Dell EMC Unity: Serwery NAS wyświetlają błąd „DC cannot open NETLOGON pipe” (możliwość naprawienia przez użytkownika)

To rozwiązanie ma zastosowanie, gdy co najmniej jeden kontroler domeny z systemem Windows Server 2008 lub starszym jest w użyciu i jest podłączony do serwera NAS Unity.  To rozwiązanie nie ma zastosowania do kontrolerów domeny z systemem Windows Server 2008R2 i nowszych.

Po uaktualnieniu systemu Unity do wersji OE 5.0.6 na niektórych serwerach NAS wpływa następujący komunikat o błędzie:

DC nie może otworzyć potoku NETLOGON.

Zdarza się to sporadycznie i losowo, wpływając na kilka serwerów NAS w tym samym czasie lub indywidualnie, ale zawsze istnieje co najmniej jeden wyświetlający ten błąd.

Klient może użyć nazwy FQDN, aby uzyskać dostęp do udziału, ale nie może uzyskać dostępu za pośrednictwem adresu IP.

Po uruchomieniu polecenia svc_cifssupport< NAS_server_name> -pdcdump zostanie wyświetlony następujący błąd:
 
Cnx=WRONG_CREDENTIAL_HANDLE,DC cannot open NETLOGON pipe

W ramach zapewniania funkcji Secure RPC w Dell EMC Unity OE w wersji 5.0.6 wprowadzono funkcję „getDCcapas”, zgodnie ze specyfikacją funkcji Microsoft Netlogon w celu obsługi parametru ServerCapabilities firmy Microsoft.  Funkcja ta została jednak dodana tylko do obsługiwanych wersji systemu Windows Server.  Z tego względu funkcja nie jest dostępna w systemie Windows Server 2008 i wcześniejszych wersjach.

Dokument referencyjny firmy Microsoft: [MS-NRPC]: Protokół zdalny Netlogon — 7 Załącznik B: Zachowanie produktu
Sekcja 3.5.4.4.10:
Parametr ServerCapabilities nie jest obsługiwany przez systemy Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista ani Windows Server 2008.

Rozwiązanie:
Najbezpieczniejszym rozwiązaniem długoterminowym jest uaktualnienie wszystkich kontrolerów domeny łączących się z systemami Unity w wersji 5.0.6 lub nowszej do obsługiwanej wersji systemu Windows Server.  Do tego czasu należy zapoznać się z poniższą sekcją Obejście problemu.

Obejście problemu:
Ponieważ parametr „param NTsec.NETLOGON.getDCcapas” w systemach Dell EMC Unity kontroluje sposób sprawdzania możliwości kontrolera DC przez serwery NAS, obejście polega na zmodyfikowaniu parametru w celu wyłączenia tej funkcji.

WAŻNA UWAGA:  W środowiskach, w których istnieje wiele kontrolerów domeny, z których co najmniej jeden pracuje na starszej wersji Windows Server i co najmniej jeden pracuje na nowszej wersji Windows Server (tj. 2003 i 2012), wygląda na to, że wyłączenie funkcji ServerCapabilities nie ma negatywnego wpływu na nowsze wersje.  Oznacza to, że obecnie firma Microsoft nie wymusza korzystania z tej funkcji.  Może się to jednak zmienić w pewnym momencie w przyszłości i klienci będą musieli zdecydować, czy korzystać ze starszych czy też nowszych wersji systemu Windows Server w połączeniu z SP.

Jeśli zmiana musi zostać wprowadzona natychmiast i nie można uruchomić ponownie SP, skontaktuj się z działem pomocy technicznej firmy Dell EMC lub autoryzowanym dostawcą usług i podaj ten artykuł bazy wiedzy.  Problem można obejść w inny sposób, ale wymaga to podniesienia poziomu uprawnień.  Należy pamiętać, że ten parametr można zaimplementować tylko na poziomie SP i w związku z tym dotyczy WSZYSTKICH serwerów NAS w SP.

Jeśli możesz wprowadzić zmianę i uruchomić ponownie SP, wykonaj następujące czynności:
 

Krok 1 z 2. Uruchom polecenie:  svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb:~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas dodano do listy widocznych parametrów SPA : done Ostrzeżenie 17716815750: SPA : You must reboot the SP for NETLOGON.getDCcapas changes to take effect. SPB : gotowe Ostrzeżenie 17716815750: SPB: You must reboot the SP for NETLOGON.getDCcapas changes to take effect.

Krok 2 z 2. Uruchom kolejno procesory pamięci masowej (SP), jeden po drugim.

Dodatkowe informacje mogą być wyświetlane przez wyznaczonych odbiorców artykułu.
Aby sprawdzić, czy w macierzy Dell EMC Unity występuje ten problem:

Z pliku EMCSystemLogFile.log:

service@spb:~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 03/18/21 09:43:44.507 DART_SMB 10380008 [WARN] Audyt: W przypadku serwera NAS w domenie DOMENA, kontroler domeny DC01 wyświetla następujący błąd: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
B 03/18/21 09:43:46.559 DART_SMB 10380008 [WARN] Audyt: W przypadku serwera NAS w domenie DOMENA, kontroler domeny DC02 wyświetla następujący błąd: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.

Z pliku c4_safe_ktrace.log: 

service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] Srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] uchwyt pwdno=2
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] NLogon_SecureChannel nie OK=Capa_ErrorQueryFailed
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync nie może utworzyć nowego SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] led SessionKey:StrongKeys authV:[PRIVACY,sign:HMAC_MD5,seal:RC4] 
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 6:[NAS] DC0x00175e1038: setDCDown DC(xx.xx.xxx.xxx), odśwież w razie potrzeby (origin=netLogonAuth2)
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync SamLogon[0] DC=DC01 'DC nie może otworzyć potoku NETLOGON' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)