none
Credenciales cacheadas en otro Controlador, imposibilidad iniciar sesión RRS feed

  • Pregunta

  • Buenos días,

       Me gustaría preguntar una duda:

       Esta mañana tenía uno de mis dos Controladores de dominio 2003 apagado. En el otro que tengo, que tiene las 5 FSMO y es catáologo global (el otro también es CG), cambio la contraseña a un usuario Administrador del dominio.

      En otra máquina , me logo con esa nueva contraseña y no hay forma, me espero un tiempo prudencial aún sabiendo que los cambios de contraseña son casi inmediatos.  Sigo sin poder logarme con la contraseña nueva, y sin embargo, si logro entrar en el equipo con la contraseña vieja, que esto será porque está cacheada en la máquina y por eso habré podido entrar.

    Lo curioso del caso es que levanto el controlador apagado (el que no tiene ninguna FSMO pero si es CG) y entonces ya sí me deja iniciar sesión con la nueva contraseña.

    De aquí, mi conclusión: Cuando enciendo el servidor apagado, coge los cambios , entre ellos la nueva contraseña del usuario , y la máquina entonces puede entrar porque de alguna manera (y aquí es donde viene mi duda real) esa máquina se validó contra ese controlador apagado.

    Yo creía que una máquina se validaba contra un DC o Domain Controler, pero sino estaba disponible en ese momento, "no pasaba nada", máxime teniendo el DC online todas las FSMO y siendo Catálogo Global.

    Quería compatir esto porque lo he solucionado, pero sinceramente no sé la razón exacta por la que el servidor miembro no cogía la nueva contraseña.

    Muchas graicas por adelantado !

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    miércoles, 15 de junio de 2011 10:46

Respuestas

  • Hola, lo que comentas es lógico y normal. El funcionamiento de la réplica es Multimaster y si haces un cambio de contraseña en DC1, efectivamente DC1 en su base de datos tiene que el usuario User1 ha cambiado la contraseña. Obviamente si DC2 está apagado, al estar apagado no tiene la nueva información referente sobre user1.Por lo tanto si tienes dos DCs y uno está apagado, todos los objetos nuevos o modificaciones nuevas, estarán pendientes de replicar hasta que ese DC vuelva a estar online.

     

    ahora si tu cliente XP2 al hacer logon el usuario por la mañana le conecta al DC2 (que en ese momento está encendido) todo va bien. Si en el transcurso de la mañana apagas DC2, y cambias la contraseña al usuario, ten en cuenta que la máquina sigue conectada a DC2 y tendrías en teoría que reiniciar la máquina para que el XP inicie sesión contra DC1 y con la nueva password.

     

    Resumiendo si tu inicias sesión y te conectas a un DC y ese DC se apaga en el transcurso del día, tu sigues conectado a el, no hay ningún mecanismo que te reconecte a otro DC de forma automática, tendrás que reiniciar el equipo cliente. (no recuerdo si con 2008 habían introducido alguna mejora en ese aspecto). Al enceder DC2 mira la versión de su base de datos y ve que está por debajo de la de DC1, entonces le pide a DC1 todas las actualizaciones desde que estuvo apagado.


    Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    viernes, 17 de junio de 2011 11:04
  • Hola Dani y Luis

    Coincido contigo Dani con lo que dices, pero aclaro y agrego algo :-)

    En realidad el "SET LOGON" no es otra cosa que la variable de entorno que apunta al DC que autenticó al usario y por lo tanto apunta a donde está el "canal seguro de comunicación" armado. Atención Luis, no es un parámetro configurable, sino que se construye/crea en el momento del inicio de sesión. Como dice Dani, se mantiene porque el *el cliente XP* no hace un control periódico.

    Y justamente esto último es algo que leí hace tiempo, que es uno de los cambios de Win7 (no Vista) que el cliente cada 30 minutos verifica el canal seguro de comunicación con el DC.
    Sólo que Microsoft lo planteaba con otro ejemplo: un DC local apagado, el cliente establece el canal con un DC remoto, pero cuando regresa el DC local cambia el canal

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 17 de junio de 2011 18:37
    Moderador

Todas las respuestas

  • Intereseante el tema Luis, un par de preguntas ¿el cliente tiene configurados como DNSs a ambos DCs? ¿No hay Sites definidos?

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 15 de junio de 2011 13:40
    Moderador
  • Buenas Guillermo.

     

    1. El cliente tiene ambos DC´s como DNS, siempre los configuro así

    2. No hay sites definidos

    Es muy muy curioso, lo mismo es que un cliente se loga con un controlador de dominio y alli guarda algo ? Me ha parecido muy curioso el caso, y me gustaría investigar el porque.

     

    Gracias !!


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    miércoles, 15 de junio de 2011 22:09
  • Dame un poco de tiempo, a ver si puedo armar un entorno virtual, lo pruebo y comento

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 16 de junio de 2011 10:29
    Moderador
  • Buenas Guillermo,

       Muichas gracias por contestar.

       La verdad que yo el escenario ya lo tengo, sería cuestión de reproducir otra vez las condiciones, lo cual no es difícil, lo único que no veo como hacer es , hacer que el cliente se logue en el controlador de dominio que luego apagaré , así vería si se produce la misma circunstancia, creo yo.

    Gracias por tu tiempo.

    Si encuentro la solución lo reportaré aquí, siempre lo hago, porque me parece muy importante decir como se ha salido de un problema para futuras incidencias.

    Gracias !!

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    jueves, 16 de junio de 2011 14:26
  • Sugiero que cuando lo reproduzcas desde el cliente ejecutes: set logon y te fijes en el parámetro LOGON SERVER para ver que DC te valida.

     


    Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    jueves, 16 de junio de 2011 16:48
  • Luis, hice la prueba con 2 W2003-R2 SP2 y un XP y no tengo ese problema

    Te describo la situación:

    • Dos DCs, ambos GC y con DNS a sí mismo y al otro
    • DC1 con los 5 FSMO. DC2 ninguno
    • Cliente XP XP3 en el dominio
    • Creado usuario User1, inicia sesión en XP para "cachear" credenciales y cierra sesión.
    • Creado usuario User2, no inicia sesión
    • Apago DC2. Dejo DC1 que tiene los 5 FSMO
    • Reseteo contraseña de ambos usuarios en DC1
    • Ambos usuarios inician sesión en el XP perfectamente con la nueva contraseña

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 16 de junio de 2011 19:12
    Moderador
  • Saludos Luis

    Ya probastes desde varios equipos. El resultado es el mismo ?

    Lo comento porque parace es que el equipo desde donde te estas conectado tiene algun problema de conectividad a la red.


    -Jhony Trujillo-
    jueves, 16 de junio de 2011 20:07
  • Buenas,

    Dani: muchas gracias por la información de set logon, me ha sido de gran ayuda en las pruebas que acabo de hacer.

    Guillermo y Jhony, gracias por vuestro tiempo!

    Guillermo: Veo en tu procedimiento algo que no comentas, es decir, dices que XP se inicia perfectamente con usuario1 , pero no comentas si ese XP tiene el parámetro set logon establecido a DC1 o a DC2, lo cual, en mis pruebas que he hecho , parece decisivo.

    Lo que ha pasado:

    Dos clientes xp, desde cmd.exe veo que cada uno tiene set logon establecido a diferentes DC. Uno de ellos a DC1 y el otro a DC2 . Esto sirve mucho para la pruebas.

    1.DC1 está siempre online, por lo que los cambios de contraseñas de los usuarios no afectan al equipo que apunta en set logon a DC1.

    2.Apago DC2. Cambio la contraseña en DC1. Consecuencia: El usuario logado en el equipo que apunta a DC2 y al que le acabo de cambiar la contraseña, no entra, me dice que la contraseña no es correcta ! . Tras esperar un tiempo prudencial e intentar iniciar sesión varias veces, me sigue dando acceso denegado por contraseña , pero, y aquí viene lo concluyente , cuando enciendo DC2, me logo inmediatamente (apenas espero unso segundos a que DC2 esté online)

    Creo, en mi opinión, que esto deja claro que si el equipo tiene el parámetro set logon a un controlador de dominio, y éste está offline, no se puede uno logar, lo cual me rompe los esquemas porque entonces, si se "quema" el DC establecido en set logon....¿no se puede iniciar sesión cunado cambio la contraseña en el otro controlador de dominio?.

    No parece tener mucho sentido, pero ayer lo probé con un equipo, reporté la incidencia aquí, y hoy me está pasando con dos equipos más, diferentes al de ayer.

    No me parece lógico esto que está pasando , pero todos los equipos tienen los DNS de la LAN, se inician perfectamente, navegan, cogen las GPO´s , se comunican con los demás equipos por netbios o nombres de host, etc.

    No lo entiendo.

    Muchas gracias !


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    viernes, 17 de junio de 2011 7:57
  • Hola, lo que comentas es lógico y normal. El funcionamiento de la réplica es Multimaster y si haces un cambio de contraseña en DC1, efectivamente DC1 en su base de datos tiene que el usuario User1 ha cambiado la contraseña. Obviamente si DC2 está apagado, al estar apagado no tiene la nueva información referente sobre user1.Por lo tanto si tienes dos DCs y uno está apagado, todos los objetos nuevos o modificaciones nuevas, estarán pendientes de replicar hasta que ese DC vuelva a estar online.

     

    ahora si tu cliente XP2 al hacer logon el usuario por la mañana le conecta al DC2 (que en ese momento está encendido) todo va bien. Si en el transcurso de la mañana apagas DC2, y cambias la contraseña al usuario, ten en cuenta que la máquina sigue conectada a DC2 y tendrías en teoría que reiniciar la máquina para que el XP inicie sesión contra DC1 y con la nueva password.

     

    Resumiendo si tu inicias sesión y te conectas a un DC y ese DC se apaga en el transcurso del día, tu sigues conectado a el, no hay ningún mecanismo que te reconecte a otro DC de forma automática, tendrás que reiniciar el equipo cliente. (no recuerdo si con 2008 habían introducido alguna mejora en ese aspecto). Al enceder DC2 mira la versión de su base de datos y ve que está por debajo de la de DC1, entonces le pide a DC1 todas las actualizaciones desde que estuvo apagado.


    Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    viernes, 17 de junio de 2011 11:04
  • Hola Dani y Luis

    Coincido contigo Dani con lo que dices, pero aclaro y agrego algo :-)

    En realidad el "SET LOGON" no es otra cosa que la variable de entorno que apunta al DC que autenticó al usario y por lo tanto apunta a donde está el "canal seguro de comunicación" armado. Atención Luis, no es un parámetro configurable, sino que se construye/crea en el momento del inicio de sesión. Como dice Dani, se mantiene porque el *el cliente XP* no hace un control periódico.

    Y justamente esto último es algo que leí hace tiempo, que es uno de los cambios de Win7 (no Vista) que el cliente cada 30 minutos verifica el canal seguro de comunicación con el DC.
    Sólo que Microsoft lo planteaba con otro ejemplo: un DC local apagado, el cliente establece el canal con un DC remoto, pero cuando regresa el DC local cambia el canal

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 17 de junio de 2011 18:37
    Moderador
  • Buenas,

     

    Muchas gracias a los dos.

    Aparece aclarado el tema !. Me habéis dado muy muy buena información que desconocía.

    Gracias.

    P.D: No sé cual marcar como respuesta !. Ambas dos de vuestros últimos posts me aclaran todo.

     

     

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 20 de junio de 2011 6:45