VNX2 : les serveurs NAS affichent l’erreur « DC cannot open NETLOGON pipe »

Cette solution s’applique lorsqu’au moins un contrôleur de domaine Windows Server 2008 ou antérieur est en cours d’utilisation et est connecté au serveur NAS VNX. Cette solution ne s’applique pas aux contrôleurs de domaine Windows Server 2008 R2 et versions ultérieures.

Certains serveurs NAS sont affectés par le message d’erreur ci-dessous après la mise à niveau du système VNX vers OE version 8.1.21.303 et versions ultérieures :

DC cannot open NETLOGON pipe

Cela se produit de manière intermittente et aléatoire, affectant plusieurs serveurs NAS en même temps ou individuellement, mais il y en a toujours au moins un qui affiche cette erreur :

1315xxxxx60: SMB: 3:[vdma3] 1SMB272 SamLogon[0] DC=DCSRVCPVWSK27 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonStatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)

[nasadmin@skxxxxx58xxxx6_cs0 ~]$ server_cifssupport vdma3 -pingdc -compname swdfs01p_new
vdma3: done
PINGDC GENERAL INFORMATION
DC SERVER:
Netbios name: DCSRVCPVWSK26
CIFS SERVER:
Compname: sXXXs01p_new
Domain: an.ad.axxxxxxc.co.uk
Error 1316xxxxx79: vdma3: compname swdfs01p_new DC=DCSRVCPVWSK26 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE 

Dans le cadre de la fourniture de la fonctionnalité de RPC sécurisé dans le code VNX, la fonction « getDCcapas » a été introduite conformément à la spécification de la fonction Microsoft Netlogon pour prendre en charge le paramètre ServerCapabilities de Microsoft.

Toutefois, cette fonction n’a été ajoutée qu’aux versions de Windows Server prises en charge. La fonction n’est pas mise en œuvre dans Windows Server 2008 et les versions antérieures. Voir le document Microsoft : [MS-NRPC] : Netlogon Remote Protocol – 7 Annexe B : comportement du produit Section 3.5.4.4.10:
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/0c858a52-732a-43ec-85dd-e44b357c1898.

Le paramètre ServerCapabilities n’est pas pris en charge par Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista ou Windows Server 2008.

Résolution :
la solution à long terme la plus sûre consiste à mettre à niveau tous les contrôleurs de domaine se connectant avec des systèmes VNX qui exécutent la version 8.1.21.303 ou une version ultérieure vers une version de Windows Server prise en charge. En attendant, voir la section Contournement ci-dessous.

Contournement :
le paramètre « param NTsec.NETLOGON.getDCcapas » dans les systèmes Dell EMC VNX contrôle la façon dont les serveurs NAS vérifient les capacités DC. La solution de contournement consiste à modifier le paramètre pour désactiver cette fonction.

Ajoutez une ligne « param NTsec NETLOGON.getDCcapas=0 » dans le fichier Param pour que la modification soit conservée après le redémarrage de DM.

[root@skxxxxx58xxxx6_cs0 slot_x]# cat param
param quota policy=filesize
param cifs nanoroundoff=1
param cifs acl.retryAuthSid=600
param cifs acl.mappingErrorAction=1
param config cs_external_ip=22.99.58.13
param NDMP concurrentDataStreams=8
param cifs acl.FailOnSDRestoreError=0
param cifs resolver=1
param cifs sendMessage=3
param shadow followdotdot=1
param NTsec NETLOGON.getDCcapas=0    <<<<<<

Remarque : Une fois que le client a mis à niveau son ancienne version logicielle sur le contrôleur de domaine vers une version plus récente, il doit réactiver le paramètre sur VNX.

 /nas/bin/.server_config servername -v "param NTsec NETLOGON.getDCcapas=0"