Dell EMC Unity. На серверах NAS отображается ошибка «DC cannot open NETLOGON pipe» (исправляется пользователем)

Это решение применяется, если используется хотя бы один контроллер домена с Windows Server 2008 или более ранней версией, подключенный к NAS-серверу Unity.  Это решение не применимо к контроллерам домена Windows Server 2008R2 и более поздних версий.

После обновления операционной среды Unity до операционной среды версии 5.0.6 на некоторых серверах сетевой системы хранения данных возникает следующая ошибка:

контроллер домена не может открыть канал NETLOGON.

Это происходит периодически и случайным образом, затрагивая несколько серверов NAS одновременно или по отдельности, но ошибка всегда отображается хотя бы на одном.

Пользователь может использовать FQDN для доступа к общему ресурсу, но не может получить доступ через IP-адрес.

При выполнении команды svc_cifssupport <NAS_server_name> -pdcdump отобразится следующая ошибка:
 
Cnx=WRONG_CREDENTIAL_HANDLE,DC cannot open NETLOGON pipe

В рамках предоставления функционала Secure RPC в Dell EMC Unity OE версии 5.0.6была введена функция «getDCcapas», в соответствии со спецификацией функции Microsoft Netlogon для поддержки параметра ServerCapabilities Microsoft.  Однако эта функция была добавлена только в поддерживаемые версии Windows Server.  Поэтому эта функция не реализована в Windows Server 2008 и более ранних версиях.

Справочный документ Microsoft: [MS-NRPC]: Удаленный протокол Netlogon - 7 Приложение Б: Поведение продукта
Раздел 3.5.4.4.10:
параметр ServerCapabilities не поддерживается в Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008.

Исправление.
Самым безопасным долгосрочным решением является модернизация всех контроллеров домена, подключенных к системам Unity с версией 5.0.6 или выше, до поддерживаемой версии Windows Server.  До этого момента см. раздел Временное решение ниже.

Временное решение.
Поскольку параметр «param NTsec.NETLOGON.getDCcapas» в системах Dell EMC Unity определяет, как серверы NAS проверяют возможности DC, в качестве временного решения можно изменить параметр, чтобы отключить эту функцию.

ВАЖНОЕ ПРИМЕЧАНИЕ.  В средах, где существует несколько контроллеров домена, хотя бы один из которых работает под управлением более старых версий Windows Server, и хотя бы один работает под управлением более новой версии Windows Server (например 2003 и 2012), похоже, что отключение функции ServerCapabilities не оказывает негативного влияния на более новые версии.  Это означает, что в настоящее время корпорация Microsoft не принуждает использовать эту функцию.  Однако в будущем это может измениться, и пользователям придется выбрать более старую или более новую версию Windows Server для работы с этим процессором СХД.

Если вы должны немедленно внести изменения и не можете перезагрузить процессор СХД, обратитесь в службу технической поддержки Dell EMC или к авторизованному поставщику услуг и укажите эту статью базы знаний.  Временное решение может быть реализовано другим способом, но для него требуются повышенные права.  Обратите внимание, что этот параметр может быть реализован только на уровне процессора СХД и, таким образом, влияет на ВСЕ серверы NAS на процессоре СХД.

Если вы можете внедрить изменение и перезагрузить процессор СХД, выполните следующие действия.
 

Шаг 1 из 2. Выполните команду:  svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb:~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas добавлен в список видимых параметров SPA : done Предупреждение 17716815750: SPA : You must reboot the SP for NETLOGON.getDCcapas changes to take effect. СПБ : готово Предупреждение 17716815750. SPB : You must reboot the SP for NETLOGON.getDCcapas changes to take effect.

Шаг 2 из 2. Перезагрузите процессоры СХД по одному.

Дополнительная информация доступна для просмотра целевой аудиторией статьи.
Чтобы проверить, возникает ли эта проблема в массиве Dell EMC Unity:

В файле EMCSystemLogFile.log:

service@spb:~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 18.03.21 09:43:44.507 DART_SMB 10380008 [WARN] Аудит: For the NAS server NAS in the domain DOMAIN, the DC DC01 has the following error: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
B 18.03.21 09:43:46.559 DART_SMB 10380008 [WARN] Аудит: For the NAS server NAS in the domain DOMAIN, the DC DC02 has the following error: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.

В файле c4_safe_ktrace.log: 

service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 30.03.21 10:37:50.307 SADE D927F702 c4_safe_ktrace SMB: 3:[NAS] Srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B 30.03.21 10:37:50.307 SADE D927F702 c4_safe_ktrace SMB: 3: РУЧКА [NAS] PWD=2
B 30.03.21 10:37:50.307 SADE D927F702 c4_safe_ktrace SMB: 3:[NAS] NLogon_SecureChannel не в порядке=Capa_ErrorQueryFailed
B 30.03.21 10:37:50.307 SADE D927F702 c4_safe_ktrace SMB: 3:[NAS] smbSync не удалось создать новый SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B 30.03.21 10:37:50.307 SADE D927F702 c4_safe_ktrace SMB: 3: [NAS] led SessionKey:StrongKeys authV: [PRIVACY, знак: HMAC_MD5, печать: RC4] 
B 30.03.21 10:37:50.307 SADE D927F702 c4_safe_ktrace SMB: 6:[NAS] DC0x00175e1038: setDCDown DC(xx.xx.xxx.xxx), обновление при необходимости (origin=netLogonAuth2)
B 30.03.21 10:37:50.307 SADE D927F702 c4_safe_ktrace SMB: 3:[NAS] smbSync SamLogon[0] DC=DC01 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
B 30.03.21 10:37:50.307 SADE D927F702 c4_safe_ktrace SMB: 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)