Dell Unity: El servidor NAS informó que no se puede acceder a los servidores de la controladora de dominio (corregible por el usuario)
Summary: El cliente recibe una alerta sobre el servidor NAS que informa que no se puede acceder a la controladora de dominio cuando una o más controladoras de dominio configuradas son RODC (controladora de dominio de solo lectura) ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
El servidor NAS informó una advertencia intermitente que indicaba que no se puede acceder a las controladoras de dominio.
El comando svc_cifssupport -pingdc muestra una falla de DC NETLOGON y DOWNGRADE_DETECTED
El comando svc_cifssupport -pingdc muestra una falla de DC NETLOGON y DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Cause
La controladora de dominio a la que el servidor NAS no se conecta es una RODC (controladora de dominio de solo lectura).
RODC solo almacena contraseñas de usuarios y computadoras en función de su "Política de replicación de contraseñas". Solo las contraseñas para las cuentas que se encuentran en los grupos Permitir y no en los grupos Denegar se pueden replicar a la RODC.
Una vez que el servidor NAS se une al dominio, su cuenta de computadora y contraseña se guardan en la controladora de dominio disponible y, de manera predeterminada, no se replicarán en la RODC.
Por lo tanto, cuando el servidor NAS intenta establecer el canal seguro para el RODC, el RODC no tiene la contraseña de la computadora del servidor NAS, por lo que devolverá "STATUS_NO_TRUST_SAM_ACCOUNT" y "DOWNGRADE_DETECTED"
RODC solo almacena contraseñas de usuarios y computadoras en función de su "Política de replicación de contraseñas". Solo las contraseñas para las cuentas que se encuentran en los grupos Permitir y no en los grupos Denegar se pueden replicar a la RODC.
Una vez que el servidor NAS se une al dominio, su cuenta de computadora y contraseña se guardan en la controladora de dominio disponible y, de manera predeterminada, no se replicarán en la RODC.
Por lo tanto, cuando el servidor NAS intenta establecer el canal seguro para el RODC, el RODC no tiene la contraseña de la computadora del servidor NAS, por lo que devolverá "STATUS_NO_TRUST_SAM_ACCOUNT" y "DOWNGRADE_DETECTED"
Resolution
Para solucionar el problema, el cliente deberá agregar la cuenta de la computadora del servidor NAS a la política de replicación de contraseñas de RODC, de modo que las contraseñas de la cuenta del servidor NAS se puedan replicar en RODC.
1. Inicie sesión en la controladora de dominio con capacidad de escritura.
2. Abra "Active Directory Usrs and Computers"
3. Vaya a "Controladoras de dominio" OU
4. Seleccione la RODC que necesita para configurar "Passowrd replication Policy" y haga clic en las propiedades.
5. Vaya a la pestaña "Password replication Policy" y agregue la cuenta de computadora del servidor NAS al grupo ALLOW.
Ahora ejecute el comando pingdc nuevamente, esta vez el pingdc se completará sin errores.
1. Inicie sesión en la controladora de dominio con capacidad de escritura.
2. Abra "Active Directory Usrs and Computers"
3. Vaya a "Controladoras de dominio" OU
4. Seleccione la RODC que necesita para configurar "Passowrd replication Policy" y haga clic en las propiedades.
5. Vaya a la pestaña "Password replication Policy" y agregue la cuenta de computadora del servidor NAS al grupo ALLOW.
Ahora ejecute el comando pingdc nuevamente, esta vez el pingdc se completará sin errores.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Additional Information
Referencia:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204287
Article Type: Solution
Last Modified: 14 Mar 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.