Dell EMC Unity : les serveurs NAS affichent l’erreur « DC cannot open NETLOGON pipe » (corrigible par l’utilisateur)
Summary: Cet article décrit une condition qui affecte les systèmes Unity ayant été récemment mis à niveau vers Unity OE version 5.0.6., qui introduit la prise en charge de la fonctionnalité de RPC sécurisé. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Cette solution s’applique lorsqu’au moins un contrôleur de domaine Windows Server 2008 ou antérieur est en cours d’utilisation et est connecté au serveur NAS Unity. Cette solution ne s’applique pas à Windows Server 2008R2 et aux contrôleurs de domaine plus récents.
Après la mise à niveau du système Unity vers OE version 5.0.6, certains serveurs NAS sont affectés par le message d’erreur suivant :
DC cannot open NETLOGON pipe.
Cela se produit par intermittence et de manière aléatoire, affectant plusieurs serveurs NAS en même temps ou individuellement, mais il y en a toujours au moins un qui affiche cette erreur.
Le client peut utiliser le FQDN pour accéder au partage, mais il n’est pas en mesure d’y accéder via son adresse IP.
Lors de l’exécution de la commande svc_cifssupport< NAS_server_name> -pdcdump , l’erreur suivante s’affiche :
Cnx=WRONG_CREDENTIAL_HANDLE,DC cannot open NETLOGON pipe
Après la mise à niveau du système Unity vers OE version 5.0.6, certains serveurs NAS sont affectés par le message d’erreur suivant :
DC cannot open NETLOGON pipe.
Cela se produit par intermittence et de manière aléatoire, affectant plusieurs serveurs NAS en même temps ou individuellement, mais il y en a toujours au moins un qui affiche cette erreur.
Le client peut utiliser le FQDN pour accéder au partage, mais il n’est pas en mesure d’y accéder via son adresse IP.
Lors de l’exécution de la commande svc_cifssupport< NAS_server_name> -pdcdump , l’erreur suivante s’affiche :
Cnx=WRONG_CREDENTIAL_HANDLE,DC cannot open NETLOGON pipe
Cause
Dans le cadre de la fourniture de la fonctionnalité de RPC sécurisé dans Dell EMC Unity OE version 5.0.6, la fonction « getDCcapas » a été introduite, conformément à la spécification de la fonction Microsoft Netlogon pour prendre en charge le paramètre ServerCapabilities de Microsoft. Toutefois, cette fonction n’a été ajoutée qu’aux versions de Windows Server prises en charge. Par conséquent, la fonction n’est pas mise en œuvre dans Windows Server 2008 et les versions antérieures.
Document de référence Microsoft : [MS-NRPC] : Netlogon Remote Protocol – 7 Annexe B : comportement du produit
Section 3.5.4.4.10 :
Le paramètre ServerCapabilities n’est pas pris en charge par Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista ou Windows Server 2008.
Document de référence Microsoft : [MS-NRPC] : Netlogon Remote Protocol – 7 Annexe B : comportement du produit
Section 3.5.4.4.10 :
Le paramètre ServerCapabilities n’est pas pris en charge par Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista ou Windows Server 2008.
Resolution
Correction :
la solution à long terme la plus sûre consiste à mettre à niveau tous les contrôleurs de domaine se connectant avec des systèmes Unity qui exécutent la version 5.0.6 ou une version supérieure vers une version de Windows Server prise en charge. En attendant, reportez-vous à la section Solution de contournement ci-dessous.
Solution de contournement :
puisque le paramètre « param NTsec.NETLOGON.getDCcapas » dans les systèmes Dell EMC Unity contrôle la façon dont les serveurs NAS vérifient les capacités des contrôleurs de domaine, la solution de contournement consiste à modifier le paramètre pour désactiver cette fonctionnalité.
REMARQUE IMPORTANTE : Dans les environnements au sein desquels il existe plusieurs contrôleurs de domaine, et lorsqu’au moins l’un d’entre eux se trouve sur des versions antérieures de Windows Server et au moins l’un d’entre eux sur des versions plus récentes de Windows Server (par exemple 2003 et 2012), il semble que la désactivation de la fonction ServerCapabilities n’ait aucune incidence négative sur les versions plus récentes. Cela indique qu’actuellement, Microsoft n’impose pas l’utilisation de cette fonction. Toutefois, il est possible que cela change à l’avenir, et les clients devront choisir entre des versions plus anciennes ou plus récentes de Windows Server pour utiliser ce processeur de stockage.
Si vous devez mettre en œuvre le changement immédiatement et que vous ne pouvez pas redémarrer votre processeur de stockage, veuillez contacter le support technique Dell EMC ou votre prestataire de services agréé et citer cet article de la base de connaissances. La solution de contournement peut être mise en œuvre d’une autre manière, mais des privilèges élevés sont nécessaires pour cela. Veuillez noter que ce paramètre ne peut être appliqué qu’au niveau du processeur de stockage et affecte donc TOUS les serveurs NAS sur le processeur de stockage.
la solution à long terme la plus sûre consiste à mettre à niveau tous les contrôleurs de domaine se connectant avec des systèmes Unity qui exécutent la version 5.0.6 ou une version supérieure vers une version de Windows Server prise en charge. En attendant, reportez-vous à la section Solution de contournement ci-dessous.
Solution de contournement :
puisque le paramètre « param NTsec.NETLOGON.getDCcapas » dans les systèmes Dell EMC Unity contrôle la façon dont les serveurs NAS vérifient les capacités des contrôleurs de domaine, la solution de contournement consiste à modifier le paramètre pour désactiver cette fonctionnalité.
REMARQUE IMPORTANTE : Dans les environnements au sein desquels il existe plusieurs contrôleurs de domaine, et lorsqu’au moins l’un d’entre eux se trouve sur des versions antérieures de Windows Server et au moins l’un d’entre eux sur des versions plus récentes de Windows Server (par exemple 2003 et 2012), il semble que la désactivation de la fonction ServerCapabilities n’ait aucune incidence négative sur les versions plus récentes. Cela indique qu’actuellement, Microsoft n’impose pas l’utilisation de cette fonction. Toutefois, il est possible que cela change à l’avenir, et les clients devront choisir entre des versions plus anciennes ou plus récentes de Windows Server pour utiliser ce processeur de stockage.
Si vous devez mettre en œuvre le changement immédiatement et que vous ne pouvez pas redémarrer votre processeur de stockage, veuillez contacter le support technique Dell EMC ou votre prestataire de services agréé et citer cet article de la base de connaissances. La solution de contournement peut être mise en œuvre d’une autre manière, mais des privilèges élevés sont nécessaires pour cela. Veuillez noter que ce paramètre ne peut être appliqué qu’au niveau du processeur de stockage et affecte donc TOUS les serveurs NAS sur le processeur de stockage.
Si vous pouvez mettre en œuvre la modification et redémarrer votre processeur de stockage, veuillez suivre les étapes ci-dessous :
| service@spb :~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas added in the list of visible params SPA : done Warning 17716815750 : SPA : You must reboot the SP for NETLOGON.getDCcapas changes to take effect. SPB : terminé Avertissement 17716815750 : SPB : You must reboot the SP for NETLOGON.getDCcapas changes to take effect. |
Étape 2 sur 2. Redémarrez les processeurs de stockage un par un.
Additional Information
Les informations supplémentaires sont accessibles au public désigné de l’article.
Pour confirmer si la baie Dell EMC Unity rencontre ce problème :
À partir du fichier EMCSystemLogFile.log :
À partir du fichier c4_safe_ktrace.log :
Pour confirmer si la baie Dell EMC Unity rencontre ce problème :
À partir du fichier EMCSystemLogFile.log :
service@spb :~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i « WRONG_CREDENTIAL_HANDLE » B 03/18/21 09:43:44.507 DART_SMB 10380008 [WARN] Audit : For the NAS server NAS in the domain DOMAIN, the DC DC01 has the following error: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '. B 03/18/21 09:43:46.559 DART_SMB 10380008 [WARN] Audit : For the NAS server NAS in the domain DOMAIN, the DC DC02 has the following error: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
À partir du fichier c4_safe_ktrace.log :
service@spb :~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i « WRONG_CREDENTIAL_HANDLE » B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB : 3 :[NAS] Srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_ B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB : 3 :[NAS] HANDLE pwdno=2 B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB : 3 :[NAS] NLogon_SecureChannel not OK=Capa_ErrorQueryFailed B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB : 3 :[NAS] smbSync failed to create new SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB : 3 :[NAS] led SessionKey :StrongKeys authV :[PRIVACY,sign :HMAC_MD5,seal :RC4] B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB : 6 :[NAS] DC0x00175e1038 : setDCDown DC(xx.xx.xxx.xxx), refresh if needed (origin=netLogonAuth2) B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB : 3 :[NAS] smbSync SamLogon[0] DC=DC01 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB : 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000185870
Article Type: Solution
Last Modified: 06 Mar 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.