Dell Unity: El servidor NAS informó que no se puede acceder a los servidores de la controladora de dominio (corregible por el usuario)

El servidor NAS informó una advertencia intermitente que indicaba que no se puede acceder a las controladoras de dominio. 

El comando svc_cifssupport -pingdc muestra una falla de DC NETLOGON y DOWNGRADE_DETECTED
 

spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose

 

cifs_test : done

PINGDC GENERAL INFORMATION

DC SERVER:
Netbios name  : WIN2016

CIFS SERVER:
Compname      : cifs_test
Domain        : peeps.lab

Error 13160939576: cifs_test :  PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016' because of NT errors (SUCCESS) at step Request Domain Sid. Details of the issue: origin=9000, '' DC='DC NETLOGON pipe failure'/'DOWNGRADE_DETECTED' This issue may prevent user authentication to this domain. Error 13160939579: cifs_test :  PingDC failure: The compname 'cifs_test' could not successfully contact the DC 'WIN2016'. Failed to access the pipe NETLOGON at step Open NETLOGON Secure Channel:  Action failed with status=DOWNGRADE_DETECTED

La controladora de dominio a la que el servidor NAS no se conecta es una RODC (controladora de dominio de solo lectura). 

RODC solo almacena contraseñas de usuarios y computadoras en función de su "Política de replicación de contraseñas". Solo las contraseñas para las cuentas que se encuentran en los grupos Permitir y no en los grupos Denegar se pueden replicar a la RODC. 

Una vez que el servidor NAS se une al dominio, su cuenta de computadora y contraseña se guardan en la controladora de dominio disponible y, de manera predeterminada, no se replicarán en la RODC. 

Por lo tanto, cuando el servidor NAS intenta establecer el canal seguro para el RODC, el RODC no tiene la contraseña de la computadora del servidor NAS, por lo que devolverá "STATUS_NO_TRUST_SAM_ACCOUNT" y "DOWNGRADE_DETECTED"

Para solucionar el problema, el cliente deberá agregar la cuenta de la computadora del servidor NAS a la política de replicación de contraseñas de RODC, de modo que las contraseñas de la cuenta del servidor NAS se puedan replicar en RODC. 

1. Inicie sesión en la controladora de dominio con capacidad de escritura. 
2. Abra "Active Directory Usrs and Computers"
3. Vaya a "Controladoras de dominio" OU


4. Seleccione la RODC que necesita para configurar "Passowrd replication Policy" y haga clic en las propiedades. 
5. Vaya a la pestaña "Password replication Policy" y agregue la cuenta de computadora del servidor NAS al grupo ALLOW. 



Ahora ejecute el comando pingdc nuevamente, esta vez el pingdc se completará sin errores. 
 

spa:/service/user# svc_cifssupport cifs_test -pingdc -compname cifs_test -dc WIN2016 -verbose

 

cifs_test : done

PINGDC GENERAL INFORMATION

DC SERVER:
Netbios name  : WIN2016

CIFS SERVER:
Compname      : cifs_test
Domain        : peeps.lab

Referencia:

https://www.rebeladmin.com/2014/10/password-replication-in-rodc/