none
Client Windows 7 professional in Windows 2003 Domain RRS feed

  • Domanda

  • Quando trasferisco la postazione client da stand alone a client dominio 2003, molti servizi non partono più: DHCP, BFE, Firewall, NetProfm, Netman, Time-service, DPS ed altri ancora. Non capisco i motivi di questo fatto.


    When I transfer the client workstation standalone client to 2003 domain, many services do not start more DHCP, Firewall BFE, NetProfm, Netman, Time-Service, DPS and more. I don't understand the problem.

    • Spostato Vincenzo Di RussoMVP venerdì 16 aprile 2010 11:43 Spostato da Answers nel Forum Microsoft Windows Server per una migliore assistenza (Da:Reti, messaggi di posta elettronica e connessione)
    • Spostato Vincenzo Di RussoMVP venerdì 16 aprile 2010 11:44 Spostato da Answers nel Forum Microsoft Windows Server per una migliore assistenza (Da:Reti, messaggi di posta elettronica e connessione)
    venerdì 16 aprile 2010 10:23

Risposte

  • non è la strada corretta. ad HKLM deve avere accesso completo solo system, assegnare full control sulle sottochiavi di HKLM ad everyone è una buona strada per permettere di compromettere la macchina a qualunque "robaccia" o "tizio" si sogni di attaccarla. non c'è alcun motivo per cui partendo da una macchina funzionante win7 stand alone, dopo aver fatto il join ad un dominio, alcuni servizi che devono essere eseguiti nel contesto di sicurezza di localsystem non vadano più in esecuzione e l'unica anomalia che ho osservato è lo spegnimento della macchina ed il distacco dei cvi di rete, anomalia alla quale hai risposto con una battuta.

    ora, a prescindere dalla battuta, vuoi dire che se il client, dopo il join al dominio, ti limiti a riavviarlo, funziona tutto ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    lunedì 19 aprile 2010 12:04
    Moderatore

Tutte le risposte

  • Ma quando hai installato questi software con quale utenza l'hai fatto? e soprattutto con quale utenza startano?
    Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx
    venerdì 16 aprile 2010 14:48
  • Installazione standard da cd-rom...tutto ok...

    In Pannello di Controllo, Sistema cambio da workgroup a dominio di rete (domain admins), inizialmente funziona tutto. Spengo il computer, stacco il cavo di rete. Accendo il computer con il cavo connesso. I servizi non partono più. Devo modificare nel registro di sistema le chiavi  di BFE, MpsSvc e SharedAccess (aggiungendo controllo completo per everyone) e i tre servizi partono. Dovrei farlo per tutti gli altri, ma questa non dovrebbe essere la soluzione ottimale.

    Ci potrebbe essere una eredità o incompatibilità con windows 2003 R2?

    Grazie

    venerdì 16 aprile 2010 18:24
  • Ci potrebbe essere una eredità o incompatibilità con windows 2003 R2?

    Non mi è chiara questa affermazione. Vediamo se ho capito: nel client con windows 7 funziona tutto, poi, quando fai il join ad un dominio, alcuni servizi (quelli di rete) smettono di funzionare. Giusto?

    Non vedo il nesso con il dominio....

    Nei log di sistema non viene riportato nessun errore particolare? Puoi eventualmente postarli...

    Tutti errori legati a protocolli di rete.... potrebbero essere legati all'applicazione di alcune gpo.... che sovrascrivono quele locali.

    leggi qui:

    http://social.technet.microsoft.com/Forums/en-US/itprovistanetworking/thread/5744a4b6-31a2-4f2e-b27e-e99627be5aba

     


    Adriano Mariolini - MCITP Server Administrator adriano.mariolini[at]my.sysadmin[dot]it
    venerdì 16 aprile 2010 19:06
  • Aggiungo:

    prova nel prompt del client a lanciare il gpresult per vedere se c'è qualche policy applicata che modifica comportamento di servizi/protocolli/impostazioni di sicurezza...


    Adriano Mariolini - MCITP Server Administrator adriano.mariolini[at]my.sysadmin[dot]it
    venerdì 16 aprile 2010 19:15
  • Spengo il computer, stacco il cavo di rete. Accendo il computer con il cavo connesso. I servizi non partono più. Devo modificare nel registro di sistema le chiavi  di BFE, MpsSvc e SharedAccess (aggiungendo controllo completo per everyone) e i tre servizi partono.


    perché "spengo il computer, stacco il cavo di rete. Accendo il computer con il cavo connesso" ?

    per quale motivo fai questa procedura ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    sabato 17 aprile 2010 06:05
    Moderatore
  • Aggiungo:

    prova nel prompt del client a lanciare il gpresult per vedere se c'è qualche policy applicata che modifica comportamento di servizi/protocolli/impostazioni di sicurezza...


    Adriano Mariolini - MCITP Server Administrator adriano.mariolini[at]my.sysadmin[dot]it

    Lunedì faccio questa procedura.

     

    sabato 17 aprile 2010 12:42
  • Spengo il computer, stacco il cavo di rete. Accendo il computer con il cavo connesso. I servizi non partono più. Devo modificare nel registro di sistema le chiavi  di BFE, MpsSvc e SharedAccess (aggiungendo controllo completo per everyone) e i tre servizi partono.


    perché "spengo il computer, stacco il cavo di rete. Accendo il computer con il cavo connesso" ?

    per quale motivo fai questa procedura ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    Per scaricare tutti gli eventuali residui elettromagnetici....non si sa mai nella vita :-) (soprattutto quella informatica)
    sabato 17 aprile 2010 12:43
  • Per scaricare tutti gli eventuali residui elettromagnetici....non si sa mai nella vita :-) (soprattutto quella informatica)

    vogliamo continuare il discorso sotto il profilo tecnico per cortesia ? altrimenti, nel dire stupidate, finiamo off topic ;-)
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    sabato 17 aprile 2010 17:09
    Moderatore
  • Per scaricare tutti gli eventuali residui elettromagnetici....non si sa mai nella vita :-) (soprattutto quella informatica)

    vogliamo continuare il discorso sotto il profilo tecnico per cortesia ? altrimenti, nel dire stupidate, finiamo off topic ;-)
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org

    Sono d'accordo con te. Resta il fatto che dopo aver cambiato il dominio, se riavvio il sistema non dà alcun problema. Se invece lo spengo e lo avvio dopo qualche minuto il problema si ripete. Oggi faccio i test e vi faccio sapere. Grazie per il momento.
    lunedì 19 aprile 2010 07:00
  • Innanzitutto vi ringrazio per le risposte e per le indicazioni fornitemi. La strada più veloce che ho seguito è stata la seguente:

    nel registry, in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services

    ho dato autorizzazione completa all'utente everyone ai seguenti servizi:

    BFE, Dhcp, DPS, MpsSvc, Netman, Netprofm, NlaSvc, SharedAccess, Tcpip, TCPIP6 e W32Time.

    Funziona tutto a parte DPS che non parte perché dice ancora Accesso Negato. Comunque per il futuro l'utente sarà Servizio Locale.

    Altre prove non le ho fatte perché il dominio è in produzione ed ogni modifica potrebbe creare dei problemi. Sono ben accetti consigli ulteriori.

    Grazie ancora.

     

     

    lunedì 19 aprile 2010 11:30
  • non è la strada corretta. ad HKLM deve avere accesso completo solo system, assegnare full control sulle sottochiavi di HKLM ad everyone è una buona strada per permettere di compromettere la macchina a qualunque "robaccia" o "tizio" si sogni di attaccarla. non c'è alcun motivo per cui partendo da una macchina funzionante win7 stand alone, dopo aver fatto il join ad un dominio, alcuni servizi che devono essere eseguiti nel contesto di sicurezza di localsystem non vadano più in esecuzione e l'unica anomalia che ho osservato è lo spegnimento della macchina ed il distacco dei cvi di rete, anomalia alla quale hai risposto con una battuta.

    ora, a prescindere dalla battuta, vuoi dire che se il client, dopo il join al dominio, ti limiti a riavviarlo, funziona tutto ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    lunedì 19 aprile 2010 12:04
    Moderatore
  • Lo so che non è la strada migliore assegnare dei diritti ad everyone.

    >vuoi dire che se il client, dopo il join al dominio, ti limiti a riavviarlo, funziona tutto ?

    No, non funziona nulla putroppo.

    Funziona solo se modifico i diritti assegnando everyone alle sottochiavi che ho indicato.

    E per quanto battuta, succede proprio così, dopo due riavvi i servizi non si attivano più, probabilmente nel primo riavvio la macchina accede al dominio e scarica le policy, nel secondo riavvio le policy diventano attiva.

    Dico questo perché virtualizzando un windows 2003 server con installazione standard, la macchina con windows 2007 entra nel dominio tranquillamente senza  che i servizi si blocchino. Ora si deve verificare cos'ha il dominio di produzione di diverso rispetto al dominio virtualizzato.

    Ti faccio sapere.

    martedì 20 aprile 2010 07:50
  • Lo so che non è la strada migliore assegnare dei diritti ad everyone.

    >vuoi dire che se il client, dopo il join al dominio, ti limiti a riavviarlo, funziona tutto ?

    No, non funziona nulla putroppo.

    Funziona solo se modifico i diritti assegnando everyone alle sottochiavi che ho indicato.

    E per quanto battuta, succede proprio così, dopo due riavvi i servizi non si attivano più, probabilmente nel primo riavvio la macchina accede al dominio e scarica le policy, nel secondo riavvio le policy diventano attiva.

    Dico questo perché virtualizzando un windows 2003 server con installazione standard, la macchina con windows 2007 entra nel dominio tranquillamente senza  che i servizi si blocchino. Ora si deve verificare cos'ha il dominio di produzione di diverso rispetto al dominio virtualizzato.

    Ti faccio sapere.


    mai sentita prima una roba del genere.

    vuoi mandarmi il log di un RSOP all'indirizzo mail in firma ?

     


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    martedì 20 aprile 2010 08:07
    Moderatore