Dell EMC Unity: No se puede acceder al servidor CIFS debido al error "Sin respuesta de KDC" (corregible por el usuario)

Cuando se intenta ejecutar una tarea para agregar o modificar un servidor NAS, se recibe un mensaje de error del sistema que indica problemas de conexión con el servicio Kerberos. El mensaje de error recibido debe ser el siguiente:

PRECAUCIÓN: no hay respuesta de KDC xx.xx.xx.xx

Dentro de los archivos de registro del sistema Unity, se pueden encontrar los siguientes detalles:

En los registros de Ktrace de Unity (Ruta: /EMC/C4Core/log/c4_safe_ktrace.log), los siguientes errores se pueden encontrar a continuación:

2018/08/20-15:48:29.177142 10 7FF16C907703 sade:KERBEROS: 4:[VDM] PRECAUCIÓN: no hay respuesta de KDC xx.xx.xx.xx
2018/08/20-15:48:29.532994 5540 7FF16C96D705 sade:SMB: 4: [VDM] Modo de autenticación no compatible: authMethod:4, kerberosSupport:1, negoMethod:0
2018/08/20-15:48:29.533033 40 7FF16C96D705 sade:SMB: 3:[VDM] OpenAndBind[NETLOGON] DC=xxx falló:
Bind_OpenXFailed NO_SUCH_PACKAGE 2018/08/20-15:48:29.533042 10 7FF16C96D705 sade:SMB: 3:[VDM] No se puede abrir el archivo NETLOGON para DC=xxx
2018/08/20-15:48:29.760148 6 7FF16C96D703 sade:KERBEROS: 3:[VDM] krb5_sendto_kdc: UDP RecvFromStream de addr xx.xx.xx.xx falló 91

En el EMCSystemLogFile.log Unity (ruta: /EMC/backend/log_shared) el sistema informará el siguiente mensaje:

"2018-08-20T15:50:53.588Z" "xxx_spa" "Kittyhawk_safe" "356" "unix/spa/root" "WARN" "13:10380008" :: "Para el servidor NAS xxx en el dominio xxx, la DC xxxtiene el siguiente error: compname xxx DC=xxx Step='Logon IPC$' la obtención de la credencial de Kerberos falló, gssError=Falla miscelánea. No se puede establecer contacto con ningún KDC para el dominio solicitado. . compname xxx DC=xxx Step='Open NETLOGON Secure Channel' ' ' ''DC cannot open NETLOGON pipe: status=DOMAIN_CONTROLLER_NOT_FOUND '. " :: Categoría=Componente de auditoría=DART_SMB

Este problema puede deberse a uno de los siguientes factores:

1. Problemas de configuración de firewall/red, lo que provoca que el tráfico se bloquee.
2. No coinciden los ajustes del tamaño de MTU en la configuración del entorno (controladoras de dominio, switch y dispositivo Dell EMC Unity).

Como resultado, el vale de Kerberos de la controladora de dominio no se puede entregar a la interfaz de Datamover/SP a través de UDP. En el seguimiento de la red, solo hay TGS-REQ, pero no TGS-REP.

Para abordar esta situación, se puede realizar un cambio en la configuración para obligar al servidor "nas" de Unity que se encuentra en un procesador de almacenamiento a utilizar TCP en lugar de UDP para las solicitudes de vales de Kerberos.

Si el sistema Dell EMC Unity ejecuta OE 4.2.x o superior, los cambios en los parámetros del servidor NAS se pueden realizar mediante el siguiente comando de servicio: svc_nas
Si ejecuta una versión anterior de Dell EMC Unity OE (4.0.x o 4.1.x), la recomendación es actualizar Unity OE a la versión de OE de destino o a la versión de OE más reciente disponible. Consulte el 000489694 de la base de conocimientos (Matriz de revisión de Dell EMC Unity OE).

Para ejecutar esta tarea, siga los siguientes pasos:

1. Ejecute el comando svc_nas ALL -param -f security -info kerbTcpProtocolpara verificar el estado actual del protocolo TCP Kerberus de los servidores NAS.

service@(ninguno) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = seguridad
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = ninguno
change_effective = rango inmediato
= (0,1)
description = 1=Kerberos solo usará TCP, 0=Kerberos intentará UDP y luego TCP

SPB :
name = kerbTcpProtocol
facility_name = seguridad
default_value = 0
current_value = 0
configured_value = 0
param_type = global
user_action = ninguno
change_effective = rango inmediato
= (0,1)
description = 1=Kerberos solo usará TCP, 0=Kerberos probará UDP y luego TCP

2. Tras la verificación del estado actual del servicio kerbTcpProtocol, se puede utilizar el siguiente comando para modificar la configuración del protocolo:

SPA : hecho
SPB : hecho

3. Una vez que se realice la modificación anterior, ejecute el primer comando una vez más svc_nas ALL -param -f security -info kerbTcpProtocol para validar que los ajustes se hayan aplicado a todos los servidores NAS:

service@(ninguno) spa:~# svc_nas ALL -param -f security -info kerbTcpProtocol

SPA :
name = kerbTcpProtocol
facility_name = seguridad
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = ninguno
change_effective = rango inmediato
= (0,1)
description = 1=Kerberos solo usará TCP, 0=Kerberos intentará UDP y luego TCP

SPB :
name = kerbTcpProtocol
facility_name = seguridad
default_value = 0
current_value = 1
configured_value = 1
param_type = global
user_action = ninguno
change_effective = rango inmediato
= (0,1)
description = 1=Kerberos solo usará TCP, 0=Kerberos probará UDP y luego TCP

NOTA IMPORTANTE: Este cambio se aplica de inmediato y se debe aplicar a todo el sistema. No es necesario reiniciar para aplicar completamente los ajustes.

Dell Unity 300, Dell EMC Unity 300F, Dell EMC Unity 350F, Dell EMC Unity XT 380, Dell EMC Unity XT 380F, Dell EMC Unity 400, Dell EMC Unity 400F, Dell EMC Unity 450F, Dell EMC Unity XT 480, Dell EMC Unity XT 480F, Dell EMC Unity 500 , Dell EMC Unity 500F, Dell EMC Unity 550F, Dell EMC Unity 600, Dell EMC Unity 600F, Dell EMC Unity 650F, Dell EMC Unity XT 680, Dell EMC Unity XT 680F, Dell EMC Unity XT 880, Dell EMC Unity XT 880F, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid ... Ver más Ver menos