none
problema utenze AD servizi KSC select RRS feed

  • Domanda

  • Ciao a tutti,

    mi succede da mesi che frequentemente due console (su 5) Kaspersky Security Center all'interno di un dominio si blocchino con un errore di accesso negato in partenza di loro due servizi di base.

    Reimpostando a mano la password originale dell'utente di dominio riprende tutto a funzionare.
    (ovviamente gli utenti di dominio dei servizi non hanno scadenza password e sono gli utenti
    autogenerati dall'installazione del KSC stesso)

    Interpellando più volte il supporto Kaspersky, fanno presente che potrebbe essere un problema esterno ai prodotti Kaspersky.

    Io ho fatto diverse verifiche, NETDIAG, AD replication status tool ecc.. Ma non trovo problemi a mio personale giudizio rilevanti, tutti e 5 i DNS funzionano regolarmente e risolvono regolarmente hostname e fqdn del dominio, le policy si applicano ecc..

    La rete è formata da 5 DC (tutti GC) 2012, 2012R2 e un 2008R2 (il problema è sui 2 DC uno 2012 e uno 2012R2).
    I due principali (di cui uno detiene tutti i 5 ruoli FSMO) sono in una lan e gli altri sono in sedi distaccate in comunicazione tramite VPN a tunnel (fissa).

    Ho già verificato più volte le repliche e uno dei due DC interessati ha tutte le repliche regolarmente operative, mentre l'altro replica con 4 DC, ma non con uno di una Sede periferica, per via di un temporaneo problema del tunnel VPN solo con questa sede periferica.

    Questa mancata replica con 1 solo DC, può comportare un problema come quello che capita a me?

    Se un DC appartenente ad una foresta replica "solo" su 4 DC anziché su 5, è un problema bloccante oppure posso soprassedere e cercare il problema in altre "fonti"?

    Vi ringrazio per l'eventuale aiuto o suggerimenti.


    mercoledì 11 aprile 2018 13:58

Risposte

Tutte le risposte

  • Ciao Massimo,

    Non mi sembra un problema dei tuoi server bensì della console Kaspersky di cui, purtroppo non ho conoscenze e perciò ti consiglio di scrivere in un forum Kaspersky (consiglio QUESTO).

    Per la domanda se il problema di una mancata replica in una sede può essere bloccante, ti dico di no perchè comunque le repliche avvengono anche nelle altre sedi ed il server dove il problema sussiste è funzionante.

    Ciao,
    Federico

    giovedì 12 aprile 2018 06:56
  • Un consiglio, visto che temo sia un problema che almeno su una delle due console mi rimarrà per molto tempo, conoscendo i tempi del supporto Kaspersky....

    Esiste un modo da script ps o anche cmd/batch per automatizzare l'operazione che faccio a mano da gui?

    Intendo: re-impostare la password ai 2 servizi usati dalla console KSC?

    aggiornamento, dimenticavo....

    sc config "Service1" obj= mydomain\sidharth password= MyPassword      

    ma purtroppo non funziona e i servizi del KSC mi rimangono in stato "a partire" :(
    ripartono solo se ri-digito la password a mano dalla GUI di services.msc :(

    grazie

    ciao

    massimo





    venerdì 13 aprile 2018 08:09
  • usa questo cmdlet PS

    https://docs.microsoft.com/en-us/powershell/module/addsadministration/set-adaccountpassword?view=win10-ps

    e schedula l'attività col task scheduler

    (presta attenzione ad autorizzare gli scripts batch in powershell)

    inoltre, sempre con PS puoi far riavviare il servizio subito dopo il cambio password.

    ciao


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it


    lunedì 16 aprile 2018 08:14
    Moderatore
  • Grazie, ma purtroppo il servizio kladminserver rimane nello stato comatoso  "a partire"
    sia usando i comandi del prompt, sia usando la powershell (lanciata ovviamente come amministratore)

    se provo a cambiare la pwd al servizio dalla gui services.msc riparte tutto regolarmente
    il messaggio che mi trovo a schermo è che è stato concesso il diritto di accedere come servizio all'utente che lancia il servizio stesso

    la policy di accesso come servizio l'avevo impostata sull'altro utente (quello creato dalla console), ma il problema si presentava lo stesso

    anche cambiando la password all'utente da services.msc sistematicamente 24 ore dopo il servizio si blocca :(

    avete qualche idea?
    io ormai le ho esaurite :(

    sarebbe possibile eventualmente dare da riga di comando il privilegio di accesso come servizio all'utente? (so che è una policy macchina)

    ciao

    massimo



    martedì 17 aprile 2018 08:33
  • come si chiama esattamente il servizio con i problemi di avvio ?

    questo servizio ha delle dipendenze ?


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    mercoledì 18 aprile 2018 14:31
    Moderatore
  • il servizio si chiama "kladminserver"

    non ha dipendenze

    da ulteriori indagini ho verificato che il problema si verifica solo quando gira il backup della console KSC di Kaspersky, quindi ho ri-aperto un altro ticket al supporto loro

    ciao

    massimo


    mercoledì 18 aprile 2018 15:00
  • hai chiesto al supporto di Kaspersky ?

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    giovedì 3 maggio 2018 07:20
    Moderatore
  • al momento non ho ancora risposte

    ma in compenso sto avendo grossi guai su AD
    mi manda ai pc delle vecchie policy (es. il proxy abilitato, nelle preferenze utente, chiavi di registro che ho spento da un mese…)
    sono andato a verificare dentro la share sysvol e le policy sono datate 2015...

    e se faccio una gpresult su un pc della lan ottengo questo:

    Rilevato collegamento veloce Ulteriori informazioni...
    Per gli oggetti Criteri di gruppo seguenti sono presenti avvisi speciali




    Per gli oggetti Criteri di gruppo seguenti sono presenti avvisi speciali


    "Sede Domain Policy" Versione Active Directory/SYSVOL non corrispondente

    in questi giorni ho un problema con il tunnel vpn (un problema al router del provider internet) me lo sta tenendo giù da giorni, quindi l'AD non vede il PDC nella sede centrale
    anche aprendo la gestione criteri di gruppo ottengo l'errore che il dominio non esiste :(



    ragazzi, ora ho anche la console delle policy sul server vuota
    mostra la foresta, ma nessun contenuto 

    cosa faccio demoto e reinstallo il server?

    avete qualche consiglio?
    apro un thread specifico?

    non posso stare in questa condizione la situazione è grave ed ingestibile
    i vari link esaminati su internet non mi hanno portato ad una soluzione

    ho anche inserito authenticated users e computer del dominio nelle deleghe della policy della sede come già suggerito in passato a seguito di aggiornamenti di sicurezza relativi al WMI

    anche in questo modo mi ritrovo sempre la medesima situazione

    c'è qualche modo di cancellare la policy della sede e forzarne dinuovo la sincronizzazione
    del contenuto dal PDC (che sta in un'altra Sede) ed ovviamente è raggiungibile tramite vpn
    (le repliche sono operative su 4 dei DC dei 5 del Cliente, tranne che su uno dove c'è un problema
    al tunnel vpn)

    effettuando un dcdiag non viene superato il test KccEvent

             Si Š verificato un evento di avviso. ID evento: 0x80000603
                Data e ora generazione: 05/04/2018   14.34.04
                Stringa evento:
                Impossibile disabilitare la cache in scrittura basata su software nel disco rigido seguente.

             Si Š verificato un evento di avviso. ID evento: 0x80000B46
                Data e ora generazione: 05/04/2018   14.34.18
                Stringa evento:
                Ô possibile migliorare significativamente la sicurezza di questo server di directory configurandolo in modo che rifiuti le operazioni di binding LDAP SASL (Negotiate,  Kerberos, NTLM o Digest) che non richiedono la firma (verifica dell'integrit…) e le operazioni di binding LDAP semplice eseguite attraverso una connessione non crittografata con SSL o TLS. Anche se nessun client usa questi tipi di binding, la configurazione del server descritta consente di migliorare la sicurezza del server stesso.

             Si Š verificato un evento di errore. ID evento: 0xC0000827
                Data e ora generazione: 05/04/2018   14.36.02
                Stringa evento:
                Impossibile risolvere il nome host DNS seguente del controller di dominio di origine in un indirizzo IP. L'errore impedisce la replica di aggiunte, eliminazioni e modifiche in Servizi di dominio Active Directory tra uno o pi— controller di dominio nella foresta. Gruppi di sicurezza, criteri di gruppo, account utente e computer e le relative password risulteranno incoerenti tra controller di dominio fino alla correzione dell'errore, influendo potenzialmente sull'autenticazione di accesso e l'accesso alle risorse di rete.

             ......................... dominio-SRV5 non ha superato il test KccEvent

    se invece faccio un dcdiag /test:dns
    invece lo supera correttamente
     

    massimo








    giovedì 3 maggio 2018 09:03
  • descrivi nuovamente la struttura della tua rete e del quo dominio: quante sedi ? quanti dc? situazione della replica ?

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 7 maggio 2018 14:40
    Moderatore
  • forse un disegno spiega meglio di una descrizione

    i DC sono tutti global catalog, le "nuvolette" azzurre (scusate non ho una buona mano ;-) rappresentano l'interconnessione delle 4 Sedi tramite internet con VPN a tunnel 

    i trattini verdi rappresentano invece le repliche AD



    lunedì 7 maggio 2018 15:17
  • se la connettività del dc5 è stata ripristinata potresti anche provare con un restone non autoritativo di active directory usando la chiave di registro burflag e valorizzandola a D2.

    https://support.microsoft.com/en-us/help/290762/using-the-burflags-registry-key-to-reinitialize-file-replication-servi


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    • Contrassegnato come risposta massimo-2014 mercoledì 9 maggio 2018 09:03
    lunedì 7 maggio 2018 15:43
    Moderatore
  • nel frattempo sono riuscito a fare ri-funzionare la console gestione criteri di gruppo
    ho cancellato la foresta e rimessa e ora grazie al cielo funziona correttamente dinuovo

    se faccio un dcdiag ora supera anche il test KccEvent

    la situazione può andare a posto anche con la replica verso il DC3 non raggiungibile, ma tutte le altre si?

    domani mi collego ai Client e faccio ulteriori verifiche sull'applicazione delle policy


    lunedì 7 maggio 2018 17:02
  • Edoardo, grazie infinite!
    Ora non vanno più in errore nemmeno i bkup della console del KSC

    prima saltavano le password delle utenze dei servizi del KSC

    ora va tutto

    il burflag lo conoscevo anch'io, però non mi era venuto in mente di usarlo
    grazie ancora

    ciao

    massimo

    mercoledì 9 maggio 2018 09:03