VNX2: Serwery NAS wyświetlają błąd „DC cannot open NETLOGON pipe”

To rozwiązanie ma zastosowanie, gdy co najmniej jeden kontroler domeny z systemem Windows Server 2008 lub starszym jest w użyciu i jest podłączony do serwera NAS VNX. To rozwiązanie nie ma zastosowania do kontrolerów domeny z systemem Windows Server 2008 R2 lub nowszym.

Niektóre serwery NAS są objęte poniższym komunikatem o błędzie po uaktualnieniu systemu VNX do OE w wersji 8.1.21.303 lub nowszej:

DC cannot open NETLOGON pipe

Dzieje się tak sporadycznie i losowo i ma to wpływ na kilka serwerów NAS jednocześnie lub indywidualnie, ale zawsze występuje co najmniej jeden komunikat o tym błędzie:

1315xxxxx60: SMB: 3:[vdma3] 1SMB272 SamLogon[0] DC=DCSRVCPVWSK27 'DC cannot open NETLOGON pipe' NTstatus=WRONG_CREDENTIAL_HANDLE LogonStatus=Capa_ErrorQueryFailed (rSCstatus=-1 pipeClosed=0)

[nasadmin@skxxxxx58xxxx6_cs0 ~]$ server_cifssupport vdma3 -pingdc -compname swdfs01p_new
vdma3: done
PINGDC GENERAL INFORMATION
DC SERVER:
Netbios name: DCSRVCPVWSK26
CIFS SERVER:
Compname: sXXXs01p_new
Domain: an.ad.axxxxxxc.co.uk
Error 1316xxxxx79: vdma3: compname swdfs01p_new DC=DCSRVCPVWSK26 Step='Open NETLOGON Secure Channel' ' ' 'DC cannot open NETLOGON pipe: status=WRONG_CREDENTIAL_HANDLE 

W ramach zapewniania funkcji Secure RPC w kodzie VNX wprowadzono funkcję „getDCcapas” zgodnie ze specyfikacją funkcji Microsoft Netlogon w celu obsługi parametru ServerCapabilities firmy Microsoft.

Funkcja ta została jednak dodana tylko do obsługiwanych wersji systemu Windows Server. Funkcja nie jest dostępna w systemie Windows Server 2008 i wcześniejszych wersjach. Zapoznaj się z dokumentem firmy Microsoft: [MS-NRPC]: Protokół zdalny Netlogon — 7 Załącznik B: Zachowanie produktu w sekcji 3.5.4.4.10:
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/0c858a52-732a-43ec-85dd-e44b357c1898.

Parametr ServerCapabilities nie jest obsługiwany przez systemy Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista lub Windows Server 2008.

Rozwiązanie:
najbezpieczniejszym rozwiązaniem długoterminowym jest uaktualnienie wszystkich kontrolerów domeny łączących się z systemami VNX w wersji 8.1.21.303 lub nowszej do obsługiwanej wersji systemu Windows Server. Do tego czasu należy zapoznać się z sekcją Obejście problemu poniżej.

Obejście:
parametr „param NTsec.NETLOGON.getDCcapas” w systemach Dell EMC VNX kontroluje sposób sprawdzania możliwości kontrolera domeny przez serwery NAS. Obejście problemu polega na zmodyfikowaniu parametru w celu wyłączenia tej funkcji.

Dodaj nowy wiersz „param NTsec NETLOGON.getDCcapas=0” w pliku Param, aby zmiana została zachowana po ponownym uruchomieniu DM.

[root@skxxxxx58xxxx6_cs0 slot_x]# cat param
param quota policy=filesize
param cifs nanoroundoff=1
param cifs acl.retryAuthSid=600
param cifs acl.mappingErrorAction=1
param config cs_external_ip=22.99.58.13
param NDMP concurrentDataStreams=8
param cifs acl.FailOnSDRestoreError=0
param cifs resolver=1
param cifs sendMessage=3
param shadow followdotdot=1
param NTsec NETLOGON.getDCcapas=0    <<<<<<

Uwaga: Gdy klient uaktualni starszą wersję oprogramowania kontrolera domeny do nowszej wersji, powinien ponownie włączyć parametr w VNX.

 /nas/bin/.server_config servername -v "param NTsec NETLOGON.getDCcapas=0"