VNX2: NAS-Server zeigen den Fehler „DC cannot open NETLOGON pipe“ an

Diese Lösung gilt, wenn mindestens ein Domain Controller (DC) auf Windows Server 2008 oder älter verwendet wird, der mit dem NAS-Server von VNX verbunden ist. Diese Lösung gilt nicht für Windows Server 2008 R2 und höher.

Einige NAS-Server sind nach dem Upgrade des VNX-Systems auf OE-Version 8.1.21.303 und höher von der folgenden Fehlermeldung betroffen:

DC cannot open NETLOGON pipe

Diese tritt gelegentlich und zufällig auf und wirkt sich auf mehrere NAS-Server gleichzeitig oder einzeln aus, aber es wird immer mindestens auf einem dieser Fehler angezeigt:

1315xxxxx60: SMB: 3:[vdma3] 1SMB272 SamLogon[0] DC=DCSRVCPVWSK27 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonStatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)

[nasadmin@skxxxxx58xxxx6_cs0 ~]$ server_cifssupport vdma3 -pingdc -compname swdfs01p_new
vdma3: done
PINGDC GENERAL INFORMATION
DC SERVER:
Netbios name: DCSRVCPVWSK26
CIFS SERVER:
Compname: sXXXs01p_new
Domain: an.ad.axxxxxxc.co.uk
Error 1316xxxxx79: vdma3: compname swdfs01p_new DC=DCSRVCPVWSK26 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE 

Im Rahmen der Bereitstellung von Secure RPC-Funktionen im VNX-Code wurde die Funktion getDCcapas in Übereinstimmung mit der Microsoft Netlogon-Funktionsspezifikation eingeführt, um den Parameter ServerCapabilities von Microsoft zu unterstützen.

Diese Funktion wurde jedoch nur zu unterstützten Versionen von Windows Server hinzugefügt. Die Funktion ist nicht in Windows Server 2008 und früher nicht implementiert. Siehe Microsoft-Dokument: [MS-NRPC]: Netlogon-Remote-Protokoll: 7 Anhang B: Produktverhalten Abschnitt 3.5.4.4.10:
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/0c858a52-732a-43ec-85dd-e44b357c1898.

Der Parameter ServerCapabilities wird von Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista oder Windows Server 2008 nicht unterstützt.

Lösung:
Die sicherste langfristige Lösung besteht darin, alle Domain Controller, die mit VNX-Systemen mit Version 8.1.21.303 oder höher verbunden sind, auf eine unterstützte Version von Windows Server zu aktualisieren. Bis dahin finden Sie weitere Informationen im Abschnitt Workaround unten.

Workaround:
Der Parameter param NTsec.NETLOGON.getDCcapas in Dell EMC VNX-Systemen steuert, wie NAS-Server die DC-Funktionen prüfen. Der Workaround besteht darin, den Parameter so zu ändern, dass diese Funktion deaktiviert wird.

Fügen Sie die neue Zeile param NTsec NETLOGON.getDCcapas=0 in der Parameterdatei hinzu, damit die Änderung nach einem DM-Neustart erhalten bleibt.

[root@skxxxxx58xxxx6_cs0 slot_x]# cat param
param quota policy=filesize
param cifs nanoroundoff=1
param cifs acl.retryAuthSid=600
param cifs acl.mappingErrorAction=1
param config cs_external_ip=22.99.58.13
param NDMP concurrentDataStreams=8
param cifs acl.FailOnSDRestoreError=0
param cifs resolver=1
param cifs sendMessage=3
param shadow followdotdot=1
param NTsec NETLOGON.getDCcapas=0    <<<<<<

Hinweis: Sobald der Kunde eine ältere Softwareversion auf dem DC auf eine neuere Version aktualisiert, sollte er den Parameter auf VNX erneut aktivieren.

 /nas/bin/.server_config servername -v "param NTsec NETLOGON.getDCcapas=0"