Buenas a todos: Resulta que tengo una CA montada en un Windows 2003 R2 que no me autentifica en el dominio y al ser la CA principal no la puedo eliminar y volver a crear ni modificar el nombre. Este Servidor se llama certificados Certificados y me da errores en con las id 5719, 5722, 44, 11166. Es como si se hubiese desvinculado del dominio y no se registra en el DNS por más que lo fuerzo. ¿Que puedo hacer? Muchas Gracias
Reiniciamos de nuevo y ya podemos iniciar sesion en el dominio
Despues de esto ejecuté el comando nltest.exe /sc_query:konsac.dom y esta es su salida:
nltest.exe /sc_query:konsac.dom Flags: 30 HAS_IP HAS_TIMESERV Trusted DC Name \\DC.konsac.dom Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully y desapacerieron todos los sucesos de error Ahora mi pregunta es... He hecho lo correcto al sacar y meter de nuevo a la maquina del dominio o me traera problemas?
Muchas Gracias a todos por vuestra ayuda y las pistas que me habéis dado
Marcado como respuestaIsmael Borchelunes, 29 de agosto de 2011 18:44
C:\Documents and Settings\Administrador>"C:\Documents and Settings\Administrador \Escritorio\nltest.exe" /sc_query:konsac.dom Flags: 0 Trusted DC Name Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully
creo que es mas por la cuenta del equipo que no la propia CA ya que no me puedo logar con el cable de red conectado pero si desconectado.
Tipo de suceso: Error Origen del suceso: Kerberos Categoría del suceso: Ninguno Id. suceso: 4 Fecha: 21/10/2008 Hora: 14:14:03 Usuario: No disponible Equipo: DC Descripción: El cliente de Kerberos ha recibido un error KRB_AP_ERR_MODIFIED del servidor host/certificados.konsac.dom. El nombre de destino utilizado es cifs/certificados.konsac.dom. Esto indica que la contraseña utilizada para cifrar el vale del servicio Kerberos es diferente a la del servidor de destino. Generalmente, esto se debe a que hay cuentas de equipo con el mismo nombre en el dominio de destino (KONSAC.DOM) y en el dominio del cliente. Póngase en contacto con el administrador del sistema.
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
y como hago eso? tengo que aclarar que estoy trabajando contra un vmware esxi y puedo hacer snapshots para luego restaurar. Me arriesgare a ver el impacto que tienen en mi dominio pero please dime que tengo que hacer !!
Es una maquina clonada ? o una virtual la cual has usado en varias instalaciones diferentes , en ese caso si deberias usar New sid como menciona Juan.
El problema vemos que es por que esa maquina ha perdido el canal seguro contra tu Controlador de Dominio. Otra razon podria ser una diferencia de tiempo entre la CA y el Domain Controller el tiempo esta sincronizado correctamente ?
No es una maquina clonada , solo estoy trabajando en un entorno de maquinas virtuales pero todas las maquinas se han instalado mediante el cd de windows 2003 server. La direrencia de tiempo tampoco ya que el dc esta en la misma maquina y tiene esactamente la misma hora.
En caso de ser imposible de solucionar se podria crear otra CA para sustituir a esta?
La CA es tambien tu controlador de dominio ? En ese caso es esperado que falle la relacion de confianza contra si misma
Cuentame un poco mas , cuantos DC tienes ? Quien maneja los roles FSMO ? Algun evento en el Event Viewer del servidor ? En el caso de los eventos please pega los eventos enteros
Tendrias que validar que aplicaciones y/o archivos utilizan los certificados emitidos, para luego asignarle los nuevos, que tendrias que recrear con anterioridad.
Vamos a recapitular : El controlador de dominio es el que tiene todos los roles , la maquina tiene el nombre DC.konsac.dom La CA esta en otra maquina separada certificados.konsac.dom que solo tiene el servicio de CA estos certificados solo se usan para un exchange 2007 Para la configuracion de Outlook anywhere y el Activesync
Ok entonces esta correcto si ejecutastes en la maquina de la CA el nltest /sc_query y te dio el error . Ese es el problema no estas pudiendo establecer el secure channell contra el domain controller.
Entonces puedes intentar reiniciarlo. Deberias chequear en principio la hora entre las dos maquinas.
Os dejo un pantallazo de las 2 maquinas http://www.divshare.com/download/5641917-1ff como podeis ver la hora es la misma incluso los segundos Os pego los registros del visor de suceso de la maquina CA Visor de sucesoso --> aplicación -------------------------------------------------------- Tipo de suceso: Error Origen del suceso: CertSvc Categoría del suceso: Ninguno Id. suceso: 66 Fecha: 21/10/2008 Hora: 18:51:58 Usuario: No disponible Equipo: CERTIFICADOS Descripción: Servicios de Certificate Server no pudo publicar una diferencia de lista CRL para la clave 0 en la siguiente ubicación: ldap:///CN=certificados,CN=Certificados,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=konsac,DC=dom. No se puede actualizar la contraseña. El valor proporcionado como contraseña actual es incorrecto. 0x8007052b (WIN32: 1323).
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp. -------------------------------------------------------- Tipo de suceso: Error Origen del suceso: Userenv Categoría del suceso: Ninguno Id. suceso: 1053 Fecha: 21/10/2008 Hora: 18:12:51 Usuario: NT AUTHORITY\SYSTEM Equipo: CERTIFICADOS Descripción: Windows no puede determinar el nombre de usuario o de equipo. ( Acceso denegado. ). Se ha anulado el proceso de directiva de grupo.
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp. -------------------------------------------------------- Visor de Sucesos Sistema
Tipo de suceso: Advertencia Origen del suceso: LSASRV Categoría del suceso: SPNEGO (Negociador) Id. suceso: 40960 Fecha: 22/10/2008 Hora: 8:17:00 Usuario: No disponible Equipo: CERTIFICADOS Descripción: El Sistema de seguridad detectó un error de autenticación del servidor cifs/DC.konsac.dom. El código de error del protocolo de autenticación Kerberos era "El inicio de sesión intentado no es válido. Esto se debe a un nombre de usuario o a información de autenticación incorrectos. (0xc000006d)".
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp. Datos: 0000: 6d 00 00 c0 m..À --------------------------------------------------------- Tipo de suceso: Error Origen del suceso: NETLOGON Categoría del suceso: Ninguno Id. suceso: 3210 Fecha: 22/10/2008 Hora: 6:23:06 Usuario: No disponible Equipo: CERTIFICADOS Descripción: Este equipo no se pudo autenticar con \\DC.konsac.dom, un controlador de dominio de Windows Para el dominio KONSAC, y por lo tanto este equipo puede denegar peticiones de inicio de sesión. Esta incapacidad para autenticarse puede estar causada por otro equipo en la misma red que usa el mismo nombre o porque la contraseña para esta cuenta de equipo no se reconoce. Si vuelve a aparecer este mensaje, póngase en contacto con el administrador de su sistema.
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp. Datos: 0000: 22 00 00 c0 "..À -------------------------------------------------------- Tipo de suceso: Error Origen del suceso: W32Time Categoría del suceso: Ninguno Id. suceso: 29 Fecha: 21/10/2008 Hora: 18:12:48 Usuario: No disponible Equipo: CERTIFICADOS Descripción: El proveedor de tiempo NtpClient se ha configurado para adquirir la hora desde uno o más recursos de hora, sin embargo, ninguno de los recursos está accesible No se hará un intento de ponerse en contacto con un recurso durante 15 minutos. NtpClient no tiene recurso de hora exacta.
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp. --------------------------------------------------------- Tipo de suceso: Advertencia Origen del suceso: W32Time Categoría del suceso: Ninguno Id. suceso: 18 Fecha: 21/10/2008 Hora: 18:12:48 Usuario: No disponible Equipo: CERTIFICADOS Descripción: El proveedor de tiempo NtpClient no puede establecer una relación de confianza entre este equipo y el dominio konsac.dom para sincronizar la hora con seguridad. NtpClient volverá a intentarlo en 15 minutos. El error era: Error en la relación de confianza entre la estación de trabajo y el dominio principal. (0x800706FD)
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp. ------------------------------------------------------
esto estaba en el visor de sucesos del controlador de dominio
Tipo de suceso: Error Origen del suceso: NETLOGON Categoría del suceso: Ninguno Id. suceso: 5722 Fecha: 22/10/2008 Hora: 8:45:19 Usuario: No disponible Equipo: DC Descripción: No se puede autenticar la configuración de sesión desde el equipo CERTIFICADOS. El(los) nombre(s) de la(s) cuenta(s) a la(s) que se hace referencia en la base de datos de seguridad es(son) CERTIFICADOS$. Error: Acceso denegado.
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp. Datos: 0000: 22 00 00 c0 "..À
Reiniciamos de nuevo y ya podemos iniciar sesion en el dominio
Despues de esto ejecuté el comando nltest.exe /sc_query:konsac.dom y esta es su salida:
nltest.exe /sc_query:konsac.dom Flags: 30 HAS_IP HAS_TIMESERV Trusted DC Name \\DC.konsac.dom Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully y desapacerieron todos los sucesos de error Ahora mi pregunta es... He hecho lo correcto al sacar y meter de nuevo a la maquina del dominio o me traera problemas?
Muchas Gracias a todos por vuestra ayuda y las pistas que me habéis dado
Marcado como respuestaIsmael Borchelunes, 29 de agosto de 2011 18:44
Problema con la CA
ominio userd:usuario paswordd
assword
