Dell Unity: O servidor NAS relatou que os servidores do controlador de domínio não estão acessíveis (corrigível pelo usuário)

O servidor NAS relatou um aviso intermitente informando que os controladores de domínio não estão acessíveis. 

O comando svc_cifssupport -pingdc mostra falha do DC NETLOGON e DOWNGRADE_DETECTED
 

spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose

 

cifs_test : done

PINGDC GENERAL INFORMATION

DC SERVER:
Netbios name  : WIN2016

CIFS SERVER:
Compname      : cifs_test
Domain        : peeps.lab

Error 13160939576: cifs_test :  PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test :  PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel:  Action failed with status=DOWNGRADE_DETECTED

O controlador de domínio ao qual o servidor NAS não consegue se conectar é um RODC (Read-Only Domain Controller, controlador de domínio somente leitura). 

O RODC armazena apenas senhas de usuários e computadores com base em sua "Política de replicação de senha". Somente as senhas das contas que estão nos grupos Permitir e não nos grupos Deny podem ser replicadas para o RODC. 

Depois que o servidor NAS é associado ao domínio, a conta e a senha do computador são salvas no controlador de domínio cabeável e, por padrão, não serão replicados para o RODC. 

Portanto, quando o servidor NAS tenta estabelecer o canal seguro para o RODC, o RODC não tem a senha do computador do servidor NAS, portanto, ele retornará "STATUS_NO_TRUST_SAM_ACCOUNT" e "DOWNGRADE_DETECTED"

Para solucionar o problema, o cliente precisará adicionar a conta do computador do servidor NAS à política de replicação de senha do RODC para que as senhas da conta do servidor NAS possam ser replicadas para RODC. 

1. Faça log-in no controlador de domínio gravável. 
2. Abra "Active Directory Usrs and Computers"
3. Vá para "Controladores de domínio" OU


4. Selecione o RODC de que você precisa para configurar a "Política de replicação passo a passo" e clique nas propriedades. 
5. Vá para a guia "Password replication Policy" (Política de replicação de senha) e adicione a conta do computador do servidor NAS ao grupo ALLOW. 



Agora, execute o comando pingdc novamente, desta vez, o pingdc será concluído sem erro. 
 

spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose

 

cifs_test : done

PINGDC GENERAL INFORMATION

DC SERVER:
Netbios name  : WIN2016

CIFS SERVER:
Compname      : cifs_test
Domain        : peeps.lab

Referência:

https://www.rebeladmin.com/2014/10/password-replication-in-rodc/