none
Perdida de permisos equipos de dominio RRS feed

  • Pregunta

  • Buenas,

    Estamos teniendo unos casos bastante extraños en nuestro AD. Algunos clientes y de forma aleatoria dejan de tener acceso a los recursos compartidos de la red, el mensaje de error indica que no se tienen permisos para el acceso, en ocasiones es imposible el acceso hasta que sacas y vuelves a meter el equipo en el dominio o tambien suele pasar que mientras por nombre de maquina \\server no funciona si entras por \\IP si que funciona. Todos los clientes apuntan a la DNS del servidor y los problemas como indico pasan aleatoriamente en varios equipos.

    Como he indicado normalmente sacando el equipo del dominio y volviendo a meter se soluciona pero a los días tenemos el mismo problema con ese equipo o con otros.

    El servidor es un windows 2003 server y las maquinas que están fallando por el momento son todas winxp, hemos revisado el visor de sucesos en el servidor y no vemos ningún error o problema... es muy muy raro y no sabemos por donde atacar el problema.

    Muchas gracias

    miércoles, 16 de diciembre de 2015 14:21

Respuestas

  • Hola Juan VC, si pueden ingresar por dirección IP, pero no por nombre, el problema es que no pueden usar autenticación Kerberos, y esto puede ser por problemas de la relación de confianza de la máquina con el Dominio

    Primero que nada asegúrate que las máquinas no tengan configurado como DNS alternativo a otro que no sea un Controlador de Dominio de tu Dominio, esto es fundamental, y es la causa más común del error que comentas

    Por otro lado revisa en el visor de eventos de esa máquinas, cuando se produce el problema, si hay algún evento que nombre que se ha roto la relación de confianza de la máquina con el Dominio

    Igualmente en los Controladores de Dominio, aunque acá también puede haber algo como que no existe una cuenta de máquina en el Dominio (lo que dice el evento)

    Otra posibilidad ¿esas máquinas fueron clonadas? ¿cómo se instalaron?

    Todo da para pensar en que lo que no funciona es porque está rota la relación de confianza entre máquina y Dominio y hay que buscar la causa raíz, pero te dejo un enlace a una nota que tienen formas más simples de recuperar esta relación de confianza sin sacar las máquinas del Dominio y volverlas a unir, y ni siquera necesitan reinicio

    Solución: Las Máquinas que se Salen del Dominio | WindowServer
    https://windowserver.wordpress.com/2014/07/24/solucin-las-mquinas-que-se-salen-del-dominio/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 17 de diciembre de 2015 15:25
    • Marcado como respuesta Moderador M martes, 29 de diciembre de 2015 15:41
    miércoles, 16 de diciembre de 2015 16:18
    Moderador

Todas las respuestas

  • Hola Juan VC, si pueden ingresar por dirección IP, pero no por nombre, el problema es que no pueden usar autenticación Kerberos, y esto puede ser por problemas de la relación de confianza de la máquina con el Dominio

    Primero que nada asegúrate que las máquinas no tengan configurado como DNS alternativo a otro que no sea un Controlador de Dominio de tu Dominio, esto es fundamental, y es la causa más común del error que comentas

    Por otro lado revisa en el visor de eventos de esa máquinas, cuando se produce el problema, si hay algún evento que nombre que se ha roto la relación de confianza de la máquina con el Dominio

    Igualmente en los Controladores de Dominio, aunque acá también puede haber algo como que no existe una cuenta de máquina en el Dominio (lo que dice el evento)

    Otra posibilidad ¿esas máquinas fueron clonadas? ¿cómo se instalaron?

    Todo da para pensar en que lo que no funciona es porque está rota la relación de confianza entre máquina y Dominio y hay que buscar la causa raíz, pero te dejo un enlace a una nota que tienen formas más simples de recuperar esta relación de confianza sin sacar las máquinas del Dominio y volverlas a unir, y ni siquera necesitan reinicio

    Solución: Las Máquinas que se Salen del Dominio | WindowServer
    https://windowserver.wordpress.com/2014/07/24/solucin-las-mquinas-que-se-salen-del-dominio/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 17 de diciembre de 2015 15:25
    • Marcado como respuesta Moderador M martes, 29 de diciembre de 2015 15:41
    miércoles, 16 de diciembre de 2015 16:18
    Moderador
  • Hola "Juan VC" como estas,

    1 - Desde cuando sucede esto ? se realizaron cambios.
    2 - Cuantos DC tienes ?
    3 - Todos los DCs son DNS ?
    4 - Tienes el ultimo service pack y updates instalados en server y winxp ?

    Acciones:

    1 - Desde un DNS ejecuta y postea "ipconfig /all"
    2 - En cada DC verifica tener los servicios corriendo.
    3 - En cada DC ejecuta nslookup + _ldap._tcp.domian.com.
    4 - Desde event viewer busca solo los errores con numero de event id y origen.
    5 - Desde un cliente ejecuta y postea "ipconfig /all"
    6 - Desde cada DNS ejecuta y postea "dcdiag /test:dns".

    Puedes chequear la configuración basica DNS:

    Verifying Your Basic DNS Configuration
    https://technet.microsoft.com/en-us/library/cc959303.aspx

    Troubleshooting DNS Servers
    https://technet.microsoft.com/en-us/library/cc731991.aspx

    Espero sea de apoyo a tu caso. Hasta pronto.


    viernes, 18 de diciembre de 2015 3:19