none
Per fare un check approfondito su active directory aziendale, cosa si può fare? RRS feed

  • Domanda

  • Oggi al lavoro ho avuto dei problemi che penso siano riconducibili all'AD.
    10 utenti su 50 non riuscivano a loggarsi (vedevano il wall paper ma non avevano il desktop) e per risolvere ho dovuto promuoverli ad utenti amministrativi.
    Ho poi avuto un errore SAM nel registro del server SBS2003 principale (ora non ricordo ID e descrizione) ma era un problema forse legato all'hardware...
    Altri problemi di accesso alla rete (risolti). Inoltre ora la fase di avvio (quella prima di ottenere il pannellino di inserimento credenziali del logon) di alcuni pc si è di molto allungata... Mi potete dare qualche indicazione per eseguire tutti i check essenziali ma approfonditi sull'active directory così che io possa capire se ci sono ancora dei problemi e se i problemi che incontro nascono da Active Directory?

    Grazie!!!

    venerdì 22 giugno 2012 18:07

Risposte

Tutte le risposte

  • Ciao, come descrizione del problema mi sembra un tantino poco dettagliata. Cosa ti fa pensare che ci sia un problema di AD?

    La prima cosa da fare è quella di analizzare gli eventi alla ricerca di errori, magari si riesce a partire da una base.

    Saluti

    Nino

    sabato 23 giugno 2012 20:33
    Moderatore
  • In effetti la cosa è molto più ingarbugliata del previsto; non ti voglio tediare troppo con i miei problemi ma se vuoi proseguire ti faccio un riassunto di cosa è successo così inspeigabilmente dalla sera alla mattina.

    1) L'errore su system event source SAM ID 12294 del server di dominio stava ad indicare una incapacità a loccare Administrator (quindi non un errore di AD). Controllando bene il registro security c'erano molti eventi 539 dovuti ad un pc che sta tentando di loggarsi utilizzando diversi utenti amministratori del dominio. Al momento ho spento quel pc e cercherò di capire perchè si comporta in questo modo (...dubito che sia un virus..). Controllando con il tool Account Lockout Status ho la situazione degli utenti loccati e posso toglierli dal lock. Comunque con quel pc spento il problema non c'è più.

    2) Una decina di utenti su 50 non riescono più a loggarsi: cioè nel pc utilizzato (tutti XP sp3) viene mostrato solo il wallpaper e non vanno a desktop. Usando il task manager noto che tutti i processi sono attivi ma non explorer. Avvio explorer da task manager ma non ho ancora il desktop (explorer sparisce dai processi). Al momento ho risolto promuovendo l'end user (che è di dominio e inserito nel database locale degli user sul pc) ad amministratore. In questo modo riesco a farli loggare. Ma rimane incredibile che improvvisamente cosi' tanti utenti si siano trovati in questa situazione. Cercherò di capire se è un problema al profilo o un problema dello user (ricreandolo) o una combinazione delle 2 cose (nuovo profilo e utente ricreato). Rimane però mistero del perchè si è presentato il problema e esperienza insegna che un problema non capito, ricapiterà ancora.

    3) Infine un server win 2003 non di dominio (è un file server) inspiegabilmente mostra dei problemi sul servizio VSS e quando ci si logga localmante o in RDP.
          a) Se si usa VSSadmin in una delle modalità "list" si ottiene "Error: You don't have the correct permissions to run this command", pur essendo loggato come administrator...!! E nel application registry event compare ID 11 source VSS "Volume Shadow Copy Service information: The COM Server with CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} and name Coordinator cannot be started. [0x80070005]"
          b) quando ci si logga, e anche in altre occasioni, ci sono poi degli application error USERENV ID 1030 e 1065 che penso siano dovuti allo stesso problema e cioè che gli utenti amministrativi (compreso administrator di dominio) è come se avessero perso alcune prerogative tipiche degli ammiistratori. 

    Sto bello inguaiato!!! Grazie per l'attenzione

    domenica 24 giugno 2012 15:06
  • Gli eventi 12294 e 539 sono in relazione tra loro in quanto potrebbero evidenziare un attacco. Il fatto stesso che l'utente da user elevato ad administrator riesca a fare un accesso regolare mi fa pensare proprio a questo.  Potresti fare delle scansioni con un CD live (Symantec o Karspersky) per essere sicuro di avere tutto a posto.  

    Ti giro un paio di link interessanti

    http://technet.microsoft.com/en-us/library/cc733228(v=ws.10).aspx

    http://social.technet.microsoft.com/Forums/en-US/windowsserver2008r2networking/thread/929a6673-d3da-4f6f-814e-b7a7f4bfedaa/

    Saluti

    Nino

    domenica 24 giugno 2012 17:16
    Moderatore
  • Ciao, come descrizione del problema mi sembra un tantino poco dettagliata.


    in effetti tanta superficialità ed imprecisione non è caratteristica di un sistemista che deve gestire una rete aziendale.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    lunedì 25 giugno 2012 11:22
    Moderatore
  • In effetti la cosa è molto più ingarbugliata del previsto; non ti voglio tediare troppo con i miei problemi ma se vuoi proseguire ti faccio un riassunto di cosa è successo così inspeigabilmente dalla sera alla mattina.

    1) L'errore su system event source SAM ID 12294 del server di dominio stava ad indicare una incapacità a loccare Administrator (quindi non un errore di AD). Controllando bene il registro security c'erano molti eventi 539 dovuti ad un pc che sta tentando di loggarsi utilizzando diversi utenti amministratori del dominio. Al momento ho spento quel pc e cercherò di capire perchè si comporta in questo modo (...dubito che sia un virus..). Controllando con il tool Account Lockout Status ho la situazione degli utenti loccati e posso toglierli dal lock. Comunque con quel pc spento il problema non c'è più.

    2) Una decina di utenti su 50 non riescono più a loggarsi: cioè nel pc utilizzato (tutti XP sp3) viene mostrato solo il wallpaper e non vanno a desktop. Usando il task manager noto che tutti i processi sono attivi ma non explorer. Avvio explorer da task manager ma non ho ancora il desktop (explorer sparisce dai processi). Al momento ho risolto promuovendo l'end user (che è di dominio e inserito nel database locale degli user sul pc) ad amministratore. In questo modo riesco a farli loggare. Ma rimane incredibile che improvvisamente cosi' tanti utenti si siano trovati in questa situazione.


    per non sapere nè leggere nè scrivere elevare il livello di sicurezza di utenti che all'apparenza risultano compromessi è una scelta deleteria perchè significa permettere a quegli accounts di eseguire operazioni con privilegi più elevati di prima ossia potenzialmente disastrosi.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    lunedì 25 giugno 2012 11:44
    Moderatore
  • per non sapere nè leggere nè scrivere elevare il livello di sicurezza di utenti che all'apparenza risultano compromessi è una scelta deleteria perchè significa permettere a quegli accounts di eseguire operazioni con privilegi più elevati di prima ossia potenzialmente disastrosi

    Quello che ha scritto Edoardo Benussi è quello che diciamo giornalmente a tutti i ns. clienti, diminuire la superficie d'attacco per aumentare la sicurezza.
    lunedì 25 giugno 2012 12:00
    Moderatore
  • Si hai ragione. In effetti sono un sistemista "acerbissimo" e certe situazioni sono completamente nuove per me. Ma debbo anch'io lavorare e crescere se è possibile (sopratutto con il supporto del forum Microsoft che è indispensabile per noi sistemisti in erba) . Comunque sono in coscienza tranquillo perchè tutto quello che era possibile fare con le conoscenze e le esperienze fin qui acquisite io l'ho fatto. Poi sai ero disperato e in questi casi si cerca di esporre le cose con gli elementi che si hanno o che si conoscono, proprio perchè non si sanno certe cose (altrimenti che senso avrebbe chiedere aiuto in un forum?).

    Detto questo, "per la cronaca" è in atto un attacco di una forma virale e forse ho individuato la fonte, se interessa a qualcuno farò sapere l'esito.

    Chiedo ancora scusa a tutti voi che siete così preparati che forse non dovevo permettermi di aprire un tread dettagliando la cosa con i pochi elementi in mio possesso, ne terrò conto per le prossime volte, se avrete ancora voglia di aiutare un povero cristo che cerca di dare il meglio di se tutti i giorni.

    Grazie ancora per il prezioso e indispensabile aiuto.

    martedì 26 giugno 2012 21:31
  • Le ns. non sono certo critiche ma semplici consigli, nella vita c'è sempre da imparare. Con l'esperienza capirai che la sicurezza è fondamentale per dormire sonni "quasi" tranquilli.

    Per quanto riguarda l'esisto delle tue ricerche, ovviamente vorremmo saperne di più. Le conferme o le smentite che seguono i consigli ci aiutano a capire la risoluzione di un problema e tutti gli utenti del forum ne possono trarre beneficio.

    Saluti

    Nino

    martedì 26 giugno 2012 21:41
    Moderatore
  • la reazione che hai avuto per quello che ho scritto era proprio la reazione che desideravo provocare così ti rimarranno impressi nella mente tre punti fondamentali del mestiere che vuoi fare:

    1) mai essere superficiali e raccogliere il maggior numero di informazioni dettagliate prima di muoversi

    2) mai agire prima di essersi documentati o aver chiesto aiuto

    3) mai indebolire le difese attribuendo privilegi maggiori agli utenti per bypassare il problema

    ed infine benvenuto nella community ;-)


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    mercoledì 27 giugno 2012 06:54
    Moderatore
  • per il punto 1 era quello che avevo in quel momento. Certo oggi dopo 4 giorni di lavoro so qualcosa di più (anche se sono inguaiato che non so se ce la farò a venirne fuori...)
    per il punto 2: è ciò che ho fatto, ho chiesto aiuto
    per il punto 3 è stata una scelta obbligata aziendale perchè non potevamo fermarci (si fermavano le spedizioni e di conseguenza le fatturazioni...sai com'è).

    Detto questo francamente, io non mi sarei mai permesso di criticare nel modo che hai fatto tu senza sapere i retroscena perchè ci tengo a mantenere buoni rapporti, di conseguenza cerco sempre di comportarmi in modo garbato, costruttivo e collaborativo

    Grazie

    mercoledì 27 giugno 2012 20:16