Dell EMC Unity: Os servidores NAS exibem um erro "DC cannot open NETLOGON pipe" (corrigível pelo usuário)

Esta solução se aplica quando um mínimo de um Controlador de domínio do Windows Server 2008 ou versão mais antiga está em uso e conectado ao servidor NAS do Unity.  Esta solução não se aplica ao Windows Server 2008R2 e controladores de domínio mais recentes.

Depois de fazer upgrade do sistema Unity para o OE versão 5.0.6, alguns servidores NAS são afetados por esta mensagem de erro:

DC cannot open NETLOGON pipe.

Isso ocorre de maneira intermitente e aleatória, afetando vários servidores NAS ao mesmo tempo ou individualmente, mas sempre há pelo menos um exibindo esse erro.

O cliente pode usar o FQDN para acessar o compartilhamento, mas não consegue acessar por meio do endereço IP.

Ao executar o comando svc_cifssupport< NAS_server_name> -pdcdump , ele mostrará o seguinte erro:
 
Cnx=WRONG_CREDENTIAL_HANDLE,DC cannot open NETLOGON pipe

Como parte do fornecimento da funcionalidade Secure RPC no Dell EMC Unity OE versão 5.0.6,a função "getDCcapas" foi introduzida, de acordo com a especificação da função Microsoft Netlogon para oferecer suporte ao parâmetro ServerCapabilities da Microsoft.  No entanto, essa função foi adicionada apenas às versões compatíveis do Windows Server.  Portanto, a função não é implementada no Windows Server 2008 e versões anteriores.

Documento de referência da Microsoft: [MS-NRPC]: Protocolo remoto Netlogon- 7 Apêndice B: Comportamento do produto
Seção 3.5.4.4.10:
O parâmetro ServerCapabilities não é compatível com Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista ou Windows Server 2008.

Correção:
a solução de longo prazo mais segura é fazer upgrade de qualquer controlador de domínio que se conecte a sistemas Unity executando a versão 5.0.6 ou posterior para uma versão compatível do Windows Server.  Até lá, consulte a seção Solução temporária abaixo.

Solução temporária:
como o parâmetro "param NTsec.NETLOGON.getDCcapas" nos sistemas Dell EMC Unity controla como os servidores NAS verificam os recursos de DC, a solução temporária consiste em modificar o parâmetro para desativar esse recurso.

NOTA IMPORTANTE:  Em ambientes em que existem vários Controladores de domínio, em que pelo menos um deles está em versões mais antigas do Windows Server e pelo menos um deles está em versões mais recentes do Windows Server (por exemplo 2003 e 2012), parece que desativara função ServerCapabilities não afeta negativamente as versões mais recentes.  Isso indica que, atualmente, a Microsoft não está impondo o uso dessa função.  No entanto, isso pode mudar em algum momento no futuro, e os clientes terão que decidir entre as versões mais antigas ou mais recentes do Windows Server para serem executadas nessa SP.

Se você precisar implementar a alteração imediatamente e não conseguir reinicializar sua SP, entre em contato com o Suporte técnico da Dell EMC ou com seu provedor de serviço autorizado e mencione este artigo da base de conhecimento.  A solução temporária pode ser implementada de uma maneira diferente, mas requer privilégios elevados.  Observe que esse parâmetro só pode ser implementado no nível da controladora de armazenamento e, portanto, afeta TODOS os servidores NAS em toda a SP.

Se você puder implementar a alteração e reinicializar sua SP de armazenamento, siga as etapas abaixo:
 

Etapa de importação 1 de 2. Comando de execução:  svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb:~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas adicionados à lista de parâmetros visíveis SPA : done Advertência 17716815750: SPA: Reinicialize a SP para que as alterações de NETLOGON.getDCcapas entrem em vigor. SPB : feito Aviso 17716815750: SPB: Reinicialize a SP para que as alterações de NETLOGON.getDCcapas entrem em vigor.

Etapa de importação 2 de 2. Reinicialize as controladoras (SPs), uma de cada vez.

O público-alvo do artigo pode visualizar informações adicionais.
Para confirmar se o array Dell EMC Unity está enfrentando este problema:

From EMCSystemLogFile.log:

service@spb:~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 18/03/21 09:43:44.507 DART_SMB 10380008 [AVISO] Auditoria: Para o NAS do servidor NAS no domínio DOMAIN, o DC DC01 apresenta o seguinte erro: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
B 18/03/21 09:43:46.559 DART_SMB 10380008 [AVISO] Auditoria: Para o NAS do servidor NAS no domínio DOMAIN, o DC DC02 apresenta o seguinte erro: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.

From c4_safe_ktrace.log: 

service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] Srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3: [NAS] HANDLE pwdno=2
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] não NLogon_SecureChannel OK=Capa_ErrorQueryFailed
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3: [NAS] smbSync falhou ao criar novo SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3: [NAS] levou SessionKey: StrongKeys authV:[PRIVACIDADE,sinal:HMAC_MD5,selo:RC4] 
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 6: [NAS] DC0x00175e1038: setDCDown DC(xx.xx.xxx.xxx), atualizar se necessário (origin=netLogonAuth2)
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3: [NAS] smbSync SamLogon[0] DC=DC01 'DC não pode abrir o NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
B 30/03/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)