SMB signing

[memphis1 12]

Hallo zusammen,

 

habe seid dem Weekend ein Problem mit dem Zugriff auf Cifs Freigaben auf eine NetAPP.

Das Problem trifft nicht bei allen Server/Workstations auf, sondern nur vereinzelt.

Folgendes habe ich getestet:

• auf der NetAPP eingestellt: cifs.smb2.signing.required   on
• auf den Clients: Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters” RequireSecureNegotiate -Value 0 -Force
• Time Zone (auf den DCs, Clients und der NetAPP) überprüft
• CIFS neu konfiguriert auf der NetAPP

 

Leider komme ich nun nicht mehr weiter

Von den betroffenen Clients (Server 2016, Server 2008R2 und auch Windows 7 Clients) kann ich nicht mal einen ping auf die NetAPP starten, kommt immer der Fehler Zeitüberschreitung.

Von anderen Rechner klappt der Zugriff.

Also meine Vermutung liegt bei dem SMB1 oder SMB2 Zugriff.

Kennt jemand dieses Problem?

 

Gruß

 

[zahni 521]

Was ist denn da für eine Ontap-Version drauf? Welches Modell? 

Und wenn was Ping nicht  geht, hast Du ein anderes Problem. Wie sieht die Netzwerk-Konfig aus? Gibt es EMS-Meldungen?

 

bearbeitet 25. März 2019 von zahni

[memphis1 12]

Hallo,

das Modell ist eine FAS2040

Die Version ist: 8.1.4P1 7-Mode

 

Habe auch zuerst gedacht das es ein Netzwerkproblem sei. Was ich komisch finde ist das wenn ich ein Ping von der NetAPP aus starte ich auch nicht alle IPS bekomme. Sogar welche nicht die in dem gleichen IP Segment drin sind. Das Routing klappt aber, komme ich andere Netze von der NetAPP rein.

[zahni 521]

Das Ist die letzte Version für die FAS2040 (EOL). Hier ist mindestens ein Austausch der Controller anzuraten.

Leider gibt es da div. paar Bugs. Ich wäre mit SMB Signing vorsichtig. 

Z.B. wurde "Multiprocessor SMB2 signing optimization might cause service disruption" erst im P4 behoben.

Ansonsten: Wie sieht die Netzwerkkonfiguration aus? Wird LACP gemacht?

[memphis1 12]

Ehrlich gesagt die Controller haben auch schon keine Garantie mehr.

Die sind auch nicht mehr Produktiv im Einsatz, dienen nur noch für alte Datensammlungen.

Problem ist da liegen meine ganze Daten drauf, IT halt:)

 

Was ich komisch finde ist das es bis Freitag geklappt hat. Ich habe keinerlei Änderungen am System durchgeführt.

Zudem handelt es sich bei der NetAPP auch um 2 Köpfe, einer davon klappt, nur halt der andere nicht.

 

Die Netzwerkkonfiguration ist eine LACP Group. e0a - e0d sind in eine vif Gruppe

 

Jetzt bin ich nicht so der NetAPP Experte. Kann ich nicht die Freigaben auf den anderen Kopf verschieben? IM HA laufen die beiden

 

 

Als Fehler bekomme ich übrigens auf der NetAPP:

 over NBSS socket for port 139. Error 0x23: Resource temporarily unavailable

 

 

bearbeitet 25. März 2019 von memphis1

[zahni 521]

Es großer Experte bin ich auch nicht. Dafür gibt es Dienstleister.

Mit 7-Mode kenne ich mich überhaupt nicht aus. Das war vor meiner Zeit. Die CIFS-SVM läuft im Cluster Mode auf dem Controller, dessen LIF verwendet  wird.

Da SMB2 kein Multipathing kennt, darf auch nur eine LIF von einem Controller verwendet werden. Der Zugriff auf Volumes, die an einem anderen Node hängen, erfolgt über die interen Interconnect-Verbindung.

Wie gesagt, Cluster-Mode.

 

Du solltest hier mal lesen: https://library.netapp.com/ecm/ecm_get_file/ECMP1196993

[daabm 1.184]

Zahni hat's schon gesagt: Wenn Ping nicht geht, dann kann SMB/CIFS wenig dafür. Das ist ein darunter liegendes Problem in der Netzwerk-Infrastruktur...

[djmaker 95]

Ist der Netzwerkkartentreiber auf den betroffenen Clients aktuell?

[magheinz 100]

Der Fehler bedeutet, wenn mich nicht alles täuscht, dass der Filer einen DC nicht findet oder sich nicht verbinden kann. Hat sich bei den DCs etwas geändert?

https://kb.netapp.com/app/answers/answer_view/a_id/1043474/~/error-[nbt.nbss.socketerror%3Aerror]%3A-nbt%3A-cannot-connect-to-server-x.x.x.x-over

 

Das könnte etwas sein wie eine verlorene Vertrauensstellung  bei windows.