none
Impossibilità a fare il logon a dominio RRS feed

  • Domanda

  • In un dominio AD Windows 2000 a cui di recente ho sostituito il controller con uno con Windows 2008, sto avendo un po' di problemi. In questo momento, quello più urgente è che un PC che era stato sostituito con uno nuovo (e a quello nuovo è stato dato il suo nome) è stato rimesso in rete per necessità, rinominato, ma non riesce a fare autenticare gli utenti. Il messaggio che viene fuori è che non riesce a contattare un controller o a identificare l'account computer. La cosa curiosa è che quando l'ho rinominato, ovviamente, ha contattato il controller e creato l'account computer, visibile in "utenti e computer di AD". Nel registro eventi, nella parte delle applicazioni, "Userenv" notifica di non essere riuscito a determinare il ruolo del computer, mentre "Autoenrollment" dice: La registrazione automatica certificati per Sistema locale non è riuscita a contattare un server di elenchi (0x8007052b) Impossibile aggiornare la password. Il valore fornito per la password corrente non corrisponde. Impossibile eseguire la registrazione.
    Nella parte relativa a sistema, invece, "Lsasrv" dice: Il sistema di protezione non ha potuto stabilire una connessione protetta con  il server cifs/VECCHIO-CONTROLLER. Nessun protocollo di autenticazione era disponibile. Netlogon dice: Autenticazione non riuscita con \\VECCHIO-CONTROLLER, un controller di dominio di Windows per il dominio DOMINIO-CLIENTE, pertanto è possibile che le richieste di accesso vengano negate. L’impossibilità di autenticare può essere dovuta al mancato riconoscimento di un altro computer connesso alla stessa rete tramite lo stesso nome o la stessa password per l’account di questo computer . Se questo messaggio viene visualizzato di nuovo, contattare l'amministratore di sistema.
    Inutile precisare che non c'è un altro computer con lo stesso nome (l'ho dato adesso, a meno che in passato il precedente amministratore l'abbia usato). Ma poi non capisco perché va a cercare il vecchio controller se nella configuazione di rete ci sono server DNS e WINS che coincidono col nuovo server. Dove lo va a prendere questo dato? Che poi il vecchio server è ancora acceso, anche se non ha più i 5 ruoli master. Bah... Idee in proposito?
    Grazie.
    • Spostato Vincenzo Di RussoMVP mercoledì 4 novembre 2009 12:37 Spostato nel Forum più appropriato (Da:Microsoft Windows Update Forum)
    • Spostato Edoardo BenussiMVP, Moderator mercoledì 4 novembre 2009 12:45 domanda OT (Da:Microsoft Windows Server Forum)
    martedì 3 novembre 2009 19:08

Risposte

  • Ciao,

    in ordine :

    Stacca il cavo di rete dal PC
    Accedi come amministratore locale della macchina
    Inserisci il PC in Workgroup e riavvia
    Accedi al DC e cancella l'account computer

    Verifica che la cancellazione si sia replicata all'altro DC in maniera corretta.

    Fatto questo ricollega il cavo di rete e fai il join del client al dominio facendo attenzione al DNS (Windows 2008) e Wins (Windows 2008).
    • Contrassegnato come risposta Cisc;-0 sabato 7 novembre 2009 12:25
    giovedì 5 novembre 2009 18:52

Tutte le risposte

  • In un dominio AD Windows 2000 a cui di recente ho sostituito il controller con uno con Windows 2008, sto avendo un po' di problemi. In questo momento, quello più urgente è che un PC che era stato sostituito con uno nuovo (e a quello nuovo è stato dato il suo nome) è stato rimesso in rete per necessità, rinominato, ma non riesce a fare autenticare gli utenti. Il messaggio che viene fuori è che non riesce a contattare un controller o a identificare l'account computer.

    già questa frase mi ha fatto "incartare" il cervello. ;)
    me lo rispiseghi con parole più semplici e frasi più brevi ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    mercoledì 4 novembre 2009 12:49
    Moderatore
  • OK, ci provo, magari sarò un po' lungo, ma spero di essere più chiaro. Ho "ereditato" la gestione della rete di un cliente di cui conoscevo e stimavo l'ex amministratore, per cui pensavo di prendere in gestione quello che aveva fatto lui. Invece ho scoperto (dopo) che lui non c'era più da oltre cinque anni e che in questo periodo si sono avvicendati ogni genere di personaggi, combinando di tutto... Al mio arrivo il mio compito era installare un nuovo server con Windows 2K8, promuoverlo a DC e spegnere quello esistente con 2K SP4. A parte la migrazione in sé, c'era da gestire lo spostamento di alcune procedure dal vecchio server al nuovo. Il cliente è uno studio legale, quindi anche logicamente incapace di dare notizie tecniche, che infatti non ho mai avuto, e sono cominciati i problemi che, un po' alla volta, sto riuscendo a risolvere. Il fatto è che a volte succedono cose piuttosto strane, che non riesco a spiegarmi. Una di queste è quella che ho descritto. In pratica ho sostituito un computer. Poiché i nomi dei terminali erano stati attribuiti in relazione alla stanza ed alla posizione, quando ho installato il nuovo l'ho chiamato come il vecchio. Tutto bene. Dopo 2 settimane un altro computer si blocca durante la scansione dell'antivirus (appena installato, che ha cancellato file non riparabili) e non vuole saperne di ripartire (tutti i computer della rete erano pieni di malware di ogni genere e questa è stata ed è un'altra battaglia notevole, anche perché il cliente non vuole concedere l'accesso ad internet da tutte le postazioni, quindi i pc non erano nemmeno aggiornati...). Per risolvere più velocemente decido di riprendere il vecchio computer eliminato e di ricollegarlo alla rete, visto che il suo problema principale era la lentezza, essendo piuttosto datato e poco dotato... La prima cosa che faccio, ovviamente, è cambiargli il nome per evitare conflitti. L'operazione riesce. Faccio riavviare e tento un accesso al dominio, solo che mi vengono fuori i messaggi di cui sopra. Quello che non mi spiego è come mai mi dice che non riesce a trovare un domain controller o l'account computer se i parametri di rete sono quelli corretti, con la nuova configurazione, che fa funzionare tutto il dominio e l'account computer è presente in Active Directory, nella OU "Computers"... E inoltre perché i servizi "lsasrv" e "netlogon" vanno a cercare il vecchio controller, se questo non ha più i ruoli master? Peraltro è ancora presente in rete, perché un software della Zucchetti, pur agganciandosi semplicemente ad una condivisione (che adesso sta sul nuovo server), quando il vecchio server è spento rende instabile la scrittura di documenti Word (indicizzati dal database del programma in questione), e quindi potrebbe anche sfruttarlo per autenticarsi come se lo facesse sul controller di backup anziché su quello primario...
    Questi i miei dubbi, che spero di aver esposto in maniera più chiara. Idee in proposito? Grazie.
    giovedì 5 novembre 2009 10:16
  • Ciao,

    in ordine :

    Stacca il cavo di rete dal PC
    Accedi come amministratore locale della macchina
    Inserisci il PC in Workgroup e riavvia
    Accedi al DC e cancella l'account computer

    Verifica che la cancellazione si sia replicata all'altro DC in maniera corretta.

    Fatto questo ricollega il cavo di rete e fai il join del client al dominio facendo attenzione al DNS (Windows 2008) e Wins (Windows 2008).
    • Contrassegnato come risposta Cisc;-0 sabato 7 novembre 2009 12:25
    giovedì 5 novembre 2009 18:52
  • posta l'ipconfig /all di questo client che non riesci a joinare
    e posta l'ipconfig /all del nuovo domain controller win2k8.

    ciao.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    venerdì 6 novembre 2009 09:39
    Moderatore
  • Domattina dovrei tornare dal cliente e quindi fare le prove che mi ha suggerito MiroSua. Ma cosa intendi per fare attenzione a DNS e WINS? Inserire gli indirizzi corretti? Credo di riuscire ancora a farlo... ;-)
    L'ipconfig /all sul nuovo DC 2K8 è quello che segue (preso tramite VPN). L'altro PC al momento è spento e quindi posso prenderlo solo quando tornerò dal cliente.
    Grazie ad entrambi. Vi terrò informati.



    Microsoft Windows [Versione 6.0.6002]
    Copyright (c) 2006 Microsoft Corporation. Tutti i diritti riservati.

    C:\Users\Administrator.BONITO-LAW>ipconfig /all

    Configurazione IP di Windows

       Nome host . . . . . . . . . . . . . . : SLBON-SVR
       Suffisso DNS primario . . . . . . . . : bonito-law.it
       Tipo nodo . . . . . . . . . . . . . . : Ibrido
       Routing IP abilitato. . . . . . . . . : No
       Proxy WINS abilitato . . . . . . . .  : No
       Elenco di ricerca suffissi DNS. . . . : bonito-law.it

    Scheda Ethernet Connessione alla rete locale (LAN):

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (
    client VBD NDIS)
       Indirizzo fisico. . . . . . . . . . . : 00-18-8B-35-4B-BE
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv4. . . . . . . . . . . . : 192.168.0.5(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Gateway predefinito . . . . . . . . . : 192.168.0.4
       Server DNS . . . . . . . . . . . . .  : 192.168.0.5
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato

    Scheda Tunnel Connessione alla rete locale (LAN)* 2:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : isatap.{C01CB7D7-7D6D-450E-A572-FEFBA
    FA97162}
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
    venerdì 6 novembre 2009 17:56
  • La soluzione proposta da MiroSua è servita allo scopo. Dopo aver fatto quanto suggerito è stato possibile connettersi al dominio. Giusto per completezza di informazione, aggiungo a seguire l'esito dell'ipconfig /all eseguito sul client "incriminato" prima di mettere in pratica i consigli, richiesto da Benussi. Grazie ad entrambi per la collaborazione.


    Microsoft Windows XP [Versione 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.

    C:\Documents and Settings\Administrator>ipconfig /all

    Configurazione IP di Windows

            Nome host . . . . . . . . . . . . . . : SLBON-9-1B
            Suffisso DNS primario  . . . . . . .  : bonito-law.it
            Tipo nodo . . . . . . . . . . . . . .  : Ibrido
            Routing IP abilitato. . . . . . . . . : No
            Proxy WINS abilitato . . . . . . . .  : No
            Elenco di ricerca suffissi DNS. . . . : bonito-law.it

    Scheda Ethernet Connessione alla rete locale (LAN):

            Suffisso DNS specifico per connessione:
            Descrizione . . . . . . . . . . . . . : SiS 900 PCI Fast Ethernet Adapte
    r
            Indirizzo fisico. . . . . . . . . . . : 00-E0-18-7E-C0-ED
            DHCP abilitato. . . . . . . . . . . . : No
            Indirizzo IP. . . . . . . . . . . . . : 192.168.0.39
            Subnet mask . . . . . . . . . . . . . : 255.255.255.0
            Gateway predefinito . . . . . . . . . : 192.168.0.4
            Server DNS . . . . . . . . . . . . .  : 192.168.0.5
            Server WINS primario . . . . . . . .  : 192.168.0.5
    sabato 7 novembre 2009 12:30
  • Ma il vin 2008 e un gobal catalog? Il servizio dns si è replicato correttamente? Controllato lo stato della raplica tra i due DC? Sul win 2008 è attivo il firewall?
    Peppacci - MVP - Microsoft Exchange Server http://blogs.sysadmin.it/peppacci/Default.aspx
    sabato 7 novembre 2009 17:49