Dell EMC Unity：NAS 伺服器顯示錯誤「DC 無法開啟 NETLOGON pipe」(使用者可修正)

當正在使用至少一個 Windows Server 2008 或較舊的網域控制站，且已連接到 Unity 的 NAS 伺服器時，即適用此解決方案。  此解決方案不適用於 Windows Server 2008R2 和更新版本的網域控制站。

將 Unity 系統升級至 OE 版本 5.0.6 後，部分 NAS 伺服器受到以下錯誤訊息

的影響：DC cannot open NETLOGON pipe。

這會間歇性發生，且隨機同時或個別影響多個 NAS 伺服器，但至少會有一個顯示此錯誤。

客戶可以使用 FQDN 存取共用，但無法透過 IP 位址存取。

執行命令 svc_cifssupport< NAS_server_name> -pdcdump 時，會顯示下列錯誤：

Cnx=WRONG_CREDENTIAL_HANDLE,DC cannot open NETLOGON pipe

在 Dell EMC Unity OE 版本 5.0.6 中提供 Secure RPC 功能時，根據 Microsoft Netlogon 功能規格導入「getDCcapas」功能，以支援 Microsoft 的 ServerCapabilities 參數。  但是，該功能僅新增至支援的 Windows Server 版本。  因此，此功能不會在 Windows Server 2008 及更早版本中實作。

Microsoft 參考檔案：[MS-NRPC]：Netlogon 遠端通訊協定 - 7 附錄 B：產品行為
第 3.5.4.4.10 節：
Windows NT、Windows 2000、Windows XP、Windows Server 2003、Windows Vista 或 Windows Server 2008 不支援 ServerCapabilities 參數。

修正：
最安全的長期解決方案是將與執行 5.0.6 或更高版本之 Unity 系統連線的任何網域控制站升級至支援的 Windows Server 版本。  在此之前，請參閱下方的因應措施一節。

因應措施：
由於 Dell EMC Unity 系統中的參數「param NTsec.NETLOGON.getDCcapas」可控制 NAS 伺服器如何檢查 DC 功能，因應措施是修改參數以停用此功能。

重要注意事項：  在有多個網域控制站的環境中，至少有一個位於較舊的 Windows Server 版本上，且至少有一個位於較新的 Windows Server 版本 (例如 2003 和 2012) 上，則停用 ServerCapabilities 功能似乎不會對較新的版本產生負面影響。  這表示目前 Microsoft 並未強制使用此功能。  不過，這種情況可能會在未來一段時間內有所改變，客戶必須決定是否要針對該 SP 執行舊版或更新版本的 Windows Server。

如果您必須立即實施變更，且無法將 SP 重新開機，請聯絡 Dell EMC 技術支援部門或您的授權服務提供商，並引用此知識文章。  因應措施可以不同的方式實作，但需要提升權限。  請注意，此參數只能在 SP 層級執行，因此會影響 SP 中所有的 NAS 伺服器。

如果您可以實作變更並將 SP 重新開機，請按照以下步驟操作：
 

步驟 1/2。執行命令：  svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb：~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas 新增至可見參數 清單 SPA： 完成警告 17716815750： 完成 警告 ： SPA：您必須將 SP 重新開機，NETLOGON.getDCcapas 變更才能生效。 SPB：完成 警告 17716815750：SPB：您必須將 SP 重新開機，NETLOGON.getDCcapas 變更才能生效。

步驟 2/2。將儲存處理器 (SP) 重新開機，每次一個。

文章的指定對象可檢視其他資訊。
若要確認 Dell EMC Unity 陣列是否遇到此問題：

從 EMCSystemLogFile.log：

service@spb：~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i “WRONG_CREDENTIAL_HANDLE”
B 03/18/21 09：43：44.507 DART_SMB 10380008 [WARN] 稽核：對於網域 DOMAIN 中的 NAS 伺服器 NAS，DC DC01 有下列錯誤：compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '。
B 03/18/21 09：43：46.559 DART_SMB 10380008 [WARN] 稽核：對於網域 DOMAIN 中的 NAS 伺服器 NAS，DC DC02 有下列錯誤：compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '。

從 c4_safe_ktrace.log： 

service@spb：~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i “WRONG_CREDENTIAL_HANDLE”
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] Srv=NAS DC=DC01 buildSecureChannel（2）=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] 把手 pwdno = 2
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] NLogon_SecureChannel not OK=Capa_ErrorQueryFailed
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] smbSync 無法建立新的 SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] LED 工作階段金鑰：StrongKeys authV：[PRIVACY，符號：HMAC_MD5，印章：RC4]
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：6：[NAS] DC0x00175e1038：setDCDown DC（xx.xx.xxx.xxx），視需要重新整理 （origin=netLogonAuth2）
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] smbSync SamLogon[0] DC=DC01 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)