Dell Unity : Serveurs de contrôleur de domaine signalés par le serveur NAS inaccessibles (corrigible par l’utilisateur)
요약: Le client reçoit une alerte sur le serveur NAS signalant que le contrôleur de domaine n’est pas accessible lorsqu’un ou plusieurs contrôleurs de domaine configurés sont RODC (Contrôleur de domaine en lecture seule) ...
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
증상
Le serveur NAS a signalé un avertissement intermittent indiquant que les contrôleurs de domaine ne sont pas accessibles.
La commande svc_cifssupport -pingdc affiche l’échec dc NETLOGON et DOWNGRADE_DETECTED
La commande svc_cifssupport -pingdc affiche l’échec dc NETLOGON et DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
원인
Le contrôleur de domaine auquel le serveur NAS ne parvient pas à se connecter est un RODC (Contrôleur de domaine en lecture seule).
La RODC stocke uniquement les mots de passe des utilisateurs et des ordinateurs en fonction de sa « stratégie de réplication des mots de passe ». Seuls les mots de passe des comptes qui se trouvent dans les groupes Allow et non dans les groupes Deny peuvent être répliqués vers le RODC.
Une fois le serveur NAS joint au domaine, son compte d’ordinateur et son mot de passe sont enregistrés dans le contrôleur de domaine wirteable et, par défaut, ils ne sont pas répliqués sur le RODC.
Ainsi, lorsque le serveur NAS tente d’établir le canal sécurisé vers le RODC, le RODC ne dispose pas du mot de passe de l’ordinateur du serveur NAS. Par conséquent, il renvoie « STATUS_NO_TRUST_SAM_ACCOUNT » et « DOWNGRADE_DETECTED ».
La RODC stocke uniquement les mots de passe des utilisateurs et des ordinateurs en fonction de sa « stratégie de réplication des mots de passe ». Seuls les mots de passe des comptes qui se trouvent dans les groupes Allow et non dans les groupes Deny peuvent être répliqués vers le RODC.
Une fois le serveur NAS joint au domaine, son compte d’ordinateur et son mot de passe sont enregistrés dans le contrôleur de domaine wirteable et, par défaut, ils ne sont pas répliqués sur le RODC.
Ainsi, lorsque le serveur NAS tente d’établir le canal sécurisé vers le RODC, le RODC ne dispose pas du mot de passe de l’ordinateur du serveur NAS. Par conséquent, il renvoie « STATUS_NO_TRUST_SAM_ACCOUNT » et « DOWNGRADE_DETECTED ».
해결
Pour contourner ce problème, le client doit ajouter le compte d’ordinateur du serveur NAS à la stratégie de réplication des mots de passe de RODC afin que les mots de passe du compte du serveur NAS puissent être répliqués dans RODC.
1. Connectez-vous au contrôleur de domaine inscriptible.
2. Ouvrez « Active Directory Usrs and Computers »
3. Accédez à « Domain controllers » OU
4. Sélectionnez le RODC dont vous avez besoin pour configurer la « Stratégie de réplication Passowrd », puis cliquez sur les propriétés.
5. Accédez à l’onglet « Password replication Policy » et ajoutez le compte d’ordinateur du serveur NAS au groupe ALLOW.
Exécutez à nouveau la commande pingdc, cette fois-ci, le pingdc se termine sans erreur.
1. Connectez-vous au contrôleur de domaine inscriptible.
2. Ouvrez « Active Directory Usrs and Computers »
3. Accédez à « Domain controllers » OU
4. Sélectionnez le RODC dont vous avez besoin pour configurer la « Stratégie de réplication Passowrd », puis cliquez sur les propriétés.
5. Accédez à l’onglet « Password replication Policy » et ajoutez le compte d’ordinateur du serveur NAS au groupe ALLOW.
Exécutez à nouveau la commande pingdc, cette fois-ci, le pingdc se termine sans erreur.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
추가 정보
Référence:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
해당 제품
Dell EMC Unity문서 속성
문서 번호: 000204287
문서 유형: Solution
마지막 수정 시간: 14 3월 2023
버전: 3
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.