VNX2. На серверах NAS отображается ошибка «DC cannot open NETLOGON pipe»

Это решение применяется, если используется хотя бы один контроллер домена (DC) с Windows Server 2008 или более ранней версией, подключенный к NAS-серверу VNX. Это решение не применимо к контроллерам домена Windows Server 2008 R2 и более поздних версий.

После обновления операционной среды VNX до операционной среды версии 8.1.21.303 и более поздней на некоторых серверах NAS возникает ошибка.

DC cannot open NETLOGON pipe

Это происходит периодически и случайным образом, затрагивая несколько серверов NAS одновременно или по отдельности, но ошибка всегда отображается хотя бы на одном:

1315xxxxx60: SMB: 3:[vdma3] 1SMB272 SamLogon[0] DC=DCSRVCPVWSK27 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonStatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)

[nasadmin@skxxxxx58xxxx6_cs0 ~]$ server_cifssupport vdma3 -pingdc -compname swdfs01p_new
vdma3: done
PINGDC GENERAL INFORMATION
DC SERVER:
Netbios name: DCSRVCPVWSK26
CIFS SERVER:
Compname: sXXXs01p_new
Domain: an.ad.axxxxxxc.co.uk
Error 1316xxxxx79: vdma3: compname swdfs01p_new DC=DCSRVCPVWSK26 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE 

В рамках предоставления функций Secure RPC в коде VNX была введена функция «getDCcapas» в соответствии со спецификацией функции Microsoft Netlogon для поддержки параметра Microsoft ServerCapabilities.

Однако эта функция была добавлена только в поддерживаемые версии Windows Server. Эта функция не реализована в Windows Server 2008 и более ранних версиях. См. документ Microsoft: [MS-NRPC]: Удаленный протокол Netlogon - 7 Приложение Б: Раздел поведения продукта 3.5.4.4.10:
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/0c858a52-732a-43ec-85dd-e44b357c1898.

Параметр ServerCapabilities не поддерживается в Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista и Windows Server 2008.

Решение.
Самым безопасным долгосрочным решением является модернизация всех контроллеров домена, подключенных к системам VNX с версией 8.1.21.303 или выше, до поддерживаемой версии Windows Server. До этого момента см. раздел Временное решение ниже.

Временное решение.
Параметр «param NTsec.NETLOGON.getDCcapas» в системах Dell EMC VNX определяет, как серверы NAS проверяют возможности DC. Временное решение: изменить параметр, чтобы отключить эту функцию.

Добавьте новую строку «param NTsec NETLOGON.getDCcapas=0» в файл параметров, чтобы изменения сохранялись после перезагрузки DM.

[root@skxxxxx58xxxx6_cs0 slot_x]# cat param
param quota policy=filesize
param cifs nanoroundoff=1
param cifs acl.retryAuthSid=600
param cifs acl.mappingErrorAction=1
param config cs_external_ip=22.99.58.13
param NDMP concurrentDataStreams=8
param cifs acl.FailOnSDRestoreError=0
param cifs resolver=1
param cifs sendMessage=3
param shadow followdotdot=1
param NTsec NETLOGON.getDCcapas=0    <<<<<<

Примечание. После модернизации старой версии программного обеспечения на контроллере домена до более новой версии заказчик должен повторно включить параметр в VNX.

 /nas/bin/.server_config servername -v "param NTsec NETLOGON.getDCcapas=0"