VNX2: Os servidores NAS exibem o erro "DC cannot open NETLOGON pipe"

Essa solução se aplica quando um mínimo de um Controlador de domínio (DC) do Windows Server 2008 ou versão mais antiga está em uso e conectado ao servidor NAS do VNX. Esta solução não se aplica aos controladores de domínio do Windows Server 2008 R2 e posteriores.

Alguns servidores NAS são afetados pela mensagem de erro abaixo após o upgrade do sistema VNX para o OE versão 8.1.21.303 e posteriores:

DC cannot open NETLOGON pipe

Isso ocorre de maneira intermitente e aleatória, afetando vários servidores NAS simultânea ou individualmente, mas sempre há pelo menos um exibindo esse erro:

1315xxxxx60: SMB: 3:[vdma3] 1SMB272 SamLogon[0] DC=DCSRVCPVWSK27 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonStatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)

[nasadmin@skxxxxx58xxxx6_cs0 ~]$ server_cifssupport vdma3 -pingdc -compname swdfs01p_new
vdma3: done
PINGDC GENERAL INFORMATION
DC SERVER:
Netbios name: DCSRVCPVWSK26
CIFS SERVER:
Compname: sXXXs01p_new
Domain: an.ad.axxxxxxc.co.uk
Error 1316xxxxx79: vdma3: compname swdfs01p_new DC=DCSRVCPVWSK26 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE 

Como parte do fornecimento da funcionalidade RPC seguro no código VNX, a função "getDCcapas" foi introduzida de acordo com a especificação da função de Logon de rede da Microsoft para dar suporte ao parâmetro ServerCapabilities da Microsoft.

No entanto, essa função só foi adicionada às versões compatíveis do Windows Server. A função não foi implementada no Windows Server 2008 e versões anteriores. Consulte o documento da Microsoft: [MS-NRPC]: Protocolo remoto do Logon de rede: 7 Apêndice B: Comportamento do produto, Seção 3.5.4.4.10:
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/0c858a52-732a-43ec-85dd-e44b357c1898.

O parâmetro ServerCapabilities não é compatível com Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista ou Windows Server 2008.

Resolução:
A solução de longo prazo mais segura é fazer upgrade de qualquer controlador de domínio que se conecte aos sistemas VNX que executam a versão 8.1.21.303 ou posterior para uma versão compatível do Windows Server. Até lá, consulte a seção Solução temporária abaixo.

Solução temporária:
O parâmetro "param NTsec.NETLOGON.getDCcapas" nos sistemas Dell EMC VNX controla como os servidores NAS verificam os recursos do DC. A solução temporária é modificar o parâmetro para desativar esse recurso.

Adicione uma nova linha "param NTsec NETLOGON.getDCcapas=0" no arquivo Parâmetro para fazer com que a alteração persista após a reinicialização do DM.

[root@skxxxxx58xxxx6_cs0 slot_x]# cat param
param quota policy=filesize
param cifs nanoroundoff=1
param cifs acl.retryAuthSid=600
param cifs acl.mappingErrorAction=1
param config cs_external_ip=22.99.58.13
param NDMP concurrentDataStreams=8
param cifs acl.FailOnSDRestoreError=0
param cifs resolver=1
param cifs sendMessage=3
param shadow followdotdot=1
param NTsec NETLOGON.getDCcapas=0    <<<<<<

Nota: Depois que o cliente fizer upgrade da versão mais antiga do software para uma versão mais recente no DC, ele deverá reativar o parâmetro no VNX.

 /nas/bin/.server_config servername -v "param NTsec NETLOGON.getDCcapas=0"