「Dell EMC Unity:NASサーバーに「DC cannot open NETLOGON pipe」というエラーが表示される(ユーザー修正可能)
Summary: この記事では、Unity OEバージョン5.0.6に最近アップグレードされて、Secure RPC機能のサポートを開始したUnityシステムに影響を与える状況について説明します。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
このソリューションは、Windows Server 2008以前のドメイン コントローラーを1台以上使用していて、UnityのNASサーバーに接続している場合に適用されます。 このソリューションは、Windows Server 2008R2以降のドメイン コントローラーには適用されません。
UnityシステムをOEバージョン5.0.6にアップグレードした後、一部のNASサーバーに「DCがNETLOGONパイプを開くことができません」というエラー
メッセージが表示されます
このエラーは断続的かつランダムに発生し、同時にまたは個別に複数のNASサーバーに影響を及ぼしますが、常に少なくとも1台はこのエラーを表示します
お客様はFQDNを使用して共有にアクセスできますが、IPアドレスを介してアクセスすることはできません。
コマンドsvc_cifssupport <NAS_server_name> -pdcdump を実行すると、次のエラーが表示されます。
Cnx=WRONG_CREDENTIAL_HANDLE,DC cannot open NETLOGON pipe
UnityシステムをOEバージョン5.0.6にアップグレードした後、一部のNASサーバーに「DCがNETLOGONパイプを開くことができません」というエラー
メッセージが表示されます
このエラーは断続的かつランダムに発生し、同時にまたは個別に複数のNASサーバーに影響を及ぼしますが、常に少なくとも1台はこのエラーを表示します
お客様はFQDNを使用して共有にアクセスできますが、IPアドレスを介してアクセスすることはできません。
コマンドsvc_cifssupport <NAS_server_name> -pdcdump を実行すると、次のエラーが表示されます。
Cnx=WRONG_CREDENTIAL_HANDLE,DC cannot open NETLOGON pipe
Cause
Dell EMC Unity OEバージョン5.0.6でSecure RPC機能を提供する一環として、MicrosoftのServerCapabilitiesパラメーターをサポートするMicrosoft Netlogon機能の仕様に従って、「getDCcapas」機能が導入されました。 ただし、この機能は、Windows Serverのサポート対象バージョンにのみ追加されました。 したがって、この機能はWindows Server 2008以前には実装されていません。
Microsoftリファレンス資料:[MS-NRPC]:Netlogon Remote Protocol - 7 Appendix B: Product Behavior
Section 3.5.4.4.10:
「The ServerCapabilities parameter is not supported by Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, or Windows Server 2008.」
Microsoftリファレンス資料:[MS-NRPC]:Netlogon Remote Protocol - 7 Appendix B: Product Behavior
Section 3.5.4.4.10:
「The ServerCapabilities parameter is not supported by Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, or Windows Server 2008.」
Resolution
修正:
最も安全な長期的なソリューションは、5.0.6以降を実行しているUnityシステムに接続しているすべてのドメイン コントローラーを、Windows Serverのサポート対象バージョンにアップグレードすることです。 それまでは、以下の「回避策」セクションを参照してください。
回避策:
Dell EMC Unityシステムのパラメーター「param NTsec.NETLOGON.getDCcapas」は、NASサーバーがDC機能をチェックする方法を制御するため、回避策はパラメーターを変更してこの機能を無効にすることです。
重要なメモ: 複数のドメイン コントローラーが存在し、少なくとも1つが古いバージョンのWindows Serverにあり、少なくとも1つが新しいバージョンのWindows Server(2003および2012)にある環境では、ServerCapabilities機能を無効にしても新しいバージョンに悪影響はおよばないようです。 これは、現在、Microsoftがこの機能の使用を強制しないことを示しています。 ただし、これは将来的に変更される可能性があり、お客様は、そのSPに対して実行するWindows Serverのバージョンを古い方にするか新しい方にするかを決定する必要があります。
変更をすぐに実装する必要があり、SPを再起動できない場合は、Dell EMCテクニカル サポートまたは認定サービス プロバイダーに連絡して、このナレッジベース記事を伝えてください。 回避策は別の方法でも実装できますが、権限の昇格が必要です。 このパラメーターはSPレベルでのみ実装できるため、SP全体のすべてのNASサーバーに影響を与える点に注意してください。
最も安全な長期的なソリューションは、5.0.6以降を実行しているUnityシステムに接続しているすべてのドメイン コントローラーを、Windows Serverのサポート対象バージョンにアップグレードすることです。 それまでは、以下の「回避策」セクションを参照してください。
回避策:
Dell EMC Unityシステムのパラメーター「param NTsec.NETLOGON.getDCcapas」は、NASサーバーがDC機能をチェックする方法を制御するため、回避策はパラメーターを変更してこの機能を無効にすることです。
重要なメモ: 複数のドメイン コントローラーが存在し、少なくとも1つが古いバージョンのWindows Serverにあり、少なくとも1つが新しいバージョンのWindows Server(2003および2012)にある環境では、ServerCapabilities機能を無効にしても新しいバージョンに悪影響はおよばないようです。 これは、現在、Microsoftがこの機能の使用を強制しないことを示しています。 ただし、これは将来的に変更される可能性があり、お客様は、そのSPに対して実行するWindows Serverのバージョンを古い方にするか新しい方にするかを決定する必要があります。
変更をすぐに実装する必要があり、SPを再起動できない場合は、Dell EMCテクニカル サポートまたは認定サービス プロバイダーに連絡して、このナレッジベース記事を伝えてください。 回避策は別の方法でも実装できますが、権限の昇格が必要です。 このパラメーターはSPレベルでのみ実装できるため、SP全体のすべてのNASサーバーに影響を与える点に注意してください。
変更を実装してSPを再起動できる場合は、次の手順に従ってください。
| service@spb:~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas が表示可能なパラメーターのリストに追加されました SPA : 完了 警告 17716815750: SPA : You must reboot the SP for NETLOGON.getDCcapas changes to take effect. SPB : 完了 警告17716815750: SPB : You must reboot the SP for NETLOGON.getDCcapas changes to take effect. |
手順2/2:Storage Processor(SP)を一度に1つずつ再起動します。
Additional Information
追加情報は、記事の指定された対象読者が閲覧できます。
Dell EMC Unityアレイでこの問題が発生しているかどうかを確認するには、次のコマンドを実行します。
EMCSystemLogFile.logから:
c4_safe_ktrace.logから:
Dell EMC Unityアレイでこの問題が発生しているかどうかを確認するには、次のコマンドを実行します。
EMCSystemLogFile.logから:
service@spb:~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE" B 03/18/21 09:43: 44.507 DART_SMB 10380008 [WARN] 監査: For the NAS server NAS in the domain DOMAIN, the DC DC01 has the following error: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '. B 03/18/21 09:43: 46.559 DART_SMB 10380008 [WARN] 監査: For the NAS server NAS in the domain DOMAIN, the DC DC02 has the following error: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
c4_safe_ktrace.logから:
service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE" B 03/30/21 10:37: 50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] Srv = NAS DC = DC01 buildSecureChannel(2)= Capa_ErrorQueryFailed NTStatus = WRONG_CREDENTIAL_ B 03/30/21 10:37: 50.307 sade d927f702 c4_safe_ktrace SMB: 3: [NAS] ハンドル pwdno = 2 B 03/30/21 10:37: 50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] NLogon_SecureChannel not OK=Capa_ErrorQueryFailed B 03/30/21 10:37: 50.307 sade d927f702 c4_safe_ktrace SMB: 3: [NAS] smbSync は新しい SecureChannel DC の作成に失敗しました DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai B 03/30/21 10:37: 50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] led SessionKey:StrongKeys authV:[PRIVACY,sign:HMAC_MD5,seal:RC4] B 03/30/21 10:37: 50.307 sade d927f702 c4_safe_ktrace SMB: 6:[NAS] DC0x00175e1038:setDCDown DC(xx.xx.xxx.xxx)、必要に応じて更新(origin = netLogonAuth2) B 03/30/21 10:37: 50.307 sade d927f702 c4_safe_ktrace SMB: 3: [NAS] smbSync SamLogon [0] DC = DC01 'DC は NETLOGON パイプを開くことができません' NTstatus = WRONG_CREDENTIAL_HANDLE LogonS B 03/30/21 10:37: 50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000185870
Article Type: Solution
Last Modified: 06 Mar 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.