Dell EMC Unity：NAS 服务器显示错误“DC cannot open NETLOGON pipe”（DC 无法打开管道）（用户可纠正）

当至少有一个 Windows Server 2008 或更旧版本的域控制器正在使用并且连接到 Unity 的 NAS 服务器时，适用此解决方案。  此解决方案不适用于 Windows Server 2008R2 和更高版本的域控制器。

将 Unity 系统升级到 OE 版本 5.0.6 后，某些 NAS 服务器受到此错误消息的影响：

DC 无法打开 NETLOGON 管道。

这种情况间歇性地随机发生，同时或单独影响多个 NAS 服务器，但始终至少有一个显示此错误。

客户可以使用 FQDN 访问共享，但无法通过 IP 地址访问。

svc_cifssupport <NAS_server_name> -pdcdump 运行命令时，它将显示以下错误：

Cnx=WRONG_CREDENTIAL_HANDLE,DC cannot open NETLOGON pipe

作为在 Dell EMC Unity OE 版本 5.0.6 中提供安全 RPC 功能的一部分，根据 Microsoft Netlogon 功能规范引入了“getDCcapas”功能，以支持 Microsoft 的 ServerCapabilities 参数。  但是，该功能仅添加到受支持的 Windows Server 版本。  因此，该功能未在 Windows Server 2008 及更早版本中实施。

Microsoft 参考文档：[MS-NRPC]：Netlogon 远程协议 — 7 附录 B：产品行为
3.5.4.4.10 部分：
Windows NT、Windows 2000、Windows XP、Windows Server 2003、Windows Vista 或 Windows Server 2008 不支持 ServerCapabilities 参数。

修复：
最安全的长期解决方案是将与运行 5.0.6 或更高版本的 Unity 系统连接的任何域控制器升级到受支持的 Windows Server 版本。  在此之前，请参阅下面的解决办法部分。

解决办法：
由于 Dell EMC Unity 系统中的参数“param NTsec.NETLOGON.getDCcapas”控制 NAS 服务器检查 DC 功能的方式，因此解决办法是修改参数以禁用此功能。

重要提醒：  在存在多个域控制器的环境中，当至少有一个位于较旧的 Windows Server 版本且至少有一个位于较新的 Windows Server 版本（即 2003 和 2012）时，似乎禁用 ServerCapabilities 功能不会对较新的版本产生负面影响。  这表示目前 Microsoft 未强制使用此功能。  但是，这可能会在将来的某个时间发生改变，客户必须决定要在较旧版本还是较新版本的 Windows Server 上针对该 SP 运行。

如果您必须立即实施更改并且您无法重新启动 SP，请联系 Dell EMC 技术支持或您的授权服务提供商，并引用此知识库文章。  该解决办法可以通过不同的方式实施，但需要提升的权限。  请注意，此参数只能在 SP 级别实施，因此会影响 SP 中的所有 NAS 服务器。

如果您可以实施更改并重新启动 SP，请执行以下步骤：
 

步骤 1/2。运行命令：  svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0
 

service@spb：~/user# svc_nas ALL -param -facility NTsec -m NETLOGON.getDCcapas -v 0 param NTsec.NETLOGON.getDCcapas 添加到可见参数 列表中 SPA ： done 警告17716815750：SPA : You must reboot the SP for NETLOGON.getDCcapas changes to take effect. SPB：完成 警告17716815750：SPB : You must reboot the SP for NETLOGON.getDCcapas changes to take effect.

步骤 2/2。一次重新启动一个存储处理器 (SP)。

文章的指定受众可以查看其他信息。
要确认 Dell EMC Unity 阵列是否遇到此问题：

从 EMCSystemLogFile.log：

service@spb：~/user# tailf 00_emc_backend_log_shared/EMCSystemLogFile.log |grep -i “WRONG_CREDENTIAL_HANDLE”
B 03/18/21 09：43：44.507 DART_SMB 10380008 [WARN] Audit：For the NAS server NAS in the domain DOMAIN, the DC DC01 has the following error: compname nas DC=DC01 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.
B 03/18/21 09：43：46.559 DART_SMB 10380008 [WARN] Audit：For the NAS server NAS in the domain DOMAIN, the DC DC02 has the following error: compname nas DC=DC02 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE '.

从 c4_safe_ktrace.log： 

service@spb：~/user# tailf 02_emc_c4core_log/c4_safe_ktrace.log |grep -i “WRONG_CREDENTIAL_HANDLE”
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] Srv=NAS DC=DC01 buildSecureChannel（2）=Capa_ErrorQueryFailed NTStatus=WRONG_CREDENTIAL_
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] HANDLE pwdno=2
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] NLogon_SecureChannel not OK=Capa_ErrorQueryFailed
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] smbSync failed to create new SecureChannel DC=DC01 NTstatus=SUCCESS LogonStatus=Capa_ErrorQueryFai
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] led SessionKey：StrongKeys authV：[PRIVACY，sign：HMAC_MD5，seal：RC4]
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：6：[NAS] DC0x00175e1038： setDCDown DC（xx.xx.xxx.xxx）， refresh if needed （origin=netLogonAuth2）
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3：[NAS] smbSync SamLogon[0] DC=DC01 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonS
B 03/30/21 10：37：50.307 sade d927f702 c4_safe_ktrace SMB：3:[NAS] tatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)