Dell Unity: NAS-Server meldet, dass Domain-Controller-Server nicht erreichbar sind (vom Nutzer korrigierbar)
요약: Der Kunde erhält eine Warnmeldung auf DEM NAS-Server, der den Domain-Controller meldet, der nicht erreichbar ist, wenn ein oder mehrere konfigurierte Domänencontroller RODC (Read-Only Domain Controller) sind. ...
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
증상
Der NAS-Server meldete eine zeitweilige Warnung, die besagt, dass die Domain-Controller nicht erreichbar sind.
Der Befehl svc_cifssupport -pingdc zeigt den DC-NETLOGON-Fehler und DOWNGRADE_DETECTED
Der Befehl svc_cifssupport -pingdc zeigt den DC-NETLOGON-Fehler und DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
원인
Der Domänen-Controller, den der NAS-Server nicht verbinden kann, ist ein RODC (Read-Only Domain Controller).
Der RODC speichert nur Benutzer- und Computerpasswörter basierend auf der "Passwortreplikationsrichtlinie". Nur Passwörter für die Konten, die sich in den Gruppen Zulassen und nicht in den Deny-Gruppen befinden, können in den RODC repliziert werden.
Nachdem der NAS-Server der Domäne hinzugefügt wurde, werden sein Computerkonto und sein Kennwort auf dem kabelgebundenen Domänencontroller gespeichert und standardmäßig nicht auf den RODC repliziert.
Wenn der NAS-Server versucht, den sicheren Kanal zum RODC herzustellen, verfügt der RODC nicht über das Computerkennwort des NAS-Servers, daher gibt er "STATUS_NO_TRUST_SAM_ACCOUNT" und "DOWNGRADE_DETECTED" zurück.
Der RODC speichert nur Benutzer- und Computerpasswörter basierend auf der "Passwortreplikationsrichtlinie". Nur Passwörter für die Konten, die sich in den Gruppen Zulassen und nicht in den Deny-Gruppen befinden, können in den RODC repliziert werden.
Nachdem der NAS-Server der Domäne hinzugefügt wurde, werden sein Computerkonto und sein Kennwort auf dem kabelgebundenen Domänencontroller gespeichert und standardmäßig nicht auf den RODC repliziert.
Wenn der NAS-Server versucht, den sicheren Kanal zum RODC herzustellen, verfügt der RODC nicht über das Computerkennwort des NAS-Servers, daher gibt er "STATUS_NO_TRUST_SAM_ACCOUNT" und "DOWNGRADE_DETECTED" zurück.
해결
Um das Problem zu umgehen, muss der Kunde das Computerkonto des NAS-Servers zur Passwortreplikationsrichtlinie des RODC hinzufügen, damit die Kontopasswörter des NAS-Servers auf RODC repliziert werden können.
1. Melden Sie sich beim beschreibbaren Domänencontroller an.
2. Öffnen Sie "Active Directory Usrs and Computers"
3. Navigieren Sie zu "Domain controllers" OU
4. Wählen Sie den RODC aus, den Sie zum Konfigurieren der Passowrd-Replikationsrichtlinie benötigen, und klicken Sie auf die Eigenschaften.
5. Navigieren Sie zur Registerkarte "Password replication Policy" und fügen Sie das Computerkonto des NAS-Servers zur Gruppe ALLOW hinzu.
Führen Sie jetzt den Pingdc-Befehl erneut aus. Dieses Mal wird das Pingdc ohne Fehler abgeschlossen.
1. Melden Sie sich beim beschreibbaren Domänencontroller an.
2. Öffnen Sie "Active Directory Usrs and Computers"
3. Navigieren Sie zu "Domain controllers" OU
4. Wählen Sie den RODC aus, den Sie zum Konfigurieren der Passowrd-Replikationsrichtlinie benötigen, und klicken Sie auf die Eigenschaften.
5. Navigieren Sie zur Registerkarte "Password replication Policy" und fügen Sie das Computerkonto des NAS-Servers zur Gruppe ALLOW hinzu.
Führen Sie jetzt den Pingdc-Befehl erneut aus. Dieses Mal wird das Pingdc ohne Fehler abgeschlossen.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
추가 정보
Referenz:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
해당 제품
Dell EMC Unity문서 속성
문서 번호: 000204287
문서 유형: Solution
마지막 수정 시간: 14 3월 2023
버전: 3
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.