none
problemas de inicio de sesión RRS feed

  • Pregunta

  •  

    saludos cordiales,

    Tengo active directory sobre w2003 R2 SP2.

    Uno al dominio PCs, inicialmente todas pueden trabajar normalmente usando cuentas del dominio, pero al cabo de unos días unas cuantas PCs (no todas) comienzan a reportar los siguientes errores: (NOTA: la configuración DNS de los PCs es correcta, ya que los primeros días funcionan normalmente)

     

    1:

    La inscripción de certificados automática para Sistema local no puede ponerse en contacto con el directorio activo (0x8007052b) No se puede actualizar la contraseña. El valor proporcionado como contraseña actual es incorrecto.
    . La inscripción no se efectuará.

     

    2:

    Windows no puede determinar el nombre de usuario o de equipo. ( Acceso denegado. ). Se ha anulado el proceso de directiva de grupo.

     

    3:

    Windows no puede obtener el nombre del controlador de dominio para la red de su equipo. (El dominio especificado no existe o no se pudo establecer conexión con él. ). Se ha anulado el proceso de directiva de grupo.

     

     

    Y en el controlador de dominio encuentro el siguiente error:

    The session setup from computer 'AAD3099' failed because the security database does not contain a trust account 'AAD3099$' referenced by the specified computer

     

    verifiqué, y la cuenta de máquina ya no existe en active directory, busqué en el log Security del DC en busca de algún evento de auditoría que me diga cuándo y quién borró la cuenta de máquina, pero no existe nada al respecto.

     

    Toda ayuda de cualquier tipo la agradeceré mucho.

    miércoles, 9 de julio de 2008 7:31

Respuestas

  • Primero aclararos a todos que un DC no puede formar parte de varios sitios de replicacion de AD. Cuando eso ocurre porque un DC tiene mas de una NIC, aparecen errores de replicacion debido principalmente a un enrutamiento incompleto (puede ocurrir que esa red no sea accesible por otros DC por el hecho de no estar declarada en las tablas de enrutamiento. DNS ofrece como respuesta a una consulta la lista de direcciones del DC y el cliente utiliza la primera de la lista. Si la primera no es alcanzable aparecen errores de autenticacion y aplicacion de directivas (evento scecli en aplicacion, confirma la aplicacion de directiva).

     

    La solucion a este problema pasa por reiniciar las cuentas de cada equipo desaparecido del dominio. Ejecutar la herramienta newsid.exe (busca en google) en cada estacion (este ejecutable cambia los identificadores de seguridad del equipo) y despues agregar el equipo al dominio.

     

    Un Sysprep bien hecho (con eliminacion de informacion de seguridad) te habria ahorrado todo este engorro. Si te ha servido esta informacion, confirmalo. Saludos

    lunes, 28 de julio de 2008 11:08

Todas las respuestas

  • Te diria que parece un problema de AD, ¿que errores tienes en el visor de eventos del servidor?? ¿cuantos dcs tienes replicados?

    miércoles, 9 de julio de 2008 23:43
  • Hola !!!

     

     

    Dos preguntas

     

    ¿ de casualidad acostumbras clonar tus PC sin utilizar SYSPREP ?

     

    ¿ Para ver algo en el log de security tienes que tener activa tu auditoria, la tienes configurada ?

     

    Saludos !!!!

     

    http://www.itpropuebla.net
    http://ocorreas.spaces.live.com
    ----------------------------------------------
    Recuerden siempre seleccionar "SI" (donde dice ¿Ha resultado útil este mensaje?) en caso de que su duda se resuelva con alguna de las recomendaciones de los foristas.

     

    jueves, 10 de julio de 2008 2:57
  •  

    Oscar tiene razón suele ser problema de la clonación sin o utlilizas SYSPREP
    jueves, 10 de julio de 2008 11:38
  • Los eventos (en los controladores de dominio de los sites en donde han ocurrido estos problemas) son básicamente los que he mencionado, voy a leer más a fondo el event viewer para ver si existe algún evento más que resulte de utilidad y lo colocaré aquí.

     

    En total existen 6 DCs. No existen subdominios, todo es un solo dominio. En total son 8 sites (Un DC atiende a 3 sites).

    miércoles, 16 de julio de 2008 4:00
  • De la parte de la clonación de PCs no estuvo a mi cargo, pero las personas que realizaron este proceso me aseguraron que utilizaron sysprep. Toda PC clonada tiene Windows XP.

     

    La auditoría la tengo con las configuraciones por defecto de la GPO "Default Domain Controllers Policy". Para probar que el log Security captura correctamente los eventos, hice pruebas creando y eliminando cuentas de PC en el Active Directory, y sí tuve eventos que me indicaban la ocurrencia de estas acciones.

    miércoles, 16 de julio de 2008 4:03
  • Primero aclararos a todos que un DC no puede formar parte de varios sitios de replicacion de AD. Cuando eso ocurre porque un DC tiene mas de una NIC, aparecen errores de replicacion debido principalmente a un enrutamiento incompleto (puede ocurrir que esa red no sea accesible por otros DC por el hecho de no estar declarada en las tablas de enrutamiento. DNS ofrece como respuesta a una consulta la lista de direcciones del DC y el cliente utiliza la primera de la lista. Si la primera no es alcanzable aparecen errores de autenticacion y aplicacion de directivas (evento scecli en aplicacion, confirma la aplicacion de directiva).

     

    La solucion a este problema pasa por reiniciar las cuentas de cada equipo desaparecido del dominio. Ejecutar la herramienta newsid.exe (busca en google) en cada estacion (este ejecutable cambia los identificadores de seguridad del equipo) y despues agregar el equipo al dominio.

     

    Un Sysprep bien hecho (con eliminacion de informacion de seguridad) te habria ahorrado todo este engorro. Si te ha servido esta informacion, confirmalo. Saludos

    lunes, 28 de julio de 2008 11:08