none
Errori Kerberos RRS feed

  • Discussione generale

  • Buonasera.

    Da diversi giorni ho problemi con una rete composta da 2 DC e 2 server, distribuiti su due sedi.

    Il server Primario è un SBS 2003 con ovviamente tutti i ruoli FSMO, due server nella stessa sede che fanno da DB server e File Server. Un server secondario DC e GC sulla sede remota.

    Questo server è rimasto inattivo per diverso tempo, circa 3 mesi. Ora sto avendo dei problemi ricorrenti sul Kerberos, come se la chiave su questo server non venga riconosciuta nel server Primario, mi spiego:

    Se attivo il servizio di centro distribuzione chiavi kerberos, su questa sede funziona tutto, ma non posso accedere ai files presenti nella sede principale, mi viene richiesto usename e password per potervi accedere, e non sono riconosciuti in alcun modo, se invece non abilito il servizio posso accedere ai files remoti senza alcun tipo di problema.

    Ora però nasce un  problema con gli utenti che si spostano di sede.

    Chi proviene dalla sede principale e si collega alla rete non riesce ad effettuare il login ed ottiene questo messaggio di errore nell'event viewer (ID7):

    The kerberos subsistem encountered a PAC validation failure. This indicate that the PAC from the client Administrator in realm dominio.local had a PAC which failed to verify or was modified.

    Ho già provato ad applicare questa KB http://support.microsoft.com/?kbid=929624 ma non è un problema di HotFix, che peraltro risulta già essere installata.

    Per potersi collegare è necessario scollegare il cavo di rete.

    Avendo poi anche un File system distribuito su una cartella di progetti tra le due sedi, risulta ancora più anomalo il comportamento, perchè spesso gli utenti di questa sede collegandosi alla DFS anzichè usare quella della sede, utilizzano quella remota, ovviamente con dei tempi di risposta notevolmente ridotti.

    Grazie.

    mercoledì 2 maggio 2012 17:11

Tutte le risposte

  • ciao, prima cosa, come hai fatto a mettere un Dc e Gc di replica su un SBS che non è supportato? oltre questo...il "circa 3 mesi" mi spaventa ancora di più perchè io tempo di Tombstone per i server sbs 2003 è di 60 giorni e dopo quella soglia di solito il sid va in disuso. di qui tutti gli errori di autenticazione kerberos e via dicendo. ora io controllerei AD e vedrei se effettivamente il problema è quello. in caso negativo poi vediamo. avrai comunque errori a gogo su quel dc nell'event viewer, dovremmo analizzare anche quelli.

    http://www.petri.co.il/recovering-deleted-items-active-directory.htm

    mercoledì 2 maggio 2012 19:15
    Moderatore
  • Bhe su SBS posso mettere quanti DC e GC voglio, solamente che lui dovrà rimanere il master operazioni per i ruoli FSMO... non ho incontrato nessuna difficoltà nell'inserirlo ne in questo cliente ne in altri. Anche io pensavo ad errori SID per il troppo tempo passato in "disuso" ma se non sbaglio questa soglia dei 60 gg è stata aumentata a 180 con la R2 di 2003 come sembra anche confermare questa KB:

    http://support.microsoft.com/kb/910205

    Anzi già dal SP1, ricordavo male.

    Infatti non ho problemi di sincronizzazione tra i server, se eseguo o forzo la sincronizzazione degli oggetti AD sui server funziona senza alcun problema ed anche nei log non ho errori di SID.

    e nemmeno nei login dei client trovo errori sui server, ma solamente a lato client posso verificarlo.
    mercoledì 2 maggio 2012 19:38
  • be'insomma, se non posso distribuire i ruoli me ne faccio poco di avere dei dc secondari...certo possono abbassare i tempi di logon su sedi remote...ma non è che tutto quello che puoi fare poi abbia effettivamente senso e funzioni perfettamente...se salta il master server resti isolato completamente. comunque, se non mi dici che hai sp1 io leggo sbs 2003 e ti do le sue caratteristiche....:-( 

    guarda i log e posta gli errori, sicuramente ce ne saranno da qualche parte... comunque io una controllata agli oggetti di AD la darei....

    A.

    ps ho visto ora...ma è un 2003 od un R2?? 
    mercoledì 2 maggio 2012 19:55
    Moderatore
  • ciao, prima cosa, come hai fatto a mettere un Dc e Gc di replica su un SBS che non è supportato?


    ???? un dc aggiuntivo che sia anche GC è possibile averlo in un dominio con sbs. solo il master operazioni deve stare sull'sbs.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org



    giovedì 3 maggio 2012 08:09
    Moderatore
  • ora io controllerei AD e vedrei se effettivamente il problema è quello. in caso negativo poi vediamo. avrai comunque errori a gogo su quel dc nell'event viewer, dovremmo analizzare anche quelli.

    http://www.petri.co.il/recovering-deleted-items-active-directory.htm


    il problema è quello e può essere solo quello.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    giovedì 3 maggio 2012 08:10
    Moderatore
  • Bhe su SBS posso mettere quanti DC e GC voglio, solamente che lui dovrà rimanere il master operazioni per i ruoli FSMO... non ho incontrato nessuna difficoltà nell'inserirlo ne in questo cliente ne in altri. Anche io pensavo ad errori SID per il troppo tempo passato in "disuso" ma se non sbaglio questa soglia dei 60 gg è stata aumentata a 180 con la R2 di 2003 come sembra anche confermare questa KB:

    http://support.microsoft.com/kb/910205

    Anzi già dal SP1, ricordavo male.

    Infatti non ho problemi di sincronizzazione tra i server, se eseguo o forzo la sincronizzazione degli oggetti AD sui server funziona senza alcun problema ed anche nei log non ho errori di SID.

    e nemmeno nei login dei client trovo errori sui server, ma solamente a lato client posso verificarlo.

    puoi riportare gli errori e i warning che trovi nel registro eventi del dc della sede remota nelle sezioni system, application, directory services, ntfrs?

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    giovedì 3 maggio 2012 08:17
    Moderatore
  • Per quanto riguarda application è completamente pulito, nemmeno un warning, se non degli errori di marzo ripetuti in fase di accesso 1030 - 1097 - 1053, domani sera farò un riavvio del server per verificare che non si ripresentino al prossimo avvio, oggi non posso, sono in consegna e probabilmente lavoreranno anche la notte...

    System:

    ID 1042 wins non replica con l'altra sede.

    ID 3019 Il redirector non ha potuto determinare il tipo di connessione (diversi avvisi ripetuti nella giornata).

    ID 40960 (alla stessa data degli errori su application) LSASRV

    Il sistema di protezione ha rilevato un errore di autenticazione sul server LDAP/FQDN SERVER/dominio.local@dominio.LOCAL. Il codice di errore del protocollo di autenticazione Kerberos è "Nessun server di accesso è attualmente disponibile per soddisfare la richiesta di accesso.
      (0xc000005e)".

    Directory service: Completamente pulito.

    Replica File:

    ID 13508

    Il servizio Replica file non riesce ad abilitare la replica da server principale a server secondario per c:\condivisioni\commesse milano tramite il nome DNS FQDN sede principale. Continuerà a tentare. 

    Effettivamente da qualche giorno vedo che non sta replicando questa cartella e che i record DNS erano errati. 

    Confermo che il cambio di accesso a questa cartella DFS, è dovuto all'errore che si genera sul client, infatti risulta poi essere il server della sede principale il Logon server e quindi andando con il percorso \\nomedominio\condivisione risponde lui anzichè la filiale.

    giovedì 3 maggio 2012 16:00
  • ID 40960 (alla stessa data degli errori su application) LSASRV

    Il sistema di protezione ha rilevato un errore di autenticazione sul server LDAP/FQDN SERVER/dominio.local@dominio.LOCAL. Il codice di errore del protocollo di autenticazione Kerberos è "Nessun server di accesso è attualmente disponibile per soddisfare la richiesta di accesso.
      (0xc000005e)".

    controlla le possibilità indicate qui

    http://www.eventid.net/display-eventid-40960-source-LSASRV-eventno-8508-phase-1.htm

    e riporta se ti trovi in uno dei casi indicati.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    venerdì 4 maggio 2012 13:04
    Moderatore
  • Ho risolto il problema ma non lo ricordavo... 

    Al rientro del server remoto sulla rete avvenuto in marzo mi ero già accorto della mancanza di "sincronizzazione" tra i due per problemi kerberos. LA KB che ho utilizzato: http://support.microsoft.com/kb/325850. Riavviato il server (schedulandolo) ma non si sono riallineate le sedi perchè l'avvio del servizio centro chiavi kerberos sulla sede remota era manuale. Messo in automatico e riavviato il server, non ho più avuto alcun problema, sia di login sia di sincronizzazione tra le sedi.

    Grazie ancora.



    venerdì 4 maggio 2012 13:22