locked
SBS 2011, Account AD e credenziali... RRS feed

  • Discussione generale

  • Buongiorno a tutti,

    per un'azienda cliente ho installato un SBS 2011 std. In linea di massima tutto funziona come deve ma ho un problema che francamente mi lascia perplesso. Di tanto in tanto c'è qualche account che (apparentemente) inspiegabilmente si blocca e non accetta più le credenziali di accesso. In generale risolvo reimpostando la password però, visto che sta diventando una costante, vorrei capire qual è la causa.

    Aggiungo un "piccolo" dettaglio: l'organizzazione ha circa 16 client ma la licenza di sbs ne prevede 5 (purtroppo quando abbiamo installato il server il responsabile dell'azienda ha smarrito le licenze cal). Fin'ora questo comportava che di tanto in tanto i client perdessero la connessione con exchange ma non avendo esperienze pregresse di questo tipo (fin'ora ho sempre lavorato con aziende fino a 5 client) non vorrei che potesse dipendere tutto da qui.

    Grazie.

    Lorenzo

    • Tipo modificato Anca Popa mercoledì 11 settembre 2013 15:28 discussione in corso
    venerdì 6 settembre 2013 09:49

Tutte le risposte

  • quando un utente non riesce ad accedere cosa viene registrato nel registro eventi del dc nella sezione security ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 6 settembre 2013 10:07
    Moderatore
  • Ciao Edoardo,

    allora, tanto per cominciare, ho 121.030 eventi nelle ultime 12 ore... :|

    POI

    Nome registro: Security
    Origine:       Microsoft-Windows-Security-Auditing
    Data:          06/09/2013 11:21:19
    ID evento:     4625
    Categoria attività:Accesso
    Livello:       Informazioni
    Parole chiave: Controllo non riuscito
    Utente:        N/D
    Computer:      SERVER.otiservice.it
    Descrizione:
    Accesso di un account non riuscito.

    Soggetto:
    ID sicurezza: SYSTEM
    Nome account: SERVER$
    Dominio account: OTISERVICE
    ID accesso: 0x3e7

    Tipo di accesso: 8

    Account il cui accesso non è riuscito:
    ID sicurezza: NULL SID
    Nome account: michela
    Dominio account: OTISERVICE

    Informazioni sull'errore:
    Motivo dell'errore: Nome utente sconosciuto o password errata.
    Stato: 0xc000006d
    Stato secondario: 0xc000006a

    Informazioni sul processo:
    ID processo chiamante: 0x2484
    Nome processo chiamante: C:\Windows\System32\inetsrv\w3wp.exe

    Informazioni di rete:
    Nome workstation: SERVER
    Indirizzo di rete di origine: 151.15.3.60
    Porta di origine: 26647

    Informazioni di autenticazione dettagliate:
    Processo di accesso: Advapi  
    Pacchetto di autenticazione: Negotiate
    Servizi transitati: -
    Nome pacchetto (solo NTLM): -
    Lunghezza chiave: 0

    Questo evento viene generato quando una richiesta di accesso non ha esito positivo. Viene generato nel computer in cui è stato tentato l'accesso.

    Il campo Soggetto indica l'account nel sistema locale che ha richiesto l'accesso. Generalmente si tratta di un servizio, quale il servizio Server, o di un processo locale, ad esempio Winlogon.exe o Services.exe.

    Il campo Tipo di accesso indica il tipo di accesso richiesto. I tipi più comuni sono 2 (interattivo) e 3 (rete).

    Il campo Informazioni sul processo indica l'account e il processo nel sistema che hanno richiesto l'accesso.

    Il campo Informazioni di rete indica l'origine della richiesta di accesso remota. Il nome della workstation non è sempre disponibile e può essere vuoto in alcuni casi.

    Il campo Informazioni di autenticazione fornisce informazioni dettagliate sulla specifica richiesta di accesso.
    - Servizi transitati indica quali servizi intermedi hanno partecipato alla richiesta di accesso.
    - Nome pacchetto indica quale sottoprotocollo dei protocolli NTLM è stato utilizzato.
    - Lunghezza chiave indica la lunghezza della chiave di sessione generata. Se non è stata richiesta alcuna chiave di sessione, la lunghezza sarà pari a zero.
    XML evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4625</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2013-09-06T09:21:19.130918900Z" />
        <EventRecordID>40490245</EventRecordID>
        <Correlation />
        <Execution ProcessID="644" ThreadID="10740" />
        <Channel>Security</Channel>
        <Computer>SERVER.otiservice.it</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="SubjectUserSid">S-1-5-18</Data>
        <Data Name="SubjectUserName">SERVER$</Data>
        <Data Name="SubjectDomainName">OTISERVICE</Data>
        <Data Name="SubjectLogonId">0x3e7</Data>
        <Data Name="TargetUserSid">S-1-0-0</Data>
        <Data Name="TargetUserName">michela</Data>
        <Data Name="TargetDomainName">OTISERVICE</Data>
        <Data Name="Status">0xc000006d</Data>
        <Data Name="FailureReason">%%2313</Data>
        <Data Name="SubStatus">0xc000006a</Data>
        <Data Name="LogonType">8</Data>
        <Data Name="LogonProcessName">Advapi  </Data>
        <Data Name="AuthenticationPackageName">Negotiate</Data>
        <Data Name="WorkstationName">SERVER</Data>
        <Data Name="TransmittedServices">-</Data>
        <Data Name="LmPackageName">-</Data>
        <Data Name="KeyLength">0</Data>
        <Data Name="ProcessId">0x2484</Data>
        <Data Name="ProcessName">C:\Windows\System32\inetsrv\w3wp.exe</Data>
        <Data Name="IpAddress">151.15.3.60</Data>
        <Data Name="IpPort">26647</Data>
      </EventData>
    </Event>

    Qui leggo Nome utente sconosciuto o password errata. Sarebbe semplice pensare che in effetti il nome utente o la password siano stati inseriti non correttamente ma temo non sia così semplice...!

    Grazie, Lorenzo.

    venerdì 6 settembre 2013 15:11
  • Qui leggo Nome utente sconosciuto o password errata. Sarebbe semplice pensare che in effetti il nome utente o la password siano stati inseriti non correttamente ma temo non sia così semplice...!

    ... però è la prima verifica da fare con attenzione in modo da escludere che ci troviamo in questa eventualità.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    sabato 7 settembre 2013 06:50
    Moderatore

  • In realtà ho controllato anche se in effetti la mano sul fuoco al 100% non ce la metterei considerata l'attendibilità delle informazioni che mi riportano normalmente gli utenti!

    Però, se nel caso di ieri potrei avere un minimo dubbio, posso affermare con certezza che durante le ferie più di un utente ha avuto problemi analoghi di accesso da smartphone pur non avendo (certamente) cambiato password o altre impostazioni. Io ho risolto semplicemente ripristinando la password e tutto è tornato a funzionare.

    Per darti un quadro generale ci troviamo in un'azienda in cui 80% degli account usa la stessa password che ho assegnato io (una uguale per tutti). Aspetto di configurare tutti i servizi e i client per far cambiare le password. In questo scenario di "default" ogni tanto qualche account salta ed ho controllato personalmente che neanche da OWA si riesce ad entrare.  

    Trattandosi di utenti che neanche sanno come cambiare la password sono convinto che qualcosa che non funziona a dovere ci sia.

    Comunque a questo punto, se non hai qualche suggerimento illuminante sulla base delle informazioni ricevute, pensi sia meglio attendere e vedere se il problema si ripropone per verificare con certezza (assoluta) che non dipenda semplicemente da un errore di immissione delle credenziali?

    Grazie, ciao.

    Addendum

    ho avuto un nuovo accesso non riuscito con un altro utente. User corretto, password corretta... direi che a questo punto possiamo escludere l'eventualità di errore umano.

    Grazie, ciao.

    Lorenzo

    sabato 7 settembre 2013 09:07
  • ci sono errori nelle sezioni system e application del server sbs ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 9 settembre 2013 08:36
    Moderatore