none
Problemi sysvol su sbs2003 RRS feed

  • Domanda

  • Buongiorno,

    Mi ritrovo con un problema che non avevo mai riscontrato pima su un server windows 2003 sbs che finora non gestivo io.

    In pratica lìevet viewer è pieno di errori 1030 e 1058, ho trovato alcune kb che ne parlano e mi sono messo a fare un po' di troublleshooting, ho verificato che la risoluzione dns funzionasse (in realtà non funzionava, ho ricreato il record, ora va), che i iritti utente sulla directory sysvol siano corretti, così come su tutti i file in essa contenuti, infne che sia impostata correttamente la certificazione dei pacchetti smb.

    Ad uncerto punto della lista di verifiche da effettuare mi è capitato di voler provare a modificare una global policy e mi sono accorto che ogni volta che provo a salvarne una mi viene restituito un errore di accesso al file \\nomedominio.local\...\gpttmp.inf la frase riportata dice che l'utente non riesce ad ottenere i diritti necessari per il computer in uso.

    Visto l'indirizzo ho fatto qalche prova ulteriore ed ho scoperto uno strano comportamento, considerato che sono un utente amministratore e che stavo lavorando da una sessione rdp (che quindi immagino dovrebbe comportarsi come se fossi sulla console fisica del server).

    1) Se provo ad accedere a \\192.168.1.99 o direttamente ad una qualsiasi sottocartella, compresa sysvol tutto funzionaregolarmente ed accedo ai dati.

    2) Se provo ad accedere a \\nomeserver o direttamente a qualsiasi sottocartella il computer non riconosce l'utente e mi richiede all'infinito le credenziali, che ovviamente sono giuste, visto che al passaggio precedene erano le stesse, ho provato anche a cambiare utente, ma non cambia

    3) Se provo ad accedere a \\dominio.local l'utente mi viene riconosciuto, visto che vedo l'elenco delle sottcartelle, ma se provo ad aprirle o ad accedervi direttamente ottengo un "accesso negato"

    Immagino che questo provochi l'errore salvando le  policy e che sia parente degli errori 103 e 1058 nell'event viewer.

    Avete qualche suggerimento da darmi?

    domenica 17 aprile 2011 09:22

Risposte

  • Bene...

    Ieri ho fatto delle prove che avevo ritenuto essere infruttuose, invece stasera mi sono accorto di aver ottenuto qualcosa, probabilmente si trattava di aspettare che qualche replica aggiornasse il sistema....

    Le prove fatte erano dverse, la più invasiva nonchè lìunica che non si è schiantatacon un errore è stata di fare un backup della policy del doman controller, importarla nella GPO management consolee di un altr 2003 e di scrivergli dentro tutti i diritti che effettivamente mancavano, poi l'ho risalvata e reimportata nel server d'origine.

    Questo non spiegherebbe perchè stasera riesco ad editare le policy, sempre che nons ia il diritto di connettersi tramite rete che ho assegnato a tutti gli amministratori, ma potrei aver risolto resettando i diritti con un metodo trovato su una KB, in pratica ho scritto con notepad un gpttmp.inf quasi vuoto, come quello di un server appena creato ed ho forzato l'aggiornamento modificando il numero di versione nel gpt.ini e lanciando un gpupdate /force.

    fatto sta che non ho più problemi ad editare le policy, nè, pare, errori 534.

    Mi resta solo da capire perchè venerdì abbia smesso di punto in bianco di funzionare l'RDP, non ho nessun traccia nei log di qualch rifiuto, mentre per il client è come se il server non parlasse su quellaporta, anzi, mi sa che al prossimo giro vado a controllare se le porte ip sono impegnate...

    Ah, buona pasqua a tutti :-)

     

    • Contrassegnato come risposta Fabrizio Volpe martedì 26 aprile 2011 08:04
    lunedì 25 aprile 2011 22:46

Tutte le risposte

  • Insistiamo con il DNS: puoi postare un ipconfig /all del server?
    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adcoop.it
    domenica 17 aprile 2011 18:08
  • a quanto detto da Adriano aggiungo:

    1) posta anche un ipconfig /all di un client

    2) e il risultato di un nslookup nomeserver lanciato dal client.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 18 aprile 2011 06:19
    Moderatore
  • Se le conf. DNS risultassero corrette (anche se penso saranno errate) potresti provare con un:

    dfsutil purgemupcache

    ed un bel riavvio del server.

     

    Anzi, ti consiglio di farlo anche se dovessi correggere le impostazioni DNS, dopo aver istanziato un bel ipconfig /registerdns ed atteso una mezz'oretta.

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 18 aprile 2011 10:35
  • Ciao, grazie per l'interessamento, il forum non mi ha avvertito ch c'erano risposte e le ho viste solo stasera...

    Sono in remoto, quindi non riesco ad avere dati dai client (spenti), anche se il problema si verifica sul server, quindi le risoluzioni sbagliate dovrebbe avercele anche lui.

    Per ora non posso neppure riavviarlo perchè per un errore di parità della memoria bisogna accenderlo e poi resettarlo, quindi se agisco a mano si spegne e non lo recupero più.

    I comandi almeno su di lui comunque li ho dati:

    ipconfigg /all


    Configurazione IP di Windows

     

       Nome host . . . . . . . . . . . . . . : svrCICCIO

       Suffisso DNS primario . . . . . . . . : CICCIO.local

       Tipo nodo . . . . . . . . . . . . . . : Ibrido

       Routing IP abilitato. . . . . . . . . : No

       Proxy WINS abilitato . . . . . . . .  : No

       Elenco di ricerca suffissi DNS. . . . : CICCIO.local

     

    Scheda Ethernet Connessione alla rete locale (LAN) del server:

     

       Suffisso DNS specifico per connessione:

       Descrizione . . . . . . . . . . . . . : HP NC320i PCIe Gigabit Server Adapter

       Indirizzo fisico. . . . . . . . . . . : 00-17-A4-37-90-85

       DHCP abilitato. . . . . . . . . . . . : No

       Indirizzo IP. . . . . . . . . . . . . : 192.168.1.99

       Subnet mask . . . . . . . . . . . . . : 255.255.255.0

       Gateway predefinito . . . . . . . . . : 192.168.1.2

       Server DNS . . . . . . . . . . . . .  : 192.168.1.99

       Server WINS primario . . . . . . . .  : 192.168.1.99


    nslookup svrCICCIO
    Server:  svrCICCIO.CICCIO.local
    Address:  192.168.1.99

    Nome:    svrCICCIO.CICCIO.local
    Address:  192.168.1.99

    Nel frattempo per motivi a me inspiegabili anche l'RDP non accetta più login senza lasciare traccia nell'event viewer, il servizio firewall è disabilitato, mentre nel security log appaiono ogni volta che provo a salvare un gpo o a lanciare un gpupdate degli errori 534 che indicano che l'utente non ha i diritti di accesso dalla rete:

    po evento: Operazioni non riuscite
    Origine evento: Security
    Categoria evento: Accesso/fine sess.
    ID evento: 534
    Data:  24/04/2011
    Ora:  12.15.29
    Utente:  NT AUTHORITY\SYSTEM
    Computer: SVRCICCIO
    Descrizione:
    Accesso non riuscito:
      Motivo: L'utente non ha ottenuto il tipo di accesso richiesto
       a questo computer
      Nome utente: administrator
      Dominio:  CICCIO
      Tipo di accesso: 3
      Processo di accesso: Authz  
      Pacchetto di autenticazione: Kerberos
      Nome workstation: SVRCICCIO
      Nome utente chiamante: SVRCICCIO$
      Dominio chiamante: CICCIO
      ID accesso chiamante: (0x0,0x3E7)
      ID processo chiamante: 896
      Servizi transitati: -
      Indirizzo di rete origine: -
      Porta origine: -

     

    ...non fosse che non conosco bene la storia di quel server lo avrei già reinstallato, ma ho paura di perdermi qualcosa,magari un software di contabilità di cui non hanno più i floppy, vai a sapere....

    domenica 24 aprile 2011 22:49
  • Bene...

    Ieri ho fatto delle prove che avevo ritenuto essere infruttuose, invece stasera mi sono accorto di aver ottenuto qualcosa, probabilmente si trattava di aspettare che qualche replica aggiornasse il sistema....

    Le prove fatte erano dverse, la più invasiva nonchè lìunica che non si è schiantatacon un errore è stata di fare un backup della policy del doman controller, importarla nella GPO management consolee di un altr 2003 e di scrivergli dentro tutti i diritti che effettivamente mancavano, poi l'ho risalvata e reimportata nel server d'origine.

    Questo non spiegherebbe perchè stasera riesco ad editare le policy, sempre che nons ia il diritto di connettersi tramite rete che ho assegnato a tutti gli amministratori, ma potrei aver risolto resettando i diritti con un metodo trovato su una KB, in pratica ho scritto con notepad un gpttmp.inf quasi vuoto, come quello di un server appena creato ed ho forzato l'aggiornamento modificando il numero di versione nel gpt.ini e lanciando un gpupdate /force.

    fatto sta che non ho più problemi ad editare le policy, nè, pare, errori 534.

    Mi resta solo da capire perchè venerdì abbia smesso di punto in bianco di funzionare l'RDP, non ho nessun traccia nei log di qualch rifiuto, mentre per il client è come se il server non parlasse su quellaporta, anzi, mi sa che al prossimo giro vado a controllare se le porte ip sono impegnate...

    Ah, buona pasqua a tutti :-)

     

    • Contrassegnato come risposta Fabrizio Volpe martedì 26 aprile 2011 08:04
    lunedì 25 aprile 2011 22:46