Dell Unity: Сервер NAS повідомив, що сервери контролера домену недоступні (можна виправити користувача)
Podsumowanie: Клієнт отримує сповіщення на сервері NAS, повідомляючи про недоступність контролера домену, коли один або кілька контролерів домену налаштовані RODC (Read-Only Domain Controller)
Ten artykuł dotyczy
Ten artykuł nie dotyczy
Ten artykuł nie jest powiązany z żadnym konkretnym produktem.
Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Objawy
Сервер NAS повідомив про періодичне попередження про те, що контролери домену недоступні.
Команда svc_cifssupport -pingdc показує помилку DC NETLOGON і DOWNGRADE_DETECTED
Команда svc_cifssupport -pingdc показує помилку DC NETLOGON і DOWNGRADE_DETECTED
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab Error 13160939576: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test : PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel: Action failed with status=DOWNGRADE_DETECTED
Przyczyna
Контролер домену, який серверу NAS не вдається підключити, є RODC (Read-Only Domain Controller).
RODC зберігає лише паролі користувачів та комп'ютерів на основі своєї «Політики реплікації паролів». До RODC можна копіювати лише паролі облікових записів, які знаходяться у групах Дозволити, а не в групах Заборонити.
Після приєднання сервера NAS до домену, його комп'ютерний обліковий запис і пароль зберігаються у віддаленому контролері домену, і за замовчуванням вони не будуть репліковані в RODC.
Тому, коли сервер NAS намагається встановити захищений канал до RODC, RODC не має комп'ютерного пароля сервера NAS, тому він поверне "STATUS_NO_TRUST_SAM_ACCOUNT" та "DOWNGRADE_DETECTED"
RODC зберігає лише паролі користувачів та комп'ютерів на основі своєї «Політики реплікації паролів». До RODC можна копіювати лише паролі облікових записів, які знаходяться у групах Дозволити, а не в групах Заборонити.
Після приєднання сервера NAS до домену, його комп'ютерний обліковий запис і пароль зберігаються у віддаленому контролері домену, і за замовчуванням вони не будуть репліковані в RODC.
Тому, коли сервер NAS намагається встановити захищений канал до RODC, RODC не має комп'ютерного пароля сервера NAS, тому він поверне "STATUS_NO_TRUST_SAM_ACCOUNT" та "DOWNGRADE_DETECTED"
Rozwiązanie
Щоб вирішити цю проблему, клієнту потрібно буде додати обліковий запис комп'ютера сервера NAS до політики реплікації паролів RODC, щоб паролі облікових записів сервера NAS можна було копіювати в RODC.
1. Увійдіть до контролера Writeable Domain.
2. Відкрийте "Active Directory USRS and Computers"
3. Зайдіть в розділ "Контролери домену" OU
4. Виберіть RODC, який вам потрібно налаштувати "Passowrd Replication Policy" і натисніть на властивості.
5. Перейдіть на вкладку «Політика реплікації пароля» та додайте обліковий запис комп'ютера сервера NAS до групи LOW.
Тепер знову запустіть команду pingdc, на цей раз pingdc завершиться без помилки.
1. Увійдіть до контролера Writeable Domain.
2. Відкрийте "Active Directory USRS and Computers"
3. Зайдіть в розділ "Контролери домену" OU
4. Виберіть RODC, який вам потрібно налаштувати "Passowrd Replication Policy" і натисніть на властивості.
5. Перейдіть на вкладку «Політика реплікації пароля» та додайте обліковий запис комп'ютера сервера NAS до групи LOW.
Тепер знову запустіть команду pingdc, на цей раз pingdc завершиться без помилки.
spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose
cifs_test : done PINGDC GENERAL INFORMATION DC SERVER: Netbios name : WIN2016 CIFS SERVER: Compname : cifs_test Domain : peeps.lab
Dodatkowe informacje
Довідка:
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
https://www.rebeladmin.com/2014/10/password-replication-in-rodc/
Produkty, których dotyczy problem
Dell EMC UnityWłaściwości artykułu
Numer artykułu: 000204287
Typ artykułu: Solution
Ostatnia modyfikacja: 14 mar 2023
Wersja: 3
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.