VNX2: errore "DC cannot open NETLOGON pipe" sui server NAS

Questa soluzione si applica quando è in uso minimo un controller di dominio (DC) Windows Server 2008 o versione precedente e tale controller è collegato al server NAS di VNX. Questa soluzione non è applicabile ai controller di dominio Windows Server 2008 R2 e versioni successive.

Alcuni server NAS sono interessati dal seguente messaggio di errore dopo l'aggiornamento del sistema VNX a OE versione 8.1.21.303 e successive:

DC cannot open NETLOGON pipe

Il problema si verifica in modo intermittente e casuale, interessando più server NAS contemporaneamente o singolarmente, ma almeno su uno viene sempre visualizzato questo errore:

1315xxxxx60: SMB: 3:[vdma3] 1SMB272 SamLogon[0] DC=DCSRVCPVWSK27 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonStatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)

[nasadmin@skxxxxx58xxxx6_cs0 ~]$ server_cifssupport vdma3 -pingdc -compname swdfs01p_new
vdma3: done
PINGDC GENERAL INFORMATION
DC SERVER:
Netbios name: DCSRVCPVWSK26
CIFS SERVER:
Compname: sXXXs01p_new
Domain: an.ad.axxxxxxc.co.uk
Error 1316xxxxx79: vdma3: compname swdfs01p_new DC=DCSRVCPVWSK26 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE 

Per fornire la funzionalità Secure RPC nel codice VNX, è stata introdotta la funzione "getDCcapas" conformemente alla specifica della funzione Microsoft Netlogon per supportare il parametro ServerCapabilities di Microsoft.

Tuttavia, tale funzione è stata aggiunta solo alle versioni di Windows Server supportate. La funzione non è implementata in Windows Server 2008 e versioni precedenti. Consultare il documento Microsoft [MS-NRPC]: Netlogon Remote Protocol - 7 Appendix B: Product Behavior Section 3.5.4.4.10:
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/0c858a52-732a-43ec-85dd-e44b357c1898.

Il parametro ServerCapabilities non è supportato da Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008.

Risoluzione:
La soluzione più sicura nel lungo termine consiste nell'aggiornare tutti i controller di dominio che si collegano a sistemi VNX che eseguono la versione 8.1.21.303 o successiva a una versione di Windows Server supportata. Fino ad allora, consultare la sezione Soluzione alternativa riportata di seguito.

Soluzione alternativa:
Il parametro "param NTsec.NETLOGON.getDCcapas" nei sistemi Dell EMC VNX controlla il modo in cui i server NAS controllano le funzionalità dei DC. La soluzione alternativa consiste nel modificare il parametro per disabilitare questa funzione.

Aggiungere una nuova riga "param NTsec NETLOGON.getDCcapas=0" nel file Param per rendere persistente la modifica dopo il riavvio di DM.

[root@skxxxxx58xxxx6_cs0 slot_x]# cat param
param quota policy=filesize
param cifs nanoroundoff=1
param cifs acl.retryAuthSid=600
param cifs acl.mappingErrorAction=1
param config cs_external_ip=22.99.58.13
param NDMP concurrentDataStreams=8
param cifs acl.FailOnSDRestoreError=0
param cifs resolver=1
param cifs sendMessage=3
param shadow followdotdot=1
param NTsec NETLOGON.getDCcapas=0    <<<<<<

Nota: Una volta che il cliente aggiorna la versione precedente del software sul controller di dominio a una versione più recente, deve abilitare nuovamente il parametro su VNX.

 /nas/bin/.server_config servername -v "param NTsec NETLOGON.getDCcapas=0"