Remove From My Forums

SBS 2011, Account AD e credenziali...

Discussione generale
0

Registrati per votare
Buongiorno a tutti,

per un'azienda cliente ho installato un SBS 2011 std. In linea di massima tutto funziona come deve ma ho un problema che francamente mi lascia perplesso. Di tanto in tanto c'è qualche account che (apparentemente) inspiegabilmente si blocca e non accetta più le credenziali di accesso. In generale risolvo reimpostando la password però, visto che sta diventando una costante, vorrei capire qual è la causa.

Aggiungo un "piccolo" dettaglio: l'organizzazione ha circa 16 client ma la licenza di sbs ne prevede 5 (purtroppo quando abbiamo installato il server il responsabile dell'azienda ha smarrito le licenze cal). Fin'ora questo comportava che di tanto in tanto i client perdessero la connessione con exchange ma non avendo esperienze pregresse di questo tipo (fin'ora ho sempre lavorato con aziende fino a 5 client) non vorrei che potesse dipendere tutto da qui.

Grazie.

Lorenzo
- Tipo modificato Anca Popa mercoledì 11 settembre 2013 15:28 discussione in corso
venerdì 6 settembre 2013 09:49

Tutte le risposte

0

Registrati per votare

quando un utente non riesce ad accedere cosa viene registrato nel registro eventi del dc nella sezione security ?
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org

venerdì 6 settembre 2013 10:07

Moderatore
0

Registrati per votare

Ciao Edoardo,

allora, tanto per cominciare, ho 121.030 eventi nelle ultime 12 ore... :|

POI
Nome registro: Security
Origine: Microsoft-Windows-Security-Auditing
Data: 06/09/2013 11:21:19
ID evento: 4625
Categoria attività:Accesso
Livello: Informazioni
Parole chiave: Controllo non riuscito
Utente: N/D
Computer: SERVER.otiservice.it
Descrizione:
Accesso di un account non riuscito.

Soggetto:
ID sicurezza: SYSTEM
Nome account: SERVER$
Dominio account: OTISERVICE
ID accesso: 0x3e7

Tipo di accesso: 8

Account il cui accesso non è riuscito:
ID sicurezza: NULL SID
Nome account: michela
Dominio account: OTISERVICE

Informazioni sull'errore:
Motivo dell'errore: Nome utente sconosciuto o password errata.
Stato: 0xc000006d
Stato secondario: 0xc000006a

Informazioni sul processo:
ID processo chiamante: 0x2484
Nome processo chiamante: C:\Windows\System32\inetsrv\w3wp.exe

Informazioni di rete:
Nome workstation: SERVER
Indirizzo di rete di origine: 151.15.3.60
Porta di origine: 26647

Informazioni di autenticazione dettagliate:
Processo di accesso: Advapi
Pacchetto di autenticazione: Negotiate
Servizi transitati: -
Nome pacchetto (solo NTLM): -
Lunghezza chiave: 0

Questo evento viene generato quando una richiesta di accesso non ha esito positivo. Viene generato nel computer in cui è stato tentato l'accesso.

Il campo Soggetto indica l'account nel sistema locale che ha richiesto l'accesso. Generalmente si tratta di un servizio, quale il servizio Server, o di un processo locale, ad esempio Winlogon.exe o Services.exe.

Il campo Tipo di accesso indica il tipo di accesso richiesto. I tipi più comuni sono 2 (interattivo) e 3 (rete).

Il campo Informazioni sul processo indica l'account e il processo nel sistema che hanno richiesto l'accesso.

Il campo Informazioni di rete indica l'origine della richiesta di accesso remota. Il nome della workstation non è sempre disponibile e può essere vuoto in alcuni casi.

Il campo Informazioni di autenticazione fornisce informazioni dettagliate sulla specifica richiesta di accesso.
- Servizi transitati indica quali servizi intermedi hanno partecipato alla richiesta di accesso.
- Nome pacchetto indica quale sottoprotocollo dei protocolli NTLM è stato utilizzato.
- Lunghezza chiave indica la lunghezza della chiave di sessione generata. Se non è stata richiesta alcuna chiave di sessione, la lunghezza sarà pari a zero.
XML evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2013-09-06T09:21:19.130918900Z" />
<EventRecordID>40490245</EventRecordID>
<Correlation />
<Execution ProcessID="644" ThreadID="10740" />
<Channel>Security</Channel>
<Computer>SERVER.otiservice.it</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SERVER$</Data>
<Data Name="SubjectDomainName">OTISERVICE</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">michela</Data>
<Data Name="TargetDomainName">OTISERVICE</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">8</Data>
<Data Name="LogonProcessName">Advapi </Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">SERVER</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x2484</Data>
<Data Name="ProcessName">C:\Windows\System32\inetsrv\w3wp.exe</Data>
<Data Name="IpAddress">151.15.3.60</Data>
<Data Name="IpPort">26647</Data>
</EventData>
</Event>

Qui leggo Nome utente sconosciuto o password errata. Sarebbe semplice pensare che in effetti il nome utente o la password siano stati inseriti non correttamente ma temo non sia così semplice...!

Grazie, Lorenzo.

venerdì 6 settembre 2013 15:11
0

Registrati per votare

Qui leggo Nome utente sconosciuto o password errata. Sarebbe semplice pensare che in effetti il nome utente o la password siano stati inseriti non correttamente ma temo non sia così semplice...!

... però è la prima verifica da fare con attenzione in modo da escludere che ci troviamo in questa eventualità.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org

sabato 7 settembre 2013 06:50

Moderatore
0

Registrati per votare
In realtà ho controllato anche se in effetti la mano sul fuoco al 100% non ce la metterei considerata l'attendibilità delle informazioni che mi riportano normalmente gli utenti!

Però, se nel caso di ieri potrei avere un minimo dubbio, posso affermare con certezza che durante le ferie più di un utente ha avuto problemi analoghi di accesso da smartphone pur non avendo (certamente) cambiato password o altre impostazioni. Io ho risolto semplicemente ripristinando la password e tutto è tornato a funzionare.

Per darti un quadro generale ci troviamo in un'azienda in cui 80% degli account usa la stessa password che ho assegnato io (una uguale per tutti). Aspetto di configurare tutti i servizi e i client per far cambiare le password. In questo scenario di "default" ogni tanto qualche account salta ed ho controllato personalmente che neanche da OWA si riesce ad entrare.

Trattandosi di utenti che neanche sanno come cambiare la password sono convinto che qualcosa che non funziona a dovere ci sia.

Comunque a questo punto, se non hai qualche suggerimento illuminante sulla base delle informazioni ricevute, pensi sia meglio attendere e vedere se il problema si ripropone per verificare con certezza (assoluta) che non dipenda semplicemente da un errore di immissione delle credenziali?

Grazie, ciao.

Addendum

ho avuto un nuovo accesso non riuscito con un altro utente. User corretto, password corretta... direi che a questo punto possiamo escludere l'eventualità di errore umano.

Grazie, ciao.

Lorenzo
- Modificato Lorenzo Ceccaioni domenica 8 settembre 2013 09:20
sabato 7 settembre 2013 09:07
0

Registrati per votare

ci sono errori nelle sezioni system e application del server sbs ?
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org

lunedì 9 settembre 2013 08:36

Moderatore