Dell Unity. Сервер NAS сообщил, что серверы контроллера домена недоступны (исправляется пользователем)
Summary: Заказчик получает оповещение о том, что контроллер домена сервера NAS недоступен, если один или несколько настроенных контроллеров домена являются RODC (контроллер домена только для чтения) ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Сервер NAS сообщил о периодическим предупреждении о недоступности контроллеров домена.
Команда svc_cifssupport -pingdc показывает сбой и сбой DC NETLOGON DOWNGRADE_DETECTED
Команда svc_cifssupport -pingdc показывает сбой и сбой DC NETLOGON DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Cause
Контроллер домена, к которым серверу NAS не удается подключиться, является КОНТРОЛЛЕРом домена только для чтения (RODC).
В RODC хранятся только пароли пользователей и компьютеров на основе его политики репликации паролей. В RODC можно реплицировать только пароли для учетных записей, которые находятся в группах «Разрешить», а не в группах «Запретить».
После того как сервер NAS присоединен к домену, его учетная запись компьютера и пароль сохраняются в wirteable Domain controller и по умолчанию они не будут реплицированы на RODC.
Таким образом, когда сервер NAS пытается установить безопасный канал для RODC, в ФАЙЛе RODC нет пароля компьютера сервера NAS, поэтому он возвращает значения «STATUS_NO_TRUST_SAM_ACCOUNT» и «DOWNGRADE_DETECTED».
В RODC хранятся только пароли пользователей и компьютеров на основе его политики репликации паролей. В RODC можно реплицировать только пароли для учетных записей, которые находятся в группах «Разрешить», а не в группах «Запретить».
После того как сервер NAS присоединен к домену, его учетная запись компьютера и пароль сохраняются в wirteable Domain controller и по умолчанию они не будут реплицированы на RODC.
Таким образом, когда сервер NAS пытается установить безопасный канал для RODC, в ФАЙЛе RODC нет пароля компьютера сервера NAS, поэтому он возвращает значения «STATUS_NO_TRUST_SAM_ACCOUNT» и «DOWNGRADE_DETECTED».
Resolution
Для временного решения проблемы заказчику необходимо добавить учетную запись компьютера сервера NAS в политику репликации паролей RODC, чтобы пароли учетных записей сервера NAS были реплицированы на RODC.
1. Войдите в контроллер домена с возможностью записи.
2. Откройте «Active Directory Usrs and Computers»
3. Перейдите в раздел «Контроллеры домена» OU
4. Выберите RODC, который необходимо настроить ,Политика репликации Passowrd, и нажмите на свойства.
5. Перейдите на вкладку «Политика репликации паролей» и добавьте учетную запись компьютера сервера NAS в группу ALLOW.
Теперь снова выполните команду pingdc, и на этот раз pingdc завершится без ошибок.
1. Войдите в контроллер домена с возможностью записи.
2. Откройте «Active Directory Usrs and Computers»
3. Перейдите в раздел «Контроллеры домена» OU
4. Выберите RODC, который необходимо настроить ,Политика репликации Passowrd, и нажмите на свойства.
5. Перейдите на вкладку «Политика репликации паролей» и добавьте учетную запись компьютера сервера NAS в группу ALLOW.
Теперь снова выполните команду pingdc, и на этот раз pingdc завершится без ошибок.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Additional Information
Справочные материалы:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204287
Article Type: Solution
Last Modified: 14 Mar 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.