Principales respuestas
Problema con la CA

Pregunta
-
Buenas a todos:
Resulta que tengo una CA montada en un Windows 2003 R2 que no me autentifica en el dominio y al ser la CA principal no la puedo eliminar y volver a crear ni modificar el nombre.
Este Servidor se llama certificados Certificados y me da errores en con las id 5719, 5722, 44, 11166.
Es como si se hubiese desvinculado del dominio y no se registra en el DNS por más que lo fuerzo.
¿Que puedo hacer?
Muchas Gracias
Respuestas
-
Buenas a todos :
Parece se que ya he encontrado la solución paso a explicar como lo he hecho por si le pasa a otra persona
- Instalar el support tools
- Ejecutar el comando netdom remove "nombredelamaquina"
- Reiniciamos e iniciamos la maquina con la cuenta del administrador local
- Ejecutamos netdom join certificados /domain
ominio userd:usuario paswordd
assword
- Reiniciamos de nuevo y ya podemos iniciar sesion en el dominio
y esta es su salida:
nltest.exe /sc_query:konsac.dom
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \\DC.konsac.dom
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
y desapacerieron todos los sucesos de error
Ahora mi pregunta es... He hecho lo correcto al sacar y meter de nuevo a la maquina del dominio o me traera problemas?
Muchas Gracias a todos por vuestra ayuda y las pistas que me habéis dado
- Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:44
Todas las respuestas
-
Que pasa si ejecutas en la CA?
Code Snippetnltest /sc_queryEn caso que de algun error podrias intentar hacer un reset del Secure channel utilizando sc_reset
Mas informacion :
To validate trust connections, you normally test the secure channel:
• Nltest /sc_query is used to query the status of the secure channel.
• Nltest /sc_reset < domain name > can be used to force renegotiations of the secure channel.
• Nltest /sc_reset < domainname >\< computer name > can be used to force a secure channel onto a particular domain controller.
Da algun error ?
Slds
Sebastian del Rio -
la salida del comando es la siguiente:C:\Documents and Settings\Administrador>"C:\Documents and Settings\Administrador
\Escritorio\nltest.exe" /sc_query:konsac.dom
Flags: 0
Trusted DC Name
Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED
The command completed successfully
creo que es mas por la cuenta del equipo que no la propia CA ya que no me puedo logar con el cable de red conectado pero si desconectado. -
este es el error que me sale registrado en el DC
Tipo de suceso: Error
Origen del suceso: Kerberos
Categoría del suceso: Ninguno
Id. suceso: 4
Fecha: 21/10/2008
Hora: 14:14:03
Usuario: No disponible
Equipo: DC
Descripción:
El cliente de Kerberos ha recibido un error KRB_AP_ERR_MODIFIED del servidor host/certificados.konsac.dom. El nombre de destino utilizado es cifs/certificados.konsac.dom. Esto indica que la contraseña utilizada para cifrar el vale del servicio Kerberos es diferente a la del servidor de destino. Generalmente, esto se debe a que hay cuentas de equipo con el mismo nombre en el dominio de destino (KONSAC.DOM) y en el dominio del cliente. Póngase en contacto con el administrador del sistema.
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp. -
-
-
NewSID
http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx
Estuve validando lo del CA y viendo que debes aplicar el newSID tambien renombrando la maquina creo que no es buena opcion para tu CA.
Algunos articulos para indagar mas sobre esos errores:
Si el problema radica en el servicio:
http://technet.microsoft.com/en-us/library/cc772897.aspx
Espero sea de ayuda
Saludos
-
Es una maquina clonada ? o una virtual la cual has usado en varias instalaciones diferentes , en ese caso si deberias usar New sid como menciona Juan.
El problema vemos que es por que esa maquina ha perdido el canal seguro contra tu Controlador de Dominio. Otra razon podria ser una diferencia de tiempo entre la CA y el Domain Controller el tiempo esta sincronizado correctamente ?
Slds
Sebastian del Rio -
No es una maquina clonada , solo estoy trabajando en un entorno de maquinas virtuales pero todas las maquinas se han instalado mediante el cd de windows 2003 server.
La direrencia de tiempo tampoco ya que el dc esta en la misma maquina y tiene esactamente la misma hora.
En caso de ser imposible de solucionar se podria crear otra CA para sustituir a esta? -
La CA es tambien tu controlador de dominio ? En ese caso es esperado que falle la relacion de confianza contra si misma
Cuentame un poco mas , cuantos DC tienes ? Quien maneja los roles FSMO ? Algun evento en el Event Viewer del servidor ? En el caso de los eventos please pega los eventos enteros
Slds
Sebastian del Rio -
-
Vamos a recapitular :
El controlador de dominio es el que tiene todos los roles , la maquina tiene el nombre DC.konsac.dom
La CA esta en otra maquina separada certificados.konsac.dom que solo tiene el servicio de CA estos certificados solo se usan para un exchange 2007 Para la configuracion de Outlook anywhere y el Activesync -
Ok entonces esta correcto si ejecutastes en la maquina de la CA el nltest /sc_query y te dio el error . Ese es el problema no estas pudiendo establecer el secure channell contra el domain controller.
Entonces puedes intentar reiniciarlo. Deberias chequear en principio la hora entre las dos maquinas.
Que eventos te da en la maquina con la CA ?
Slds
Sebastian del Rio -
Os dejo un pantallazo de las 2 maquinas http://www.divshare.com/download/5641917-1ff
como podeis ver la hora es la misma incluso los segundos
Os pego los registros del visor de suceso de la maquina CA
Visor de sucesoso --> aplicación
--------------------------------------------------------
Tipo de suceso: Error
Origen del suceso: CertSvc
Categoría del suceso: Ninguno
Id. suceso: 66
Fecha: 21/10/2008
Hora: 18:51:58
Usuario: No disponible
Equipo: CERTIFICADOS
Descripción:
Servicios de Certificate Server no pudo publicar una diferencia de lista CRL para la clave 0 en la siguiente ubicación: ldap:///CN=certificados,CN=Certificados,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=konsac,DC=dom. No se puede actualizar la contraseña. El valor proporcionado como contraseña actual es incorrecto. 0x8007052b (WIN32: 1323).
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
--------------------------------------------------------
Tipo de suceso: Error
Origen del suceso: Userenv
Categoría del suceso: Ninguno
Id. suceso: 1053
Fecha: 21/10/2008
Hora: 18:12:51
Usuario: NT AUTHORITY\SYSTEM
Equipo: CERTIFICADOS
Descripción:
Windows no puede determinar el nombre de usuario o de equipo. ( Acceso denegado. ). Se ha anulado el proceso de directiva de grupo.
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
--------------------------------------------------------
Visor de Sucesos Sistema
Tipo de suceso: Advertencia
Origen del suceso: LSASRV
Categoría del suceso: SPNEGO (Negociador)
Id. suceso: 40960
Fecha: 22/10/2008
Hora: 8:17:00
Usuario: No disponible
Equipo: CERTIFICADOS
Descripción:
El Sistema de seguridad detectó un error de autenticación del servidor cifs/DC.konsac.dom. El código de error del protocolo de autenticación Kerberos era "El inicio de sesión intentado no es válido. Esto se debe a un nombre de usuario o a información de autenticación incorrectos.
(0xc000006d)".
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
Datos:
0000: 6d 00 00 c0 m..À
---------------------------------------------------------
Tipo de suceso: Error
Origen del suceso: NETLOGON
Categoría del suceso: Ninguno
Id. suceso: 3210
Fecha: 22/10/2008
Hora: 6:23:06
Usuario: No disponible
Equipo: CERTIFICADOS
Descripción:
Este equipo no se pudo autenticar con \\DC.konsac.dom, un controlador de dominio de Windows Para el dominio KONSAC, y por lo tanto este equipo puede denegar peticiones de inicio de sesión. Esta incapacidad para autenticarse puede estar causada por otro equipo en la misma red que usa el mismo nombre o porque la contraseña para esta cuenta de equipo no se reconoce. Si vuelve a aparecer este mensaje, póngase en contacto con el administrador de su sistema.
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
Datos:
0000: 22 00 00 c0 "..À
--------------------------------------------------------
Tipo de suceso: Error
Origen del suceso: W32Time
Categoría del suceso: Ninguno
Id. suceso: 29
Fecha: 21/10/2008
Hora: 18:12:48
Usuario: No disponible
Equipo: CERTIFICADOS
Descripción:
El proveedor de tiempo NtpClient se ha configurado para adquirir la hora desde uno o más recursos de hora, sin embargo, ninguno de los recursos está accesible No se hará un intento de ponerse en contacto con un recurso durante 15 minutos. NtpClient no tiene recurso de hora exacta.
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
---------------------------------------------------------
Tipo de suceso: Advertencia
Origen del suceso: W32Time
Categoría del suceso: Ninguno
Id. suceso: 18
Fecha: 21/10/2008
Hora: 18:12:48
Usuario: No disponible
Equipo: CERTIFICADOS
Descripción:
El proveedor de tiempo NtpClient no puede establecer una relación de confianza entre este equipo y el dominio konsac.dom para sincronizar la hora con seguridad. NtpClient volverá a intentarlo en 15 minutos. El error era: Error en la relación de confianza entre la estación de trabajo y el dominio principal. (0x800706FD)
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
------------------------------------------------------
esto estaba en el visor de sucesos del controlador de dominio
Tipo de suceso: Error
Origen del suceso: NETLOGON
Categoría del suceso: Ninguno
Id. suceso: 5722
Fecha: 22/10/2008
Hora: 8:45:19
Usuario: No disponible
Equipo: DC
Descripción:
No se puede autenticar la configuración de sesión desde el equipo CERTIFICADOS. El(los) nombre(s) de la(s) cuenta(s) a la(s) que se hace referencia en la base de datos de seguridad es(son) CERTIFICADOS$. Error:
Acceso denegado.
Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
Datos:
0000: 22 00 00 c0 "..À -
Buenas a todos :
Parece se que ya he encontrado la solución paso a explicar como lo he hecho por si le pasa a otra persona
- Instalar el support tools
- Ejecutar el comando netdom remove "nombredelamaquina"
- Reiniciamos e iniciamos la maquina con la cuenta del administrador local
- Ejecutamos netdom join certificados /domain
ominio userd:usuario paswordd
assword
- Reiniciamos de nuevo y ya podemos iniciar sesion en el dominio
y esta es su salida:
nltest.exe /sc_query:konsac.dom
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \\DC.konsac.dom
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
y desapacerieron todos los sucesos de error
Ahora mi pregunta es... He hecho lo correcto al sacar y meter de nuevo a la maquina del dominio o me traera problemas?
Muchas Gracias a todos por vuestra ayuda y las pistas que me habéis dado
- Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:44
-