Dell EMC Unity: På NAS-servrar visas felmeddelandet "DC kan inte öppna NETLOGON-pipe" (kan korrigeras av användaren)

Den här lösningen gäller när minst en Windows Server 2008 eller äldre domänkontrollant används och är ansluten till Unitys NAS-server.  Den här lösningen gäller inte Windows Server 2008R2 och nyare domänkontrollanter.

Efter att ha uppgraderat Unity-systemet till OE-version 5.0.6 påverkas vissa NAS-servrar av detta felmeddelande:

DC kan inte öppna NETLOGON-pipe.

Detta inträffar intermittent och slumpmässigt och påverkar flera NAS-servrar samtidigt eller individuellt, men det finns alltid minst en som visar det här felet.

Kunden kan använda FQDN för att komma åt resursen, men det går inte att komma åt via IP-adressen.

När du kör kommandot svc_cifssupport< NAS_server_name> -pdcdump visas följande fel:
 
Cnx=WRONG_CREDENTIAL_HANDLE,DC kan inte öppna NETLOGON-röret

Som en del av tillhandahållandet av säker RPC-funktionalitet i Dell EMC Unity OE version 5.0.6 introducerades funktionen "getDCcapas", i enlighet med Microsoft Netlogon-funktionsspecifikationen, för att stödja Microsofts ServerCapabilities-parameter.  Den funktionen har dock bara lagts till i versioner av Windows Server som stöds.  Därför är funktionen inte implementerad i Windows Server 2008 och tidigare.

Microsoft-referensdokument: [MS-NRPC]: Netlogon Remote Protocol – 7 Bilaga B: Produktbeteende
Avsnitt 3.5.4.4.10:
Parametern ServerCapabilities stöds inte av Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista eller Windows Server 2008.

Reparera:
Den säkraste långsiktiga lösningen är att uppgradera alla domänkontrollanter som ansluter till Unity-system som kör 5.0.6 eller senare till en version av Windows Server som stöds.  Fram till dess, se avsnittet Tillfällig lösning nedan.

Lösning:
Eftersom parametern "param NTsec.NETLOGON.getDCcapas" i Dell EMC Unity-system styr hur NAS-servrar kontrollerar DC-funktioner, är lösningen att ändra parametern för att avaktivera den här funktionen.

VIKTIG INFORMATION:  I miljöer där det finns flera domänkontrollanter och minst en finns på äldre Windows Server-versioner och minst en finns på nyare Windows Server-versioner (dvs. 2003 och 2012), verkar det som om inaktivering av funktionen ServerCapabilities inte påverkar de nyare versionerna negativt.  Detta indikerar att Microsoft för närvarande inte tillämpar användningen av den här funktionen.  Detta kan dock ändras någon gång i framtiden, och kunderna måste välja mellan äldre och nyare versioner av Windows Server för att köra mot den SP.

Om du måste genomföra ändringen omedelbart och inte kan starta om SP:n kontaktar du Dell EMC:s tekniska support eller din auktoriserade tjänsteleverantör och citerar denna kunskapsbasartikel.  Lösningen kan implementeras på ett annat sätt, men den kräver förhöjd behörighet.  Observera att den här parametern endast kan implementeras på SP-nivå och därmed påverkar ALLA NAS-servrar över SP.

Om du kan implementera ändringen och starta om din SP följer du stegen nedan:
 

Steg 1 av 2. Kör kommandot:  svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb:~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas har lagts till i listan över synliga parametrar SPA : done Varning 17716815750: BRUNN: Du måste starta om lagringsprocessorn för att NETLOGON.getDCcapas-ändringarna ska börja gälla. SPB: klart Varning 17716815750: SPB: Du måste starta om lagringsprocessorn för att NETLOGON.getDCcapas-ändringarna ska börja gälla.

Steg 2 av 2. Starta om lagringsprocessorerna (SP), en i taget.

Ytterligare information kan ses av artikelns avsedda målgrupp.
Så här kontrollerar du om Dell EMC Unity-disksystemet har det här problemet:

Från EMCSystemLogFile.log:

service@spb:~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 03/18/21 09:43:44.507 DART_SMB 10380008 [VARNA] Granskning: För NAS-server-NAS:en i domänen DOMAIN har DC DC01 följande fel: compname nas DC=DC01 Step='Öppna NETLOGON Secure Channel' ' ' 'DC kan inte öppna NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
B 03/18/21 09:43:46.559 DART_SMB 10380008 [WARN] Granskning: För NAS-server-NAS:en i domänen DOMAIN har DC DC02 följande fel: compname nas DC=DC02 Step='Öppna NETLOGON Secure Channel' ' ' 'DC kan inte öppna NETLOGON-pipe: status=WRONG_CREDENTIAL_HANDLE '.

Från c4_safe_ktrace.log: 

service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE"
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] Srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] HANDTAG pwdno=2
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] NLogon_SecureChannel inte OK=Capa_ErrorQueryFailed
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync kunde inte skapa ny SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] led SessionKey:StrongKeys authV:[PRIVACY,sign:HMAC_MD5,seal:RC4] 
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 6:[NAS] DC0x00175e1038: setDCDown DC(xx.xx.xxx.xxx), uppdatera vid behov (origin=netLogonAuth2)
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync SamLogon[0] DC=DC01 "DC kan inte öppna NETLOGON-pipe" NTstatus=WRONG_CREDENTIAL_HANDLE inloggning
B 03/30/21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)