Dell Unity: Il server NAS ha segnalato che i server del controller di dominio non sono raggiungibili (correggibile dall'utente)
Summary: Il cliente riceve un avviso sul server NAS che segnala che il controller di dominio non è raggiungibile quando uno o più controller di dominio configurati sono RODC (Controller di dominio read-only) ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Il server NAS ha segnalato un avviso intermittente che indica che i controller di dominio non sono raggiungibili.
Il comando svc_cifssupport -pingdc mostra l'errore DC NETLOGON e DOWNGRADE_DETECTED
Il comando svc_cifssupport -pingdc mostra l'errore DC NETLOGON e DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Cause
Il controller di dominio che il server NAS non riesce a connettere è un controller di dominio di sola lettura (RODC).
Il controller RODC archivia solo le password di utenti e computer in base alla "Policy di replica delle password". Solo le password per gli account presenti nei gruppi Consenti e non nei gruppi di negazione possono essere replicate nell'ASTAC.
Dopo aver aggiunto il server NAS al dominio, l'account del computer e la password vengono salvati nel controller di dominio wirteable e per impostazione predefinita non verranno replicati nell'ASTAC.
Pertanto, quando il server NAS tenta di stabilire il canale sicuro per il controller RODC, tale controller non dispone della password del computer del server NAS, pertanto restituirà "STATUS_NO_TRUST_SAM_ACCOUNT" e "DOWNGRADE_DETECTED"
Il controller RODC archivia solo le password di utenti e computer in base alla "Policy di replica delle password". Solo le password per gli account presenti nei gruppi Consenti e non nei gruppi di negazione possono essere replicate nell'ASTAC.
Dopo aver aggiunto il server NAS al dominio, l'account del computer e la password vengono salvati nel controller di dominio wirteable e per impostazione predefinita non verranno replicati nell'ASTAC.
Pertanto, quando il server NAS tenta di stabilire il canale sicuro per il controller RODC, tale controller non dispone della password del computer del server NAS, pertanto restituirà "STATUS_NO_TRUST_SAM_ACCOUNT" e "DOWNGRADE_DETECTED"
Resolution
Per risolvere il problema, il cliente dovrà aggiungere l'account del computer del server NAS alla policy di replica della password RODC in modo che le password dell'account del server NAS possano essere replicate su RODC.
1. Accedere al controller di dominio scrivibile.
2. Aprire "Active Directory Usrs and Computers"
3. Passare a "Controller di dominio" OU
4. Selezionare l'ASTAC da configurare "Passowrd replication Policy" e cliccare sulle proprietà.
5. Passare alla scheda "Password replication Policy" e aggiungere l'account computer del server NAS al gruppo ALLOW.
Eseguire nuovamente il comando pingdc, questa volta il pingdc verrà completato senza errori.
1. Accedere al controller di dominio scrivibile.
2. Aprire "Active Directory Usrs and Computers"
3. Passare a "Controller di dominio" OU
4. Selezionare l'ASTAC da configurare "Passowrd replication Policy" e cliccare sulle proprietà.
5. Passare alla scheda "Password replication Policy" e aggiungere l'account computer del server NAS al gruppo ALLOW.
Eseguire nuovamente il comando pingdc, questa volta il pingdc verrà completato senza errori.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Additional Information
Riferimento:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204287
Article Type: Solution
Last Modified: 14 Mar 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.