none
Problema con la CA RRS feed

  • Pregunta

  • Buenas a todos:
    Resulta que tengo una CA montada en un Windows 2003 R2 que no me autentifica en el dominio y  al ser la CA principal no la puedo eliminar y volver a crear ni modificar el nombre.
    Este Servidor se llama certificados  Certificados y me da errores en con las id 5719, 5722, 44, 11166.
    Es como si se hubiese desvinculado del dominio y no se registra en el DNS por más que lo fuerzo.
    ¿Que puedo hacer?
    Muchas Gracias

    martes, 21 de octubre de 2008 11:36

Respuestas

  • Buenas a todos :
    Parece se que ya he encontrado la solución paso a explicar como lo he hecho por si le pasa a otra persona

    1. Instalar el support tools
    2. Ejecutar el comando netdom remove "nombredelamaquina"
    3. Reiniciamos e iniciamos la maquina con la cuenta del administrador local
    4. Ejecutamos netdom join certificados /domainBig Smileominio userd:usuario pasworddStick out tongueassword
    5. Reiniciamos de nuevo y ya podemos iniciar sesion en el dominio
    Despues de esto ejecuté el comando nltest.exe /sc_query:konsac.dom
    y esta es su salida:

    nltest.exe /sc_query:konsac.dom
    Flags: 30 HAS_IP  HAS_TIMESERV
    Trusted DC Name \\DC.konsac.dom
    Trusted DC Connection Status Status = 0 0x0 NERR_Success
    The command completed successfully
    y desapacerieron todos los sucesos de error
    Ahora mi pregunta es... He hecho lo correcto al sacar y meter de nuevo a la maquina del dominio o me traera problemas?

    Muchas Gracias a todos por vuestra ayuda y las pistas que me habéis dado



    • Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:44
    miércoles, 22 de octubre de 2008 9:49

Todas las respuestas

  • Que pasa si ejecutas en la CA?

     

    Code Snippet
    nltest /sc_query

     

     

     

    En caso que de algun error podrias intentar hacer un reset del Secure channel utilizando sc_reset

     

    Mas informacion :

     

    To validate trust connections, you normally test the secure channel:

    Nltest /sc_query is used to query the status of the secure channel.

    Nltest /sc_reset < domain name > can be used to force renegotiations of the secure channel.

    Nltest /sc_reset < domainname >\< computer name > can be used to force a secure channel onto a particular domain controller.

     

     

    Da algun error ?

     

    Slds
    Sebastian del Rio

    martes, 21 de octubre de 2008 12:02
    Moderador
  • la salida del comando es la siguiente:

    C:\Documents and Settings\Administrador>"C:\Documents and Settings\Administrador
    \Escritorio\nltest.exe" /sc_query:konsac.dom
    Flags: 0
    Trusted DC Name
    Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED
    The command completed successfully

    creo que es mas por la cuenta del equipo que no la propia CA ya que no me puedo logar con el cable de red conectado pero si desconectado.
    martes, 21 de octubre de 2008 12:11
  • este es el error que me sale registrado en el DC

    Tipo de suceso:    Error
    Origen del suceso:    Kerberos
    Categoría del suceso:    Ninguno
    Id. suceso:    4
    Fecha:        21/10/2008
    Hora:        14:14:03
    Usuario:        No disponible
    Equipo:    DC
    Descripción:
    El cliente de Kerberos ha recibido un error KRB_AP_ERR_MODIFIED del servidor host/certificados.konsac.dom. El nombre de destino utilizado es cifs/certificados.konsac.dom. Esto indica que la contraseña utilizada para cifrar el vale del servicio Kerberos es diferente a la del servidor de destino. Generalmente, esto se debe a que hay  cuentas de equipo con el mismo nombre en el dominio de destino (KONSAC.DOM) y en el dominio del cliente.   Póngase en contacto con el administrador del sistema.

    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.

    martes, 21 de octubre de 2008 14:22
  • Ese tipo de errores (KRB_AP_ERR_MODIFIED) se reparaban luego de cambiar el SID de la maquina y su IP principal.

     

    Desconozco el efecto en un CA Root

     

    Saludos

     

    martes, 21 de octubre de 2008 15:18
  • y como hago eso?
    tengo que aclarar que estoy trabajando contra un vmware esxi y puedo hacer snapshots para luego restaurar.
    Me arriesgare a ver el impacto que tienen en mi dominio pero please dime que tengo que hacer !!
    martes, 21 de octubre de 2008 15:23
  • NewSID

    http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx

     

    Estuve validando lo del CA y viendo que debes aplicar el newSID tambien renombrando la maquina creo que no es buena opcion para tu CA.

     

    Algunos articulos para indagar mas sobre esos errores:

    http://www.tech-archive.net/Archive/Windows/microsoft.public.windows.server.general/2006-09/msg00600.html

     

    Si el problema radica en el servicio:

    http://technet.microsoft.com/en-us/library/cc772897.aspx

     

    Espero sea de ayuda

     

    Saludos

     

    martes, 21 de octubre de 2008 16:02
  • Es una maquina clonada ? o una virtual la cual has usado en varias instalaciones diferentes , en ese caso si deberias usar New sid como menciona Juan.

     

    El problema vemos que es por que esa maquina ha perdido el canal seguro contra tu Controlador de Dominio. Otra razon podria ser una diferencia de tiempo entre la CA y el Domain Controller el tiempo esta sincronizado correctamente ?

     

    Slds
    Sebastian del Rio

     

    martes, 21 de octubre de 2008 16:46
    Moderador
  • No es una maquina clonada , solo estoy trabajando en un entorno de maquinas virtuales pero todas las maquinas se han instalado mediante el cd de windows 2003 server.
    La direrencia de tiempo tampoco ya que el dc esta en la misma maquina y tiene esactamente la misma hora.

    En caso de ser imposible de solucionar se podria crear otra CA para sustituir a esta?
    martes, 21 de octubre de 2008 16:51
  • La CA es tambien tu controlador de dominio ? En ese caso es esperado que falle la relacion de confianza contra si misma Smile

     

    Cuentame un poco mas , cuantos DC tienes ? Quien maneja los roles FSMO ?  Algun evento en el Event Viewer del servidor ? En el caso de los eventos please pega los eventos enteros Smile

     

    Slds
    Sebastian del Rio

    martes, 21 de octubre de 2008 17:02
    Moderador
  •  

    Podrias crear otro CA.

    Tendrias que validar que aplicaciones y/o archivos utilizan los certificados emitidos, para luego asignarle los nuevos, que tendrias que recrear con anterioridad.

     

    Saludos

    martes, 21 de octubre de 2008 17:29
  • Vamos a recapitular :
    El controlador de dominio es el que tiene todos los roles , la maquina tiene el nombre DC.konsac.dom
    La CA esta en otra maquina separada certificados.konsac.dom que solo tiene el servicio de CA estos certificados solo se usan para un exchange 2007 Para la configuracion de Outlook anywhere y el Activesync
    martes, 21 de octubre de 2008 18:05
  • Ok entonces esta correcto si ejecutastes en la maquina de la CA el nltest /sc_query y te dio el error . Ese es el problema no estas pudiendo establecer el secure channell contra el domain controller.

     

    Entonces puedes intentar reiniciarlo. Deberias chequear en principio la hora entre las dos maquinas.

    Que eventos te da en la maquina con la CA ?

     

     

    Slds
    Sebastian del Rio

    martes, 21 de octubre de 2008 18:18
    Moderador
  • Os dejo un pantallazo de las 2 maquinas http://www.divshare.com/download/5641917-1ff
    como podeis ver la hora es la misma incluso los segundos
    Os pego los registros del visor de suceso de la maquina CA
    Visor de sucesoso --> aplicación
    --------------------------------------------------------
    Tipo de suceso:    Error
    Origen del suceso:    CertSvc
    Categoría del suceso:    Ninguno
    Id. suceso:    66
    Fecha:        21/10/2008
    Hora:        18:51:58
    Usuario:        No disponible
    Equipo:    CERTIFICADOS
    Descripción:
    Servicios de Certificate Server no pudo publicar una diferencia de lista CRL para la clave 0 en la siguiente ubicación: ldap:///CN=certificados,CN=Certificados,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=konsac,DC=dom.  No se puede actualizar la contraseña. El valor proporcionado como contraseña actual es incorrecto. 0x8007052b (WIN32: 1323).

    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
    --------------------------------------------------------
    Tipo de suceso:    Error
    Origen del suceso:    Userenv
    Categoría del suceso:    Ninguno
    Id. suceso:    1053
    Fecha:        21/10/2008
    Hora:        18:12:51
    Usuario:        NT AUTHORITY\SYSTEM
    Equipo:    CERTIFICADOS
    Descripción:
    Windows no puede determinar el nombre de usuario o de equipo. ( Acceso denegado. ). Se ha anulado el proceso de directiva de grupo.

    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
    --------------------------------------------------------
    Visor de Sucesos Sistema

    Tipo de suceso:    Advertencia
    Origen del suceso:    LSASRV
    Categoría del suceso:    SPNEGO (Negociador)
    Id. suceso:    40960
    Fecha:        22/10/2008
    Hora:        8:17:00
    Usuario:        No disponible
    Equipo:    CERTIFICADOS
    Descripción:
    El Sistema de seguridad detectó un error de autenticación del servidor cifs/DC.konsac.dom. El código de error del protocolo de autenticación Kerberos era "El inicio de sesión intentado no es válido. Esto se debe a un nombre de usuario o a información de autenticación incorrectos.
     (0xc000006d)".

    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
    Datos:
    0000: 6d 00 00 c0               m..À   
    ---------------------------------------------------------
    Tipo de suceso:    Error
    Origen del suceso:    NETLOGON
    Categoría del suceso:    Ninguno
    Id. suceso:    3210
    Fecha:        22/10/2008
    Hora:        6:23:06
    Usuario:        No disponible
    Equipo:    CERTIFICADOS
    Descripción:
    Este equipo no se pudo autenticar con \\DC.konsac.dom, un controlador de dominio de Windows Para el dominio KONSAC, y por lo tanto este equipo puede denegar peticiones de inicio de sesión. Esta incapacidad para autenticarse puede estar causada por otro equipo en la misma red que usa el mismo nombre o porque la contraseña para esta cuenta de equipo no se reconoce. Si vuelve a aparecer este mensaje, póngase en contacto con el administrador de su sistema.

    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
    Datos:
    0000: 22 00 00 c0               "..À   
    --------------------------------------------------------
    Tipo de suceso:    Error
    Origen del suceso:    W32Time
    Categoría del suceso:    Ninguno
    Id. suceso:    29
    Fecha:        21/10/2008
    Hora:        18:12:48
    Usuario:        No disponible
    Equipo:    CERTIFICADOS
    Descripción:
    El proveedor de tiempo NtpClient se ha configurado para adquirir la hora desde uno o más recursos de hora, sin embargo, ninguno de los recursos está accesible No se hará un intento de ponerse en contacto con un recurso durante 15 minutos. NtpClient no tiene recurso de hora exacta.

    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
    ---------------------------------------------------------
    Tipo de suceso:    Advertencia
    Origen del suceso:    W32Time
    Categoría del suceso:    Ninguno
    Id. suceso:    18
    Fecha:        21/10/2008
    Hora:        18:12:48
    Usuario:        No disponible
    Equipo:    CERTIFICADOS
    Descripción:
    El proveedor de tiempo NtpClient no puede establecer una relación de confianza entre este equipo y el dominio konsac.dom para sincronizar la hora con seguridad. NtpClient volverá a intentarlo en 15 minutos. El error era: Error en la relación de confianza entre la estación de trabajo y el dominio principal. (0x800706FD)

    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
    ------------------------------------------------------

    esto estaba en el visor de sucesos del controlador de dominio

    Tipo de suceso:    Error
    Origen del suceso:    NETLOGON
    Categoría del suceso:    Ninguno
    Id. suceso:    5722
    Fecha:        22/10/2008
    Hora:        8:45:19
    Usuario:        No disponible
    Equipo:    DC
    Descripción:
    No se puede autenticar la configuración de sesión desde el equipo CERTIFICADOS. El(los) nombre(s) de la(s) cuenta(s) a la(s) que se hace referencia en la base de datos de seguridad es(son) CERTIFICADOS$. Error:
    Acceso denegado.

    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.
    Datos:
    0000: 22 00 00 c0               "..À   

    miércoles, 22 de octubre de 2008 6:25
  • Buenas a todos :
    Parece se que ya he encontrado la solución paso a explicar como lo he hecho por si le pasa a otra persona

    1. Instalar el support tools
    2. Ejecutar el comando netdom remove "nombredelamaquina"
    3. Reiniciamos e iniciamos la maquina con la cuenta del administrador local
    4. Ejecutamos netdom join certificados /domainBig Smileominio userd:usuario pasworddStick out tongueassword
    5. Reiniciamos de nuevo y ya podemos iniciar sesion en el dominio
    Despues de esto ejecuté el comando nltest.exe /sc_query:konsac.dom
    y esta es su salida:

    nltest.exe /sc_query:konsac.dom
    Flags: 30 HAS_IP  HAS_TIMESERV
    Trusted DC Name \\DC.konsac.dom
    Trusted DC Connection Status Status = 0 0x0 NERR_Success
    The command completed successfully
    y desapacerieron todos los sucesos de error
    Ahora mi pregunta es... He hecho lo correcto al sacar y meter de nuevo a la maquina del dominio o me traera problemas?

    Muchas Gracias a todos por vuestra ayuda y las pistas que me habéis dado



    • Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:44
    miércoles, 22 de octubre de 2008 9:49
  • Smile

     

    No , no deberia traerte problemas.

     

     

    Slds
    Sebastian del Rio

     

    miércoles, 22 de octubre de 2008 11:30
    Moderador