Dell EMC Unity: Сервери NAS відображають помилку «DC не може відкрити трубу NETLOGON» (виправляється користувачем)

Це рішення застосовується, коли використовується принаймні один контролер домену Windows Server 2008 або старішої версії, який підключено до сервера NAS Unity.  Це рішення не застосовується до Windows Server 2008R2 і новіших контролерів домену.

Після оновлення системи Unity до версії OE 5.0.6 деякі сервери NAS страждають від цього повідомлення про помилку:

DC не може відкрити трубу NETLOGON.

Це відбувається періодично та випадковим чином, впливаючи на кілька серверів NAS одночасно або окремо, але завжди є принаймні один із них, який відображає цю помилку.

Клієнт може використовувати FQDN для доступу до спільного ресурсу, але не може отримати доступ через IP-адресу.

При виконанні команди svc_cifssupport< NAS_server_name> -pdcdump вона покаже наступну помилку:
 
Cnx=WRONG_CREDENTIAL_HANDLE, постійний струм не може відкрити трубу NETLOGON

В рамках забезпечення функціональності Secure RPC в Dell EMC Unity OE версії 5.0.6 була введена функція "getDCcapas", відповідно до специфікації функції Microsoft Netlogon для підтримки параметра Microsoft ServerCapabilities.  Однак ця функція була додана лише до підтримуваних версій Windows Server.  Тому функція не реалізована в Windows Server 2008 і більш ранніх версіях.

Довідковий документ Microsoft: [MS-NRPC]: Віддалений протокол Netlogon - 7 Додаток В: Поведінка
продуктуРозділ 3.5.4.4.10:
Параметр ServerCapabilities не підтримується Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista або Windows Server 2008.

Виправити:
Найбезпечнішим довгостроковим рішенням є оновлення будь-яких контролерів доменів, що підключаються до систем Unity під керуванням 5.0.6 або новішої версії, до підтримуваної версії Windows Server.  До того часу, будь ласка, перегляньте розділ «Обхідний шлях» нижче.

Спосіб вирішення:
Оскільки параметр "param NTsec.NETLOGON.getDCcapas" у системах Dell EMC Unity керує тим, як сервери NAS перевіряють можливості постійного струму, обхідним шляхом є зміна параметра для вимкнення цієї функції.

ВАЖЛИВЕ ЗАУВАЖЕННЯ:  У середовищах, у яких існує кілька контролерів домену, і принаймні один із них використовується на старіших версіях Windows Server, а принаймні один — на новіших версіях Windows Server (наприклад, 2003 і 2012), вимкнення функції ServerCapabilities не має негативного впливу на новіші версії.  Це вказує на те, що наразі Microsoft не забезпечує використання цієї функції.  Однак це може змінитися в певний час у майбутньому, і клієнтам доведеться вибирати між старішою чи новішою версіями Windows Server для роботи з цим пакетом оновлень.

Якщо вам потрібно внести зміни негайно, а ви не можете перезавантажити свій SP, зверніться до технічної підтримки Dell EMC або до авторизованого постачальника послуг і процитуйте цю статтю бази знань.  Обхідний шлях може бути реалізований іншим способом, але він вимагає підвищених привілеїв.  Зверніть увагу, що цей параметр може бути реалізований тільки на рівні SP і таким чином впливає на ВСІ NAS-сервери по всьому SP.

Якщо ви можете впровадити зміну та перезавантажити свій SP, будь ласка, дотримуйтесь наступних кроків:
 

Крок 1 з 2. Команда виконання:  svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb:~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas додано до списку видимих параметрів SPA : done Попередження 17716815750: СПА: Ви повинні перезавантажити SP, щоб зміни NETLOGON.getDCcapas набули чинності. СПБ : Виконано Попередження 17716815750: СПБ : Ви повинні перезавантажити SP, щоб зміни NETLOGON.getDCcapas набули чинності.

Крок 2 з 2. Перезавантажуйте процесори зберігання даних (SP) по черзі.

Додаткову інформацію може переглянути визначена аудиторія статті.
Щоб перевірити, чи виникає ця проблема в масиві Dell EMC Unity, виконайте такі дії:

З EMCSystemLogFile.log:

service@spb:~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i "WRONG_CREDENTIAL_HANDLE"
Б 18.03.21 09:43:44.507 DART_SMB 10380008 [ПОПЕРЕДИТИ] Аудит: Для NAS сервера NAS у домені DOMAIN DC DC01 має наступну помилку: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' ' DC не може відкрити трубу NETLOGON: status=WRONG_CREDENTIAL_HANDLE '.
Б 18.03.21 09:43:46.559 DART_SMB 10380008 [ПОПЕРЕДИТИ] Аудит: Для NAS сервера NAS у домені DOMAIN DC DC02 має таку помилку: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' ' ' DC не може відкрити трубу NETLOGON: status=WRONG_CREDENTIAL_HANDLE '.

З c4_safe_ktrace.log: 

service@spb:~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i "WRONG_CREDENTIAL_HANDLE"
Б 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] Srv=NAS DC=DC01 buildSecureChannel(2)=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
Б 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3: [NAS] РУЧКА pwdno=2
Б 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] NLogon_SecureChannel не OK=Capa_ErrorQueryFailed
Б 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync не вдалося створити новий SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
Б 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] вів SessionKey:StrongKeys authV:[PRIVACY,sign:HMAC_MD5,seal:RC4] 
Б 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 6: [NAS] DC0x00175e1038: встановіть DCDown DC(xx.xx.xxx.xxx), оновіть, якщо потрібно (origin=netLogonAuth2)
Б 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] smbSync SamLogon[0] DC=DC01 'DC не може відкрити трубу NETLOGON' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
Б 30.03.21 10:37:50.307 sade d927f702 c4_safe_ktrace SMB: 3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)