Dell Unity: Il server NAS ha segnalato che i server del controller di dominio non sono raggiungibili (correggibile dall'utente)

Il server NAS ha segnalato un avviso intermittente che indica che i controller di dominio non sono raggiungibili. 

Il comando svc_cifssupport -pingdc mostra l'errore DC NETLOGON e DOWNGRADE_DETECTED
 

spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose

 

cifs_test : done

PINGDC GENERAL INFORMATION

DC SERVER:
Netbios name  : WIN2016

CIFS SERVER:
Compname      : cifs_test
Domain        : peeps.lab

Error 13160939576: cifs_test :  PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test :  PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel:  Action failed with status=DOWNGRADE_DETECTED

Il controller di dominio che il server NAS non riesce a connettere è un controller di dominio di sola lettura (RODC). 

Il controller RODC archivia solo le password di utenti e computer in base alla "Policy di replica delle password". Solo le password per gli account presenti nei gruppi Consenti e non nei gruppi di negazione possono essere replicate nell'ASTAC. 

Dopo aver aggiunto il server NAS al dominio, l'account del computer e la password vengono salvati nel controller di dominio wirteable e per impostazione predefinita non verranno replicati nell'ASTAC. 

Pertanto, quando il server NAS tenta di stabilire il canale sicuro per il controller RODC, tale controller non dispone della password del computer del server NAS, pertanto restituirà "STATUS_NO_TRUST_SAM_ACCOUNT" e "DOWNGRADE_DETECTED"

Per risolvere il problema, il cliente dovrà aggiungere l'account del computer del server NAS alla policy di replica della password RODC in modo che le password dell'account del server NAS possano essere replicate su RODC. 

1. Accedere al controller di dominio scrivibile. 
2. Aprire "Active Directory Usrs and Computers"
3. Passare a "Controller di dominio" OU


4. Selezionare l'ASTAC da configurare "Passowrd replication Policy" e cliccare sulle proprietà. 
5. Passare alla scheda "Password replication Policy" e aggiungere l'account computer del server NAS al gruppo ALLOW. 



Eseguire nuovamente il comando pingdc, questa volta il pingdc verrà completato senza errori. 
 

spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose

 

cifs_test : done

PINGDC GENERAL INFORMATION

DC SERVER:
Netbios name  : WIN2016

CIFS SERVER:
Compname      : cifs_test
Domain        : peeps.lab

Riferimento:

https://www.rebeladmin.com/2014/10/password-replication-in-rodc/