Dell Unity: NAS-Server meldet, dass Domain-Controller-Server nicht erreichbar sind (vom Nutzer korrigierbar)
Podsumowanie: Der Kunde erhält eine Warnmeldung auf DEM NAS-Server, der den Domain-Controller meldet, der nicht erreichbar ist, wenn ein oder mehrere konfigurierte Domänencontroller RODC (Read-Only Domain Controller) sind. ...
Ten artykuł dotyczy
Ten artykuł nie dotyczy
Ten artykuł nie jest powiązany z żadnym konkretnym produktem.
Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Objawy
Der NAS-Server meldete eine zeitweilige Warnung, die besagt, dass die Domain-Controller nicht erreichbar sind.
Der Befehl svc_cifssupport -pingdc zeigt den DC-NETLOGON-Fehler und DOWNGRADE_DETECTED
Der Befehl svc_cifssupport -pingdc zeigt den DC-NETLOGON-Fehler und DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Przyczyna
Der Domänen-Controller, den der NAS-Server nicht verbinden kann, ist ein RODC (Read-Only Domain Controller).
Der RODC speichert nur Benutzer- und Computerpasswörter basierend auf der "Passwortreplikationsrichtlinie". Nur Passwörter für die Konten, die sich in den Gruppen Zulassen und nicht in den Deny-Gruppen befinden, können in den RODC repliziert werden.
Nachdem der NAS-Server der Domäne hinzugefügt wurde, werden sein Computerkonto und sein Kennwort auf dem kabelgebundenen Domänencontroller gespeichert und standardmäßig nicht auf den RODC repliziert.
Wenn der NAS-Server versucht, den sicheren Kanal zum RODC herzustellen, verfügt der RODC nicht über das Computerkennwort des NAS-Servers, daher gibt er "STATUS_NO_TRUST_SAM_ACCOUNT" und "DOWNGRADE_DETECTED" zurück.
Der RODC speichert nur Benutzer- und Computerpasswörter basierend auf der "Passwortreplikationsrichtlinie". Nur Passwörter für die Konten, die sich in den Gruppen Zulassen und nicht in den Deny-Gruppen befinden, können in den RODC repliziert werden.
Nachdem der NAS-Server der Domäne hinzugefügt wurde, werden sein Computerkonto und sein Kennwort auf dem kabelgebundenen Domänencontroller gespeichert und standardmäßig nicht auf den RODC repliziert.
Wenn der NAS-Server versucht, den sicheren Kanal zum RODC herzustellen, verfügt der RODC nicht über das Computerkennwort des NAS-Servers, daher gibt er "STATUS_NO_TRUST_SAM_ACCOUNT" und "DOWNGRADE_DETECTED" zurück.
Rozwiązanie
Um das Problem zu umgehen, muss der Kunde das Computerkonto des NAS-Servers zur Passwortreplikationsrichtlinie des RODC hinzufügen, damit die Kontopasswörter des NAS-Servers auf RODC repliziert werden können.
1. Melden Sie sich beim beschreibbaren Domänencontroller an.
2. Öffnen Sie "Active Directory Usrs and Computers"
3. Navigieren Sie zu "Domain controllers" OU
4. Wählen Sie den RODC aus, den Sie zum Konfigurieren der Passowrd-Replikationsrichtlinie benötigen, und klicken Sie auf die Eigenschaften.
5. Navigieren Sie zur Registerkarte "Password replication Policy" und fügen Sie das Computerkonto des NAS-Servers zur Gruppe ALLOW hinzu.
Führen Sie jetzt den Pingdc-Befehl erneut aus. Dieses Mal wird das Pingdc ohne Fehler abgeschlossen.
1. Melden Sie sich beim beschreibbaren Domänencontroller an.
2. Öffnen Sie "Active Directory Usrs and Computers"
3. Navigieren Sie zu "Domain controllers" OU
4. Wählen Sie den RODC aus, den Sie zum Konfigurieren der Passowrd-Replikationsrichtlinie benötigen, und klicken Sie auf die Eigenschaften.
5. Navigieren Sie zur Registerkarte "Password replication Policy" und fügen Sie das Computerkonto des NAS-Servers zur Gruppe ALLOW hinzu.
Führen Sie jetzt den Pingdc-Befehl erneut aus. Dieses Mal wird das Pingdc ohne Fehler abgeschlossen.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Dodatkowe informacje
Referenz:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Produkty, których dotyczy problem
Dell EMC UnityWłaściwości artykułu
Numer artykułu: 000204287
Typ artykułu: Solution
Ostatnia modyfikacja: 14 mar 2023
Wersja: 3
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.