VNX2: NAS-servers geven de foutmelding "DC cannot open NETLOGON pipe" weer

Deze oplossing is van toepassing wanneer minimaal één Windows Server 2008 of oudere domeincontrollers (DC) in gebruik is en is verbonden met de NAS-server van VNX. Deze oplossing is niet van toepassing op Windows Server 2008 R2 en latere domeincontrollers.

Sommige NAS-servers worden beïnvloed door de onderstaande foutmelding na het upgraden van het VNX-systeem naar OE-versie 8.1.21.303 en hoger:

DC cannot open NETLOGON pipe

Dit gebeurt met tussenpozen en willekeurig, waardoor meerdere NAS-servers tegelijkertijd of afzonderlijk worden getroffen, maar er is er altijd minstens één die deze fout weergeeft:

1315xxxxx60: SMB: 3:[vdma3] 1SMB272 SamLogon[0] DC=DCSRVCPVWSK27 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonStatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)

[nasadmin@skxxxxx58xxxx6_cs0 ~]$ server_cifssupport vdma3 -pingdc -compname swdfs01p_new
vdma3: done
PINGDC GENERAL INFORMATION
DC SERVER:
Netbios name: DCSRVCPVWSK26
CIFS SERVER:
Compname: sXXXs01p_new
Domain: an.ad.axxxxxxc.co.uk
Error 1316xxxxx79: vdma3: compname swdfs01p_new DC=DCSRVCPVWSK26 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE 

Als onderdeel van het leveren van Secure RPC-functionaliteit in VNX-code is de functie getDCcapas geïntroduceerd in overeenstemming met de Microsoft Netlogon-functiespecificatie ter ondersteuning van de parameter ServerCapabilities van Microsoft.

Die functie is echter alleen toegevoegd aan ondersteunde versies van Windows Server. De functie is niet geïmplementeerd in Windows Server 2008 en eerder. Zie Microsoft-document: [LS-NRPC]: Netlogon Remote Protocol - 7 Bijlage B: Productgedrag Sectie 3.5.4.4.10:
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/0c858a52-732a-43ec-85dd-e44b357c1898.

De parameter ServerCapabilities wordt niet ondersteund door Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista of Windows Server 2008.

Resolutie:
De veiligste oplossing op de lange termijn is om een domeincontroller die verbinding maakt met VNX-systemen met versie 8.1.21.303 of hoger te upgraden naar een ondersteunde versie van Windows Server. Zie tot die tijd het gedeelte Tijdelijke oplossing hieronder.

Tijdelijke oplossing:
De parameter "param NTsec.NETLOGON.getDCcapas" in Dell EMC VNX systemen bepaalt hoe NAS-servers de DC-capaciteit controleren. De tijdelijke oplossing is om de parameter te wijzigen om deze functie uit te schakelen.

Voeg een nieuwe regel "param NTsec NETLOGON.getDCcapas=0" toe aan het Param-bestand om de wijziging persistent te maken na DM-reboot.

[root@skxxxxx58xxxx6_cs0 slot_x]# cat param
param quota policy=filesize
param cifs nanoroundoff=1
param cifs acl.retryAuthSid=600
param cifs acl.mappingErrorAction=1
param config cs_external_ip=22.99.58.13
param NDMP concurrentDataStreams=8
param cifs acl.FailOnSDRestoreError=0
param cifs resolver=1
param cifs sendMessage=3
param shadow followdotdot=1
param NTsec NETLOGON.getDCcapas=0    <<<<<<

Opmerking: Zodra de klant zijn oudere softwareversie op de DC heeft geüpgraded naar een nieuwere versie, moet hij de parameter opnieuw inschakelen op VNX.

 /nas/bin/.server_config servername -v "param NTsec NETLOGON.getDCcapas=0"