Dell EMC Unity: NAS-servers geven de foutmelding "DC cannot open NETLOGON pipe" weer (op te lossen door gebruiker)

Deze oplossing is van toepassing wanneer minimaal één Windows Server 2008 of oudere domeincontroller in gebruik is en is verbonden met de NAS-server van Unity.  Deze oplossing is niet van toepassing op Windows Server 2008R2 en nieuwere domeincontrollers.

Na het upgraden van het Unity-systeem naar OE-versie 5.0.6 worden sommige NAS-servers beïnvloed door deze foutmelding:

DC cannot open NETLOGON pipe.

Dit gebeurt met tussenpozen en willekeurig, en treft meerdere NAS-servers tegelijkertijd of afzonderlijk, maar er is er altijd minstens één die deze fout weergeeft.

De klant kan FQDN gebruiken om toegang te krijgen tot de share, maar heeft geen toegang via het IP-adres.

Bij het uitvoeren van de opdracht svc_cifssupport< NAS_server_name> -pdcdump wordt de volgende fout weergegeven:
 
Cnx=WRONG_CREDENTIAL_HANDLE,DC kan NETLOGON-pipe niet openen

Als onderdeel van het leveren van Secure RPC-functionaliteit in Dell EMC Unity OE versie 5.0.6 is de functie getDCcapas geïntroduceerd, in overeenstemming met de Microsoft Netlogon-functiespecificatie ter ondersteuning van de Microsoft-parameter ServerCapabilities.  Die functie is echter alleen toegevoegd aan ondersteunde versies van Windows Server.  Daarom is de functie niet geïmplementeerd in Windows Server 2008 en eerder.

Microsoft-referentiedocument: [LS-NRPC]: Netlogon Remote Protocol - 7 Bijlage B: Productgedrag
Punt 3.5.4.4.10:
De parameter ServerCapabilities wordt niet ondersteund door Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista of Windows Server 2008.

Repareren:
De veiligste oplossing op de lange termijn is om alle domeincontrollers die verbinding maken met Unity-systemen met versie 5.0.6 of hoger te upgraden naar een ondersteunde versie van Windows Server.  Raadpleeg tot die tijd het gedeelte Tijdelijke oplossing hieronder.

Tijdelijke oplossing:
Aangezien de parameter "param NTsec.NETLOGON.getDCcapas" in Dell EMC Unity systemen bepaalt hoe NAS-servers de DC-capaciteit controleren, is de tijdelijke oplossing om de parameter te wijzigen om deze functie uit te schakelen.

BELANGRIJKE OPMERKING:  In omgevingen waarin meerdere domeincontrollers bestaan, en ten minste één op oudere Windows Server-versies en ten minste één op nieuwere Windows Server-versies (d.w.z. 2003 en 2012), lijkt het uitschakelen van de functie ServerCapabilities geen negatieve invloed te hebben op de nieuwere versies.  Dit geeft aan dat Microsoft het gebruik van deze functie momenteel niet afdwingt.  Dit kan echter op een bepaald moment in de toekomst veranderen en klanten zullen moeten kiezen tussen oudere of nieuwere versies van Windows Server om met die SP te werken.

Als u de wijziging onmiddellijk moet doorvoeren en u uw SP niet opnieuw kunt opstarten, neemt u contact op met de technische support van Dell EMC of uw geautoriseerde serviceprovider en citeert u dit Knowledge Base-artikel.  De tijdelijke oplossing kan op een andere manier worden geïmplementeerd, maar vereist verhoogde bevoegdheden.  Houd er rekening mee dat deze parameter alleen op SP-niveau kan worden geïmplementeerd en dus van invloed is op ALLE NAS-servers in de SP.

Als u de wijziging kunt doorvoeren en uw SP opnieuw kunt opstarten, volgt u de onderstaande stappen:
 

Stap 1 van 2. Voer deze opdracht uit:  svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb:~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas added into the list of visible params SPA : done Warning 17716815750: BADPLAATS: U moet de SP opnieuw opstarten om wijzigingen in NETLOGON.getDCcapas door te voeren. SPB : klaar Waarschuwing 17716815750: SPB : U moet de SP opnieuw opstarten om wijzigingen in NETLOGON.getDCcapas door te voeren.

Stap 2 van 2. Start de storageprocessors (SP's) één voor één opnieuw op.

Aanvullende informatie kan worden bekeken door de aangewezen doelgroep van het artikel.
U kunt als volgt controleren of de Dell EMC Unity Array dit probleem ondervindt:

Van EMCSystemLogFile.log:

service@spb:~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 03/18/21 09:43:44.507 DART_SMB 10380008 [WARN] Audit: Voor de NAS-server-NAS in het domein DOMAIN heeft de DC DC01 de volgende fout: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
B 03/18/21 09:43:46.559 DART_SMB 10380008 [WARN] Audit: Voor de NAS-server NAS in het domein DOMAIN heeft de DC DC02 de volgende fout: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.

Uit c4_safe_ktrace.log: 

service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] Srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] HANDVAT pwdno=2
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] NLogon_SecureChannel niet OK=Capa_ErrorQueryFailed
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync failed to create new SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] led SessionKey:StrongKeys authV:[PRIVACY,sign:HMAC_MD5,seal:RC4] 
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 6:[NAS] DC0x00175e1038: setDCDown DC(xx.xx.xxx.xxx), refresh if need (origin=netLogonAuth2)
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync SamLogon[0] DC=DC01 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)