VNX2: Сервери NAS відображають помилку «DC не може відкрити NETLOGON pipe»

Це рішення застосовується, коли використовується щонайменше один контролер домену Windows Server 2008 або раніше (DC) і підключений до NAS-сервера VNX. Це рішення не застосовується до контролерів домену Windows Server 2008 R2 та пізніших.

Деякі сервери NAS піддаються наведеному нижче повідомленням про помилку після оновлення системи VNX до OE версії 8.1.21.303 і вище:

DC cannot open NETLOGON pipe

Це відбувається періодично і випадково, впливаючи на кілька серверів NAS-серверів одночасно або окремо, але завжди є принаймні один, що відображає цю помилку:

1315xxxxx60: SMB: 3:[vdma3] 1SMB272 SamLogon[0] DC=DCSRVCPVWSK27 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonStatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)

[nasadmin@skxxxxx58xxxx6_cs0 ~]$ server_cifssupport vdma3 -pingdc -compname swdfs01p_new
vdma3: done
PINGDC GENERAL INFORMATION
DC SERVER:
Netbios name: DCSRVCPVWSK26
CIFS SERVER:
Compname: sXXXs01p_new
Domain: an.ad.axxxxxxc.co.uk
Error 1316xxxxx79: vdma3: compname swdfs01p_new DC=DCSRVCPVWSK26 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE 

У рамках забезпечення функціоналу Secure RPC у VNX Code була впроваджена функція "getDCcapas" відповідно до специфікації Microsoft Netlogon для підтримки параметра ServerCapabilities від Microsoft.

Однак цю функцію додали лише до підтримуваних версій Windows Server. Ця функція не реалізована в Windows Server 2008 та раніше версіях. Див. документ Microsoft: [MS-NRPC]: Netlogon Remote Protocol - 7 Додаток B: Розділ про поведінку продукту 3.5.4.4.10:
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/0c858a52-732a-43ec-85dd-e44b357c1898.

Параметр ServerCapabilities не підтримується Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista або Windows Server 2008.

Резолюція:
Найбезпечнішим довгостроковим рішенням є оновлення будь-якого доменного контролера, що підключається до VNX-систем на 8.1.21.303 або новіших версіях, до підтримуваної версії Windows Server. До того часу дивіться розділ «Обхідний шлях» нижче.

Обхідний шлях:
Параметр "param NTsec.NETLOGON.getDCcapas" у системах Dell EMC VNX керує, як сервери NAS-перевіряють можливості DC. Обхідним шляхом є модифікація параметра, щоб вимкнути цю функцію.

Додайте новий рядок "param NTsec NETLOGON.getDCcapas=0" у файлі Param, щоб зміна зберігалася після перезавантаження Менеджера.

[root@skxxxxx58xxxx6_cs0 slot_x]# cat param
param quota policy=filesize
param cifs nanoroundoff=1
param cifs acl.retryAuthSid=600
param cifs acl.mappingErrorAction=1
param config cs_external_ip=22.99.58.13
param NDMP concurrentDataStreams=8
param cifs acl.FailOnSDRestoreError=0
param cifs resolver=1
param cifs sendMessage=3
param shadow followdotdot=1
param NTsec NETLOGON.getDCcapas=0    <<<<<<

Примітка: Після того, як клієнт оновить стару версію програмного забезпечення на DC до новішої, він повинен знову увімкнути параметр у VNX.

 /nas/bin/.server_config servername -v "param NTsec NETLOGON.getDCcapas=0"