Dell Unity:NAS 服务器报告域控制器服务器无法访问(用户可更正)
Summary: 当配置的一个或多个域控制器是 RODC(只读域控制器)时,客户在 NAS 服务器上收到警报,报告无法访问域控制器
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
NAS 服务器报告间歇性警告,称无法访问域控制器。
svc_cifssupport -pingdc 命令显示 DC NETLOGON 故障和DOWNGRADE_DETECTED
svc_cifssupport -pingdc 命令显示 DC NETLOGON 故障和DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Cause
NAS 服务器无法连接的域控制器是 RODC(只读域控制器)。
RODC 仅根据其“密码复制策略”存储用户和计算机密码。仅允许组中而不是拒绝组中帐户的密码可以复制到 RODC。
NAS 服务器加入域后,其计算机帐户和密码将保存在可 wirteable 域控制器中,默认情况下,它们不会复制到 RODC。
因此,当 NAS 服务器尝试建立到 RODC 的安全通道时,RODC 没有 NAS 服务器的计算机密码,因此它将返回“STATUS_NO_TRUST_SAM_ACCOUNT”和“DOWNGRADE_DETECTED”
RODC 仅根据其“密码复制策略”存储用户和计算机密码。仅允许组中而不是拒绝组中帐户的密码可以复制到 RODC。
NAS 服务器加入域后,其计算机帐户和密码将保存在可 wirteable 域控制器中,默认情况下,它们不会复制到 RODC。
因此,当 NAS 服务器尝试建立到 RODC 的安全通道时,RODC 没有 NAS 服务器的计算机密码,因此它将返回“STATUS_NO_TRUST_SAM_ACCOUNT”和“DOWNGRADE_DETECTED”
Resolution
要解决此问题,客户需要将 NAS 服务器的计算机帐户添加到 RODC 的密码复制策略,以便 NAS 服务器的帐户密码可以复制到 RODC。
1.登录到可写域控制器。
2.打开“active Directory Usrs and Computers”
3.转至“域控制器”OU
4。选择您配置“Passowrd 复制策略”所需的 RODC,然后单击属性。
5.转至“密码复制策略”选项卡,然后将 NAS 服务器的计算机帐户添加到 ALLOW 组。
现在再次运行 pingdc 命令,这次 pingdc 将完成,不会出错。
1.登录到可写域控制器。
2.打开“active Directory Usrs and Computers”
3.转至“域控制器”OU
4。选择您配置“Passowrd 复制策略”所需的 RODC,然后单击属性。
5.转至“密码复制策略”选项卡,然后将 NAS 服务器的计算机帐户添加到 ALLOW 组。
现在再次运行 pingdc 命令,这次 pingdc 将完成,不会出错。
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Additional Information
参考:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000204287
Article Type: Solution
Last Modified: 14 Mar 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.