Dell EMC Unity: I server NAS visualizzano l'errore "DC cannot open NETLOGON pipe" (correggibile dall'utente)

Questa soluzione si applica quando è in uso almeno un controller di dominio Windows Server 2008 o versioni precedenti ed è connesso al server NAS di Unity.  Questa soluzione non si applica a Windows Server 2008R2 e ai controller di dominio più recenti.

Dopo l'aggiornamento del sistema Unity alla versione OE 5.0.6, alcuni server NAS sono interessati da questo messaggio di errore:

DC cannot open NETLOGON pipe.

Ciò si verifica in modo intermittente e casuale, interessando diversi server NAS contemporaneamente o singolarmente, ma almeno uno visualizza sempre questo errore.

Il cliente può utilizzare l FQDN per accedere alla share, ma non tramite l'indirizzo IP.

Quando si esegue il comando svc_cifssupport <NAS_server_name> -pdcdump , viene visualizzato il seguente errore:
 
Cnx=WRONG_CREDENTIAL_HANDLE, CC impossibile aprire la pipe di accesso NETLOGON

Nell'ambito della funzionalità Secure RPC in Dell EMC Unity OE versione 5.0.6, è stata introdotta la funzione "getDCcapas", in conformità alla specifica della funzione Microsoft Netlogon per supportare il parametro ServerCapabilities di Microsoft.  Tuttavia, tale funzione è stata aggiunta solo alle versioni supportate di Windows Server.  Pertanto, la funzione non è implementata in Windows Server 2008 e versioni precedenti.

Documento di riferimento Microsoft: [MS-NRPC]: Protocollo remoto Netlogon - 7 Appendice B: Comportamento
del prodottoPunto 3.5.4.4.10:
Il parametro ServerCapabilities non è supportato da Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista o Windows Server 2008.

Correzione:
La soluzione più sicura a lungo termine consiste nell'aggiornare qualsiasi controller di dominio connesso a sistemi Unity che eseguono la versione 5.0.6 o successiva a una versione supportata di Windows Server.  Fino ad allora, consultare la sezione Soluzione alternativa di seguito.

Soluzione alternativa:
Poiché il parametro "param NTsec.NETLOGON.getDCcapas" nei sistemi Dell EMC Unity controlla il modo in cui i server NAS verificano le funzionalità CC, la soluzione alternativa consiste nel modificare il parametro per disabilitare questa funzione.

NOTA IMPORTANTE:  Negli ambienti in cui esistono più controller di dominio e almeno uno si trova nelle versioni precedenti di Windows Server e almeno uno nelle versioni più recenti di Windows Server (ad esempio 2003 e 2012), sembra che la disabilitazione della funzione ServerCapabilities non influisca negativamente sulle versioni più recenti.  Ciò indica che attualmente Microsoft non applica l'utilizzo di questa funzione.  Tuttavia, questo potrebbe cambiare in futuro e i clienti dovranno decidere tra versioni precedenti o più recenti di Windows Server da eseguire su tale SP.

Se è necessario implementare la modifica immediatamente e non è possibile riavviare l'SP, contattare il supporto tecnico Dell EMC o il fornitore di servizi autorizzato e citare questo articolo della Knowledge Base.  La soluzione alternativa può essere implementata in modo diverso, ma richiede privilegi elevati.  Tenere presente che questo parametro può essere implementato solo a livello di SP e pertanto influisce su TUTTI i server NAS in tutto l'SP.

Se è possibile implementare la modifica e riavviare l'SP, attenersi alla seguente procedura:
 

Passaggio 1 di 2. Eseguire il comando:  svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb:~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas aggiunto all'elenco dei parametri visibili SPA: done Avviso 17716815750: STAZIONE TERMALE: È necessario riavviare l'SP per rendere effettive le modifiche apportate a NETLOGON.getDCcapas. SPB : fatto Avvertenza 17716815750: SPB : È necessario riavviare l'SP per rendere effettive le modifiche apportate a NETLOGON.getDCcapas.

Passaggio 2 di 2. Riavviare gli storage processor (SP), uno alla volta.

Ulteriori informazioni possono essere visualizzate dal pubblico designato dell'articolo.
Per verificare se l'array Dell EMC Unity presenta questo problema:

Da EMCSystemLogFile.log:

service@spb:~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 18/03/21 09:43:44.507 DART_SMB 10380008 [WARN] Audit: Per il server NAS NAS nel dominio DOMAIN, il DC DC01 presenta il seguente errore: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
B 18/03/21 09:43:46.559 DART_SMB 10380008 [WARN] Audit: Per il server NAS NAS nel dominio DOMAIN, il DC DC02 presenta il seguente errore: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.

Da c4_safe_ktrace.log: 

service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] Srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3: [NAS] MANIGLIA pwdno=2
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] non NLogon_SecureChannel OK=Capa_ErrorQueryFailed
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync non è riuscito a creare il nuovo SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] led SessionKey:StrongKeys authV:[PRIVACY,sign:HMAC_MD5,seal:RC4] 
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 6:[NAS] DC0x00175e1038: setDCDown DC(xx.xx.xxx.xxx), aggiornamento se necessario (origine=netLogonAuth2)
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync SamLogon[0] DC=DC01 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)