FAS2554 недоступны CIFS шары

[pr0g]

Добрый день!

Недавно пропал доступ к сетевым шарам CIFS.
В логах следующие записи:

CIFS SMB2 Share mapping - Client Ip = 10.10.3.8
**[ 2853] Attempt 1 FAILURE: Unexpected state: Error 6756 at file:src/FrameWork/ClientInfo.cpp func:RemoveAllSharesFromGlobalSession line:3569
**[ 2853] Attempt 1 FAILURE: Pass-through authentication failed. (Status: 0xC000005E)
**[ 3588] Attempt 2 FAILURE: Unexpected state: Error 6756 at file:src/FrameWork/ClientInfo.cpp func:RemoveAllSharesFromGlobalSession line:3569
**[ 3588] Attempt 2 FAILURE: Pass-through authentication failed. (Status: 0xC000005E)
[3588 ms] Login attempt by domain user 'AD\svc_veeambackup' using NTLMv2 style security

Версия NetApp Release 9.1P8: Wed Aug 30 13:33:41 UTC 2017

 

[dimon]

To check if SVM is connected to DC's.

::> set di -c off ; rows 0
::*>vserver cifs domain discovered-servers show -vserver <svm> -node <node_hosting_data_lif>

To check domain trusts:
::*>vserver cifs domain trust show -vserver <svm>

Check creds for the user :
::*> diag secd authentication show-creds -vserver <svm> -node <node_hosting_data_lif> -win-name <domain\user>

 

[pr0g]

To check if SVM is connected to DC's.

::> set di -c off ; rows 0
::*>vserver cifs domain discovered-servers show -vserver <svm> -node <node_hosting_data_lif>

Node: node1
Vserver: data-svm-2

Domain Name Type Preference DC-Name DC-Address Status
--------------- -------- ---------- --------------- --------------- ---------
corp.ruspetro.com KERBEROS preferred aaaadc03 10.10.10.100 undetermined
corp.ruspetro.com KERBEROS adequate bbbadc03 10.6.1.20 undetermined
corp.ruspetro.com KERBEROS adequate cccadc02 10.2.1.10 undetermined
corp.ruspetro.com KERBEROS adequate dddadc02 10.101.1.26 undetermined
corp.ruspetro.com KERBEROS adequate taladc03 10.5.1.15 undetermined
corp.ruspetro.com MS-LDAP preferred aaaadc03 10.10.10.100 undetermined
corp.ruspetro.com MS-LDAP adequate bbbdc03 10.6.1.20 undetermined
corp.ruspetro.com MS-LDAP adequate cccadc02 10.2.1.10 undetermined
corp.ruspetro.com MS-LDAP adequate dddadc02 10.101.1.26 undetermined
corp.ruspetro.com MS-LDAP adequate eeeadc03 10.5.1.15 undetermined
corp.ruspetro.com MS-DC preferred aaaadc03 10.10.10.100 OK
corp.ruspetro.com MS-DC adequate bbbadc03 10.6.1.20 undetermined
corp.ruspetro.com MS-DC adequate cccadc02 10.2.1.10 undetermined
corp.ruspetro.com MS-DC adequate dddadc02 10.101.1.26 undetermined
corp.ruspetro.com MS-DC adequate eeeadc03 10.5.1.15 undetermined

Node: node2
Vserver: data-svm-2

Domain Name Type Preference DC-Name DC-Address Status
--------------- -------- ---------- --------------- --------------- ---------
corp.ruspetro.com KERBEROS preferred aaaadc03 10.10.10.100 undetermined
corp.ruspetro.com MS-LDAP preferred aaaadc03 10.10.10.100 undetermined
corp.ruspetro.com MS-DC preferred aaaadc03 10.10.10.100 unavailable
corp.ruspetro.com MS-DC adequate bbbadc03 10.6.1.20 undetermined
corp.ruspetro.com MS-DC adequate cccadc02 10.2.1.10 undetermined
corp.ruspetro.com MS-DC adequate dddadc02 10.101.1.26 undetermined
corp.ruspetro.com MS-DC adequate eeeadc03 10.5.1.15 undetermined

To check domain trusts:
::*>vserver cifs domain trust show -vserver <svm>

Node: node1
Vserver: data-svm-2

Home Domain Trusted Domains
------------------------------ ------------------------------------------------
CORP.DOMAIN.LOC CORP.DOMAIN.LOC

Node: node2
Vserver: data-svm-2

Home Domain Trusted Domains
------------------------------ ------------------------------------------------
CORP.DOMAIN.LOC CORP.DOMAIN.LOC
2 entries were displayed.

Check creds for the user :
::*> diag secd authentication show-creds -vserver <svm> -node <node_hosting_data_lif> -win-name <domain\user>

diag secd authentication show-creds -v data-svm-2 -node node2 -win-name DOMAIN\user

UNIX UID: pcuser <> Windows User: DOMAIN\user (Windows Domain User)

GID: pcuser
Supplementary GIDs:
pcuser

Windows Membership:
DOMAIN\Domain Users (Windows Domain group)
DOMAIN\RPO Employees (Windows Domain group)
DOMAIN\TAL Employees (Windows Domain group)
DOMAIN\RPO 1C Users (Windows Domain group)
DOMAIN\RD HSE Documents RO (Windows Alias)
DOMAIN\_RPO SMIME encryption certificate users (Windows Alias)
DOMAIN\RD Information Technology RW (Windows Alias)
DOMAIN\RPO RDP users (Windows Alias)
DOMAIN\RD Technical Data RW (Windows Alias)
DOMAIN\RPO Network Support (Windows Alias)
DOMAIN\RPO Local Password Workstation Read (Windows Alias)
DOMAIN\RPO Bitbucket admins (Windows Alias)
DOMAIN\RD Blanks RO (Windows Alias)
DOMAIN\RD Grant Of Authority Matrix RO (Windows Alias)
DOMAIN\RPO RD Gateway Corporate users (Windows Alias)
DOMAIN\RD User Manuals RO (Windows Alias)
DOMAIN\RD Lab Logs RO (Windows Alias)
DOMAIN\RD User Manuals RW (Windows Alias)
DOMAIN\RD PPE register RO (Windows Alias)
DOMAIN\RPO Anyconnect Admins (Windows Alias)
DOMAIN\RPO RDP APP03 users (Windows Alias)
DOMAIN\RD Dataroom RW (Windows Alias)
DOMAIN\RD Policies and Procedures RO (Windows Alias)
DOMAIN\RPO RD Gateway RDS Servers (Windows Alias)
Service asserted identity (Windows Well known group)
BUILTIN\Users (Windows Alias)
User is also a member of Everyone, Authenticated Users, and Network Users

Privileges (0x2080):
SeChangeNotifyPrivilege

 

[Goblin]

В чем точно не скажу дело, но явно хранилка не может достучаться до какого-то контроллера домена.

corp.ruspetro.com MS-DC preferred aaaadc03 10.10.10.100 unavailable

Эта штука живая / доступна ?

 

[NanoSuit]

KB5011233: Protections in CVE-2022-21920 may block NTLM authentication if Kerberos authentication is not successful

 

[pr0g]

В чем точно не скажу дело, но явно хранилка не может достучаться до какого-то контроллера домена.

Эта штука живая / доступна ?

ping -node node1 -destination 10.10.10.100
10.10.10.100 is alive

 

[pr0g]

KB5011233: Protections in CVE-2022-21920 may block NTLM authentication if Kerberos authentication is not successful

Какие варианты обойти данную блокировку?

 

[pr0g]

Без обновления NetApp можно как-то решить проблему?

 

[Goblin]

может все таки попробовать ontap обновить ? Подписки нет у вас ?

 

[pr0g]

Учетка для MySupport есть, но боюсь применять, вдруг заблочат.

 

[pr0g]

Нашел ресурс с последними прошивками, которые исправляют проблему с авторизацией в AD. 9121P4_q_image.tgz
На текущий момент у меня версия NetApp Release 9.1P8. Можно ли обновиться сразу на верcию 9.12.1P4 или надо ставить какие-то промежуточные версии?

 

[zero]

Нашел ресурс с последними прошивками, которые исправляют проблему с авторизацией в AD. 9121P4_q_image.tgz
На текущий момент у меня версия NetApp Release 9.1P8. Можно ли обновиться сразу на верcию 9.12.1P4 или надо ставить какие-то промежуточные версии?

нетапп умные железки. Он не даст обновить если будет потеря данных. Попробуйте.