Dell EMC Unity: NAS-servere viser feilmeldingen "DC kan ikke åpne NETLOGON-kanalen" (kan korrigeres av brukeren)

Denne løsningen gjelder når minst én Windows Server 2008 eller eldre domenekontroller er i bruk og er koblet til Unitys NAS-server.  Denne løsningen gjelder ikke for Windows Server 2008R2 og nyere domenekontrollere.

Når du har oppgradert Unity-systemet til OE versjon 5.0.6, er noen NAS-servere berørt av denne feilmeldingen:

DC kan ikke åpne NETLOGON-datakanalen.

Dette skjer periodisk og tilfeldig, og påvirker flere NAS-servere samtidig eller individuelt, men det er alltid minst én som viser denne feilen.

Kunden kan bruke FQDN til å få tilgang til den delte ressursen, men har ikke tilgang via IP-adressen.

Når du kjører kommandoen svc_cifssupport <NAS_server_name> -pdcdump , vil den vise følgende feil:
 
Cnx=WRONG_CREDENTIAL_HANDLE,DC kan ikke åpne NETLOGON-datakanal

Som en del av å tilby Secure RPC-funksjonalitet i Dell EMC Unity OE versjon 5.0.6, ble "getDCcapas"-funksjonen introdusert, i samsvar med Microsoft Netlogon-funksjonsspesifikasjonen for å støtte Microsofts ServerCapabilities-parameter.  Denne funksjonen ble imidlertid bare lagt til i støttede versjoner av Windows Server.  Funksjonen er derfor ikke implementert i Windows Server 2008 og tidligere.

Microsoft-referansedokument: [MS-NRPC]: Netlogon Remote Protocol - 7 Vedlegg B: Produktatferd
Seksjon 3.5.4.4.10:
Parameteren ServerCapabilities støttes ikke av Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista eller Windows Server 2008.

Fiksere:
Den sikreste og langsiktige løsningen er å oppgradere alle domenekontrollere som kobles til Unity-systemer som kjører 5.0.6 eller nyere, til en støttet versjon av Windows Server.  Inntil da kan du se løsningsdelen nedenfor.

Løsning:
Siden parameteren "param NTsec.NETLOGON.getDCcapas" i Dell EMC Unity-systemene styrer hvordan NAS-servere kontrollerer DC-funksjoner, er løsningen å endre parameteren for å deaktivere denne funksjonen.

VIKTIG MERKNAD:  I miljøer der det finnes flere domenekontrollere, og minst én er på eldre Windows Server-versjoner og minst én er på nyere Windows Server-versjoner (dvs. 2003 og 2012), ser det ut til at deaktivering av ServerCapabilities-funksjonen ikke påvirker de nyere versjonene negativt.  Dette indikerer at Microsoft for øyeblikket ikke håndhever bruken av denne funksjonen.  Dette kan imidlertid endres en gang i fremtiden, og kundene må velge mellom eldre eller nyere versjoner av Windows Server for å kjøre mot den SP-en.

Hvis du må implementere endringen umiddelbart og du ikke kan starte SP-en på nytt, kan du kontakte teknisk støtte hos Dell EMC eller din autoriserte tjenesteleverandør og oppgi denne kunnskapsartikkelen.  Løsningen kan implementeres på en annen måte, men den krever forhøyet rettighet.  Vær oppmerksom på at denne parameteren bare kan implementeres på SP-nivå og dermed påvirker ALLE NAS-servere på tvers av SP-en.

Hvis du kan implementere endringen og starte SP på nytt, følger du trinnene nedenfor:
 

Trinn 1 av 2. Kjør følgende kommando:  svc_nas ALL-param-facility NTsec-m NETLOGON.getDCcapas-v 0
 

service@spb:~/user# svc_nas ALL-param -facility NTsec-m NETLOGON.getDCcapas-v 0 param NTsec.NETLOGON.getDCcapas lagt til i listen over synlige params SPA : done Advarsel 17716815750: KURBAD: Du må starte SP-en på nytt for at NETLOGON.getDCcapas-endringene skal tre i kraft. SPB: ferdig Advarsel 17716815750: SPB: Du må starte SP-en på nytt for at NETLOGON.getDCcapas-endringene skal tre i kraft.

Trinn 2 av 2. Start lagringsprosessorer (SP-er) på nytt, én om gangen.

Ytterligere informasjon kan ses av artikkelens utpekte publikum.
Slik bekrefter du om Dell EMC Unity-arrayet opplever dette problemet:

Fra EMCSystemLogFile.log:

service@spb:~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 03/18/21 09:43:44.507 DART_SMB 10380008 [WARN] Audit: For NAS-server-NAS i domenet DOMAIN har DC DC01 følgende feil: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
B 03/18/21 09:43:46.559 DART_SMB 10380008 [WARN] Audit: For NAS-server-NAS i domenet DOMAIN har DC DC02 følgende feil: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.

Fra c4_safe_ktrace.log: 

service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] Srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] HÅNDTAK pwdno = 2
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] NLogon_SecureChannel ikke OK = Capa_ErrorQueryFailed
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] smbSync kunne ikke opprette ny SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] ledet SessionKey:StrongKeys authV:[PRIVACY,sign:HMAC_MD5,seal:RC4] 
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 6:[NAS] DC0x00175e1038: setDCDown DC(xx.xx.xxx.xxx), oppdater om nødvendig (origin=netLogonAuth2)
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] smbSync SamLogon[0] DC=DC01 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
B       03/30/21 10:37:50.307 sade             d927f702 c4_safe_ktrace   SMB: 3:[NAS] tatus = Capa_ErrorQueryFailed (rSCstatus = -1 pipeClosed = 0)