locked
Errore di connessione RRS feed

  • Domanda

  • In un dominio Windows 2K8, nel tentativo di connettermi alle risorse di un pc Windows 7 membro del dominio, ricevo il seguente errore:

    net use * \\pc113\c$
    Password non valida per \\pc113\c$.

    Immettere il nome utente per 'pc113': dom_mm\victor
    Nome utente non valido.

    Il nome utente digitato è lo stesso utilizzato per la connessione.
    Nome utente già utilizzato.  Impossibile trovare un controller
    di dominio per verificare il nome utente.

    Da notare che l'utente loggato è un amministratore di dominio che non ha restrizioni e che infatti riesce ad accedere senza che vengano richieste credenziali alle risorse di tutte le altre macchine del dominio. Tutti i pc sono uguali (clonati con SysPrep) e ricevono le impostazioni da GP.

    Il client riporta il seguente errore nel registro degli eventi:
    Nome registro: System
    Origine:       LsaSrv
    Data:          29/04/2014 10:13:01
    ID evento:     40960
    Categoria attività:Nessuna
    Livello:       Avviso
    Parole chiave:
    Utente:        SYSTEM
    Computer:      servizio.dom_mm
    Descrizione:
    Sistema di sicurezza: rilevato errore di autenticazione per il server cifs/pc113.dom_mm. Codice di errore del protocollo di autenticazione Kerberos: "Esistono restrizioni sull'account utente per cui potrebbe essere impossibile utilizzarlo per accedere dalla workstation di origine.
     (0xc0000070)".

    Finora ho effettuato i seguenti tentativi:
    - Rimosso e aggiunto di nuovo il pc al dominio, cancellando l'account e ricreandolo
    - Rimosso il relativo record DNS nel DC
    - Ripristinato la macchina da immagine SysPrep

    Dove può essere il problema?
    Grazie.







    martedì 29 aprile 2014 07:19

Tutte le risposte

  • Il computer ha un account locale con lo stesso nome dell'account di dominio? Nell'immagine master sono presenti credenziali salvate per l'account (esegui una verifica in gestione credenziali)?

    Inoltre l'account di dominio che stai utilizzando ha i privilegi di logon sul client? Per sicurezza ti consiglio anche di provare a disabilitare l'applicazione di tutte le policy al client problematico e a riprovare.

    Tuttavia il messaggio potrebbe anche nascondere problemi nella risoluzione DNS, quindi verifica anche se con altri account utente di dominio la connessione riesce.

    martedì 29 aprile 2014 08:59
    Moderatore
  • Il computer ha un account locale con lo stesso nome dell'account di dominio?
    No.
    Nell'immagine master sono presenti credenziali salvate per l'account (esegui una verifica in gestione credenziali)?
    Solo l'account che viene creato di default.
    Inoltre l'account di dominio che stai utilizzando ha i privilegi di logon sul client?
    Certo, accede normalmente in locale.
    Per sicurezza ti consiglio anche di provare a disabilitare l'applicazione di tutte le policy al client problematico e a riprovare.
    Stessa cosa.
    Tuttavia il messaggio potrebbe anche nascondere problemi nella risoluzione DNS, quindi verifica anche se con altri account utente di dominio la connessione riesce.
    Sì, con altri riesce
    Grazie.

    martedì 29 aprile 2014 09:34
  • Potresti inserire eventuali eventi di accesso fallito presenti nel registro Sicurezza del client?

    martedì 29 aprile 2014 10:32
    Moderatore
  • Eccolo:

    Nome registro: Security
    Origine:       Microsoft-Windows-Security-Auditing
    Data:          26/04/2014 11:54:46
    ID evento:     4625
    Categoria attività:Accesso
    Livello:       Informazioni
    Parole chiave: Controllo non riuscito
    Utente:        N/D
    Computer:      PC113.dom_mm
    Descrizione:
    Accesso di un account non riuscito.

    Soggetto:
     ID sicurezza:  NULL SID
     Nome account:  -
     Dominio account:  -
     ID accesso:  0x0

    Tipo di accesso:   3

    Account il cui accesso non è riuscito:
     ID sicurezza:  NULL SID
     Nome account:  victor
     Dominio account:  DOM_MM

    Informazioni sull'errore:
     Motivo dell'errore:  Nome utente sconosciuto o password errata.
     Stato:   0xc000006d
     Stato secondario:  0xc000006a

    Informazioni sul processo:
     ID processo chiamante: 0x0
     Nome processo chiamante: -

    Informazioni di rete:
     Nome workstation: SERVIZIO
     Indirizzo di rete di origine: 172.28.69.138
     Porta di origine:  49480

    Informazioni di autenticazione dettagliate:
     Processo di accesso:  NtLmSsp
     Pacchetto di autenticazione: NTLM
     Servizi transitati: -
     Nome pacchetto (solo NTLM): -
     Lunghezza chiave:  0

    Questo evento viene generato quando una richiesta di accesso non ha esito positivo. Viene generato nel computer in cui è stato tentato l'accesso.

    Il campo Soggetto indica l'account nel sistema locale che ha richiesto l'accesso. Generalmente si tratta di un servizio, quale il servizio Server, o di un processo locale, ad esempio Winlogon.exe o Services.exe.

    Il campo Tipo di accesso indica il tipo di accesso richiesto. I tipi più comuni sono 2 (interattivo) e 3 (rete).

    Il campo Informazioni sul processo indica l'account e il processo nel sistema che hanno richiesto l'accesso.

    Il campo Informazioni di rete indica l'origine della richiesta di accesso remota. Il nome della workstation non è sempre disponibile e può essere vuoto in alcuni casi.

    Il campo Informazioni di autenticazione fornisce informazioni dettagliate sulla specifica richiesta di accesso.
     - Servizi transitati indica quali servizi intermedi hanno partecipato alla richiesta di accesso.
     - Nome pacchetto indica quale sottoprotocollo dei protocolli NTLM è stato utilizzato.
     - Lunghezza chiave indica la lunghezza della chiave di sessione generata. Se non è stata richiesta alcuna chiave di sessione, la lunghezza sarà pari a zero.


    martedì 29 aprile 2014 10:45
  • Anche l'evento di accesso non riuscito indica che il nome utente "dom_mm\Victor" non è valido, esegui una verifica su Active Directory. Verifica anche che la replica tra tutti i DC sia stata eseguita correttamente (l'account potrebbe non essere stato replicato).

    Se è tutto corretto prova ad utilizzare questo tool diagnostico per vedere se rileva qualche anomalia, anche se è comunque strano che il login interattivo con tale account riesca correttamente:

    http://www.microsoft.com/en-us/download/details.aspx?id=18465

    martedì 29 aprile 2014 13:21
    Moderatore
  • C'è un solo DC, quindi è facile fare una verifica. Sembra tutto a posto.

    Il tool dà questo risultato:

    User Name: victor
    User DN: CN=victor,CN=Users,DC=dom_mm
    Domain Name: dom_mm
    DNS Domain Name: dom_mm

    Server Name,Site Name,User State,Bad Password Count,Last Bad Password,Pwd Last Set,Lockout Time,Original Lock
    DC-LAB [PDC],Default-First-Site,Not Locked,0,25/03/2014 09:58:51,25/06/2012 08:45:42,N/A,N/A


    La macchina da cui cerco di collegarmi è dual-homed, con un'interfaccia privata e una pubblica, essendo comunque membro del dominio. Questo fatto potrebbe avere qualche rilevanza?
    martedì 29 aprile 2014 13:58
  • Utilizzando l'interfaccia grafico compare questo errore:

    martedì 29 aprile 2014 14:16
  • La macchina da cui cerco di collegarmi è dual-homed, con un'interfaccia privata e una pubblica, essendo comunque membro del dominio. Questo fatto potrebbe avere qualche rilevanza?

    Credo proprio di si, il fatto che utilizzi due schede di rete potrebbe causare non pochi problemi nella comunicazione con il dominio (soprattutto se la scheda di rete "esterna" utilizza un diverso DNS). Hai provato a seguire i suggerimenti che ti erano stati dati nella precedente discussione?

    http://social.technet.microsoft.com/Forums/it-IT/fa0b9026-bf7a-4f62-9194-dc80423c1d4b/configurazione-pc-multihomed?forum=windows7italian

    In ogni caso è strano il fatto che il problema si verifichi solo con quello specifico account utente e non in maniera casuale con tutti.

    martedì 29 aprile 2014 15:31
    Moderatore
  • Non posso mettere come DNS unico quello di dominio né una route statica verso la rete privata perché la macchina deve poter navigare anche a dominio spento.

    E comunque, come rilevavi tu, se fosse un problema di risoluzione dei nomi, il problema dovrebbe verificarsi almeno saltuariamente verso tutte le macchine.
    martedì 29 aprile 2014 15:54
  • No, in realtà il problema si verificherebbe in maniera casuale con tutti gli account AD, ma solo nell'accesso a quel specifico client multihomed. A questo punto prova a disabilitare momentaneamente l'interfaccia esterna, eliminare tutti i record DNS associati nella zona, eseguire una nuova registrazione e poi a testare l'accesso con l'account.

    Se nemmeno così il problema si risolve e con altri account AD continui a non riscontrare il problema ti consiglio a questo punto di sostituire direttamente l'account utente creandone uno nuovo anche se questo può comportare un lavoro aggiuntivo a causa del diverso SID di sicurezza.



    martedì 29 aprile 2014 21:11
    Moderatore
  • L'accesso problematico è sempre quello DALLA macchina dual-homed AL client (sempre lo stesso) della rete privata, quindi dubito che il problema sia imputabile alla macchina dualhomed. 

    Se a ciò si aggiunge il fatto che ora il client su rete privata (PC113) comincia ad avere anche problemi saltuari di risoluzione DNS, mi sembra evidente che il problema è il client, non la macchina dual-homed.

    Grazie.



    sabato 3 maggio 2014 09:59
  • Si, se il problema non si verifica quando dal pc multihomed tenti di connetterti ad un altro client e se il pc ha inoltre problemi nella risoluzione DNS direi anch'io che c'è qualcosa che non va con il client. Dopo tutte queste prove direi che l'unica cosa che ti rimane è verificare attentamente il collegamento fisico del client alla rete (scheda, cavi, porta sullo switch, ecc..).

    Come ultima alternativa puoi riformattare il client non utilizzando l'immagine preconfigurata.

    giovedì 15 maggio 2014 12:16
    Moderatore