ebene implementiert werden kann und sich daher auf ALLE NAS-Server des SP auswirkt.

Wenn Sie die Änderung implementieren und den SP neu starten können, führen Sie die folgenden Schritte aus:
 

Schritt 1 von 2: Führen Sie folgenden Befehl aus:  svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb:~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 Parameter NTsec.NETLOGON.getDCcapas zur Liste der sichtbaren Parameter hinzugefügt SPA : done Warnung 17716815750: SPA: Sie müssen den SP neu starten, damit die NETLOGON.getDCcapas-Änderungen wirksam werden. SPB : erledigt Warnung 17716815750: SPB: Sie müssen den SP neu starten, damit die NETLOGON.getDCcapas-Änderungen wirksam werden.

Schritt 2 von 2: Starten Sie die Storage-Prozessoren (SPs) nacheinander neu.

Zusätzliche Informationen können von der Zielgruppe des Artikels eingesehen werden.
So überprüfen Sie, ob dieses Problem beim Dell EMC Unity-Array auftritt:

Im EMCSystemLogFile.log:

service@spb:~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 18.03.21 09:43:44.507 DART_SMB 10380008 [WARNUNG] Prüfung: Für den NAS-Server NAS in der Domäne DOMAIN weist der DC DC01 den folgenden Fehler auf: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
B 18.03.21 09:43:46.559 DART_SMB 10380008 [WARNUNG] Prüfung: Für den NAS-Server NAS in der Domäne DOMAIN weist der DC DC02 den folgenden Fehler auf: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.

Im c4_safe_ktrace.log: 

service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] Srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] HANDLE pwdno=2
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] NLogon_SecureChannel nicht OK=Capa_ErrorQueryFailed
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync konnte keinen neuen SecureChannel erstellen DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] led SessionKey:StrongKeys authV:[PRIVACY,sign:HMAC_MD5,seal:RC4] 
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 6:[NAS] DC0x00175e1038: setDCDown DC(xx.xx.xxx.xxx), bei Bedarf aktualisieren (origin=netLogonAuth2)
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync SamLogon[0] DC=DC01 'DC kann NETLOGON pipe nicht öffnen' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)