Dell Unity: Serwer NAS zgłosił, że serwery kontrolera domeny są niedostępne (możliwość naprawienia przez użytkownika)
Summary: Klient otrzymuje alert na serwerze NAS informujący, że kontroler domeny nie jest osiągalny, gdy jeden lub więcej skonfigurowanych kontrolerów domeny to RODC (Kontroler domeny tylko do odczytu) ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Serwer NAS zgłosił sporadyczne ostrzeżenie informujące, że kontrolery domeny są niedostępne.
Polecenie svc_cifssupport -pingdc pokazuje błąd DC NETLOGON i DOWNGRADE_DETECTED
Polecenie svc_cifssupport -pingdc pokazuje błąd DC NETLOGON i DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Cause
Kontroler domeny, z który serwer NAS nie może się połączyć, jest kontrolerem domeny RODC (Read-Only Domain Controller).
Kontroler RODC przechowuje tylko hasła użytkowników i komputerów na podstawie zasad replikacji hasła. Do RODC można replikować tylko hasła do kont w grupach Zezwól, a nie w grupach odmowy.
Po przyłączeniu serwera NAS do domeny jego konto i hasło komputera są zapisywane w kontrolerze domeny przewodowej i domyślnie nie będą replikowane do KONTROLERA RODC.
W związku z tym, gdy serwer NAS próbuje ustanowić bezpieczny kanał do KONTROLERA RODC, kontroler RODC nie ma hasła komputera serwera NAS, dlatego zwraca "STATUS_NO_TRUST_SAM_ACCOUNT" i "DOWNGRADE_DETECTED"
Kontroler RODC przechowuje tylko hasła użytkowników i komputerów na podstawie zasad replikacji hasła. Do RODC można replikować tylko hasła do kont w grupach Zezwól, a nie w grupach odmowy.
Po przyłączeniu serwera NAS do domeny jego konto i hasło komputera są zapisywane w kontrolerze domeny przewodowej i domyślnie nie będą replikowane do KONTROLERA RODC.
W związku z tym, gdy serwer NAS próbuje ustanowić bezpieczny kanał do KONTROLERA RODC, kontroler RODC nie ma hasła komputera serwera NAS, dlatego zwraca "STATUS_NO_TRUST_SAM_ACCOUNT" i "DOWNGRADE_DETECTED"
Resolution
Aby obejść ten problem, klient będzie musiał dodać konto komputera serwera NAS do zasad replikacji haseł RODC, aby można było replikować hasła konta serwera NAS do RODC.
1. Zaloguj się do kontrolera domeny z możliwością zapisu.
2. Otwórz aplikację "Active Directory Usrs and Computers"
3. Przejdź do jednostki OU 4 "Kontrolery domeny"
. Wybierz kontroler RODC, który chcesz skonfigurować jako "Zasady replikacji passowrd" i kliknij właściwości.
5. Przejdź do karty "Zasady replikacji hasła" i dodaj konto komputera serwera NAS do grupy ALLOW.
Teraz ponownie uruchom polecenie pingdc, tym razem polecenie pingdc zostanie zakończone bez błędu.
1. Zaloguj się do kontrolera domeny z możliwością zapisu.
2. Otwórz aplikację "Active Directory Usrs and Computers"
3. Przejdź do jednostki OU 4 "Kontrolery domeny"
. Wybierz kontroler RODC, który chcesz skonfigurować jako "Zasady replikacji passowrd" i kliknij właściwości.
5. Przejdź do karty "Zasady replikacji hasła" i dodaj konto komputera serwera NAS do grupy ALLOW.
Teraz ponownie uruchom polecenie pingdc, tym razem polecenie pingdc zostanie zakończone bez błędu.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Additional Information
Materiały referencyjne:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204287
Article Type: Solution
Last Modified: 14 Mar 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.