none
Problemas con kerberos y w32time RRS feed

  • Pregunta

  • Hola amigos,

     

    Tengo dos DC,s con windows server standard y aproximadamente 300 clientes con windows 2000 profesional sp4, desde hace 15 días me aparecen sistemáticamente dos errores en el visor de sucesos (sistema), uno de ellos, el de kerberos cada 15 minutos y sólo aparece en un servidor, el otro, el de w32time en los dos:

     

    como ejemplo, esto es lo que me dicen las lineas del visor:

     

    Type              date            time          source      Category         event        user        computer

    error            03/10/2008    9:56:56    kerberos       none                 3            N/A         mi servidor

    error            03/10/2008    9:41:56    kerberos       none                 3            N/A         mi servidor

    error            03/10/2008    9:26:56    kerberos       none                 3            N/A         mi servidor

    error            03/10/2008    9:11:56    kerberos       none                 3            N/A         mi servidor

    error            02/10/2008   11:05:40  W32Time       none                29           N/A         mi servidor

    warning       02/10/2008    11:05:40  W32Time       none                47           N/A         mi servidor

    information  02/10/2008    11:04:04  W32Time       none                38           N/A         mi servidor

     

    descripción errores kerberos:

     

    Se recibió un mensaje de error de Kerberos:

    en el inicio de sesión

    Hora del cliente:

    Hora del servidor: 7:26:56.0000 10/3/2008 Z

    Código de error: 0xd KDC_ERR_BADOPTION

    Error extendido: 0xc00000bb KLIN(0)

    Dominio del cliente:

    Nombre del cliente:

    Dominio del servidor: MI DOMINIO

    Nombre del servidor: host/mi servidor

    Nombre del destino: host/mi servidor@MI DOMINIO

    Texto del error:

    Archivo: 9

    Línea: ae0

    Los datos del error se encuentran en el registro.

     

    descripción errores w32time:

     

    El proveedor de tiempo NtpClient se ha configurado para adquirir la hora desde uno o más recursos de hora, sin embargo, ninguno de los recursos está accesible No se hará un intento de ponerse en contacto con un recurso durante 960 minutos. NtpClient no tiene recurso de hora exacta.

     

    Proveedor de hora NtpClient: después de 8 intentos para establecer contacto, no se recibió ninguna respuesta válida del interlocutor configurado manualmente cervantes. Este interlocutor se descartará como recurso de hora y NtpClient intentará descubrir otro interlocutor con este nombre DNS.

     

    El proveedor de tiempo NtpClient no puede obtener o está actualmente recibiendo datos de hora no válidos de 191.0.1.62 (ntp.m|0x8|191.0.1.62:123->191.0.1.62:123).

     

     

    He probado reinstalando el SP2 en los dos DC,s pero los errores me siguen apareciendo, por favor si alguien me puede ayudar se lo agradecería mucho.

     

    Perdonad, no lo he dicho pero hablo de WINDOWS 2003 SERVER STANDARD

    viernes, 3 de octubre de 2008 9:29

Respuestas

  • Buenas! seguarmente como tu bien dices estan relacionados, nunca me he encontrado con una situación así, como mucho he tenido problemas de sincronización pero haciendo lo que te comenté se solucionaba, de todas maneras por lo que he ido leyendo por ahí parece ser que si el servidor con el que intentamos sincronizar nos devuelve un mensaje una vez superado el tiempo límite da un error de kerberos porque le es ininteligible.

    Haz una prueba, mirate esta clave del registro dentro del DC, no del PDC que parece que ha sincronizado correctamente:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer

    Aquí dentro tienes la lista de servidores con los que intenta sincronizar la hora, seguramente ahi tendras direcciones externas, prueba de forzar que sincronice con el server de tu LAN, para eso usa el comando:

    net time /setsntp:"nombre_servidor_PDC" o mejor
    net time /setsntp:"ip_PDC"

    lo que hacemos es cambiarle el valor por linea de comando a la clave anteriormente citada, luego haces un NET STOP W32TIME y un NET START W32TIME, a ver que pasa, si quieres, primero haz la prueba con tu pc y mira que sincronice bien tu PC con tu PDC, si es así luego pruebalo con el DC, debería funcionar.

    Antes de hacer esto confirma que los DNS de la maquina sean los correctos y que el DNS preferido esté apuntando a tu PDC (seguramente sea así, pero...)


    A ver cómo te va, un saludo!
    martes, 7 de octubre de 2008 9:20

Todas las respuestas

  • Buenas para el error de W32Time con id 38 prueba de ejecutar este comando: w32tm /resync /rediscover

    de esta manera deberia quitarte los errores de W32Time.

    Ya contarás! un saludo!!
    viernes, 3 de octubre de 2008 12:05
  • hola laihofcb,

     

    Perdona, pero entiendo que donde debo ejecutarlo es en el PDC ¿no es asi?

     

    viernes, 3 de octubre de 2008 12:13
  • Hola otra vez,

     

    Como te decía lo he hecho en el PDC, y los resultados cronologicamente son:

     

    1º un id 37 (información)

         El proveedor de tiempo NtpClient está actualmente recibiendo datos de hora válidos de 191.0.1.62 (ntp.m|0x8|191.0.1.62:123->191.0.1.62:123).

     

    2º un id 38 (información)

       El proveedor de tiempo NtpClient no puede obtener o está actualmente recibiendo datos de hora no válidos de 191.0.1.62 (ntp.m|0x8|191.0.1.62:123->191.0.1.62:123)

     

    3º un id 29 (error)

       El proveedor de tiempo NtpClient se ha configurado para adquirir la hora desde uno o más recursos de hora, sin embargo, ninguno de los recursos está accesible No se hará un intento de ponerse en contacto con un recurso durante 15 minutos. NtpClient no tiene recurso de hora exacta.

     

    4º un id 47 (advertencia)

       Proveedor de hora NtpClient: después de 8 intentos para establecer contacto, no se recibió ninguna respuesta válida del  interlocutor configurado manualmente 191.0.1.62,0x8. Este interlocutor se descartará como recurso de hora y NtpClient intentará descubrir otro  interlocutor con este nombre DNS. 

     

    Si se te ocurre algo más, te lo agradezco.

    viernes, 3 de octubre de 2008 12:19
  • Ok, partimos de la base de que el servidor tiene acceso a internet no? porque si no es así lo que esta tratando es de recibir la fecha y hora de un servidor externo y con razón tendrias esos problemas.

    Ya se que puede sonar estupido, pero mejor empecemos por confirmar lo logico...
    viernes, 3 de octubre de 2008 13:47
  • Hola laihofcb,

     

    Perdona que no te haya contestado antes, por motivos familiares no he estado este fin de semana, gracias por tu preocupación por mi caso.

    El servidor efectivamente tiene salida a internet (entre medias hay un firebox watchguard), si bien no sabía que mi servidor se intenta sincronizar con un servidor externo, de hecho cuando ejecuto el comando net time /querysntp,  lo que me devuelve es la dirección de mi servidor PDC.

     

    lunes, 6 de octubre de 2008 7:02
  • Buenas javiton, igual el watchguard no permite actualizar la hora de tu PDC con alguno externo (me extrañaria pero...), si es posible prueba que el server salga tan solo 5 minutos sin el watchguard y resincronizar la hora.

    Antes de nada asegurate de que tu server tiene la hora y la fecha correcta. De todas formas si lo prefieres, antes de quitar el watchguard prueba esto:

    Colocamos el servidor externo con el que nos vamos a sincronizar:
    Code Snippet

    net time /setsntp:"es.pool.ntp.org"




    Paramos el servicio W32Time
    Code Snippet

    net stop W32TIME




    Arrancamos el servicio W32Time
    Code Snippet

    net start W32TIME




    si echo esto sigues viendo los mimos errores en el visor de sucesos, trata de quitar de en medio el watchguard y repite estos pasos, con esto deberias poder sincronizar la hora.

    Ya contarás que tal, un saludo!
    lunes, 6 de octubre de 2008 15:49
  • Hola amigo,

     

    He hecho lo que me has dicho, ejecutando esos comandos sin quitar el watchguard y después de un tiempo, éstos son los resultados en el visor de sucesos del DC  que actúa como PDC.

     

    Type              date            time          source      Category           event        user        computer

    information  07/10/2008    09:27:43   W32Time       none                35           N/A         mi servidor

    information  07/10/2008    09:25:06   W32Time       none                37           N/A         mi servidor

     

     el Id. 37 

    El proveedor de tiempo NtpClient está actualmente recibiendo datos de hora válidos de es.pool.ntp.org (ntp.m|0x0|191.0.1.62:123->81.19.96.148:123).

     

    el Id. 35

    El servicio de hora está sincronizando en este momento la hora del sistema con el recurso de hora es.pool.ntp.org (ntp.m|0x0|191.0.1.62:123->81.19.96.148:123).

     

    Sin embargo, en el otro DC, los resultados del visor de sucesos son:

     

     

    Type              date            time          source      Category           event        user        computer

    error            07/10/2008   10:12:45   W32Time       none                29           N/A         mi servidor

    warning       07/10/2008    10:12:45  W32Time       none                47           N/A         mi servidor

    information  07/10/2008    10:10:21  W32Time       none                38           N/A         mi servidor

     

    el id. 38

     

    El proveedor de tiempo NtpClient no puede obtener o está actualmente recibiendo datos de hora no válidos de 191.0.1.62 (ntp.m|0x8|191.0.1.61:123->191.0.1.62:123).

     

    el id 47

      

    Proveedor de hora NtpClient: después de 8 intentos para establecer contacto, no se recibió ninguna respuesta válida del interlocutor configurado manualmente 191.0.1.62,0x8. Este interlocutor se descartará como recurso de hora y NtpClient intentará descubrir otro interlocutor con este nombre DNS.

     

    el id. 29

      

    El proveedor de tiempo NtpClient se ha configurado para adquirir la hora desde uno o más recursos de hora, sin embargo, ninguno de los recursos está accesible No se hará un intento de ponerse en contacto con un recurso durante 120 minutos. NtpClient no tiene recurso de hora exacta.

     

     Por lo que parece, aunque yo estoy hecho un lio, el DC (PDC) ha sincronizado con el servidor externo que me has indicado y de momento no está dando ningún error, pero el otro DC tiene problemas para sincronizar la hora con el PDC, lo que me hace pensar que los clientes deben tener también problemas; creo entonces que no es un problema del wachguard porque sale bien ¿no?, además siempre lo ha tenido por delante y nunca tuvimos estos errores, ¿a ti que te parecen los resultados?

     

    gracias otra vez y un saludo.

    martes, 7 de octubre de 2008 8:56
  •  Perdoname otra vez,

    Pero se me ocurre que pueden estar relacionados los dos errores, el que te comentaba en mi primer post (kerberos) con el (w32time) porque también es casualidad que comenzaran a salir los dos errores al mismo tiempo, ¿tú que crees?.

     

    martes, 7 de octubre de 2008 8:59
  • Buenas! seguarmente como tu bien dices estan relacionados, nunca me he encontrado con una situación así, como mucho he tenido problemas de sincronización pero haciendo lo que te comenté se solucionaba, de todas maneras por lo que he ido leyendo por ahí parece ser que si el servidor con el que intentamos sincronizar nos devuelve un mensaje una vez superado el tiempo límite da un error de kerberos porque le es ininteligible.

    Haz una prueba, mirate esta clave del registro dentro del DC, no del PDC que parece que ha sincronizado correctamente:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer

    Aquí dentro tienes la lista de servidores con los que intenta sincronizar la hora, seguramente ahi tendras direcciones externas, prueba de forzar que sincronice con el server de tu LAN, para eso usa el comando:

    net time /setsntp:"nombre_servidor_PDC" o mejor
    net time /setsntp:"ip_PDC"

    lo que hacemos es cambiarle el valor por linea de comando a la clave anteriormente citada, luego haces un NET STOP W32TIME y un NET START W32TIME, a ver que pasa, si quieres, primero haz la prueba con tu pc y mira que sincronice bien tu PC con tu PDC, si es así luego pruebalo con el DC, debería funcionar.

    Antes de hacer esto confirma que los DNS de la maquina sean los correctos y que el DNS preferido esté apuntando a tu PDC (seguramente sea así, pero...)


    A ver cómo te va, un saludo!
    martes, 7 de octubre de 2008 9:20
  • Hola,

    He hecho lo que me has dicho, parece que de momento están sincronizando bien y no hay errores en el visor, supongo que habrá que esperar un tiempo y ver si no se repiten los mensajes. Si no te importa te mantendré informado.

    Muchas gracias por todo.

     

    martes, 7 de octubre de 2008 10:01
  • Buenas! bueno, me alegro que de momento parezca que va todo bien, no importa que me mantengas informado, al contrario lo prefiero asi si me encuentro con este problema podré solucionarlo, yo estaré al tanto de tus mensajes.

    Por cierto recuerda marcar la respuesta valida como "respuesta" esto hará ayudará a los demas con este problema ya que así queda el tema como cerrado.

    Un placer compadre!


    martes, 7 de octubre de 2008 10:18