Dell Unity: NAS-server meldt dat domeincontrollerservers niet bereikbaar zijn (op te lossen door gebruiker)

De NAS-server meldde af en toe een waarschuwing dat de domeincontrollers niet bereikbaar zijn. 

De opdracht svc_cifssupport -pingdc toont DC NETLOGON-fout en DOWNGRADE_DETECTED
 

spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose

 

cifs_test : done

PINGDC GENERAL INFORMATION

DC SERVER:
Netbios name  : WIN2016

CIFS SERVER:
Compname      : cifs_test
Domain        : peeps.lab

Error 13160939576: cifs_test :  PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test :  PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel:  Action failed with status=DOWNGRADE_DETECTED

De domeincontroller waarmee de NAS-server geen verbinding kan maken, is een RODC (Read-Only Domain Controller). 

De RODC slaat alleen gebruikers- en computerwachtwoorden op op basis van het 'Wachtwoordreplicatiebeleid'. Alleen wachtwoorden voor de accounts die zich in de allow-groepen bevinden en niet in de deny-groepen kunnen worden gerepliceerd naar de RODC. 

Nadat de NAS-server is toegevoegd aan het domein, worden het computeraccount en het wachtwoord opgeslagen in de wirteable domeincontroller en worden ze standaard niet gerepliceerd naar de RODC. 

Wanneer de NAS-server probeert het beveiligde kanaal naar de RODC te brengen, heeft de RODC dus niet het computerwachtwoord van de NAS-server, waardoor "STATUS_NO_TRUST_SAM_ACCOUNT" en "DOWNGRADE_DETECTED" worden geretourneerd

Om het probleem te verhelpen, moet de klant het computeraccount van de NAS-server toevoegen aan het wachtwoordreplicatiebeleid van de RODC, zodat de wachtwoordwachtwoorden van de NAS-serveraccount kunnen worden gerepliceerd naar RODC. 

1. Meld u aan bij de beschrijfbare domeincontroller. 
2. Open "active directory Usrs and Computers"
3. Ga naar ou domeincontrollers


4. Selecteer de RODC die u nodig hebt om 'Passowrd replication Policy' te configureren en klik op de eigenschappen. 
5. Ga naar het tabblad 'Wachtwoordreplicatiebeleid' en voeg het computeraccount van de NAS-server toe aan de ALLOW-groep. 



Voer nu de pingdc-opdracht opnieuw uit. Dit keer wordt de pingdc zonder fouten voltooid. 
 

spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose

 

cifs_test : done

PINGDC GENERAL INFORMATION

DC SERVER:
Netbios name  : WIN2016

CIFS SERVER:
Compname      : cifs_test
Domain        : peeps.lab

Referentie:

https://www.rebeladmin.com/2014/10/password-replication-in-rodc/