none
Não é possível logar no domínio com nova conta de usuário... RRS feed

  • Pergunta

  • Olá pessoal...

     

    Surgiu um problema no meu domínio.  Quando estou no em uma filial, crio uma conta de usuário no DC local e logo em seguida, tento fazer o logon através desta nova conta... simplesmente não funciona, diz que usuário ou senha está incorreto, como se a conta não existisse. Depois de um tempo passa a funcionar normal! O problema é que as vezes precisamos criar uma conta e usá-la imediatamente e para que isso seja possível, eu tenho que ir lá em "Serviços e sites do Active Directory" e forçar uma replicação com o DC Mestre.

    Enfim, acho que não deveria ser assim, eu queria criar a conta e usá-la imediatamente e eu acredito que seja alguma coisa relacionada ao Catálogo Global embora ele esteja ativado em todos os DCs da empresa.

    Infelizmente meu conhecimento sobre o assunto encerra poraí, fico grato se vcs puderem me dar uma ajuda ;)

    Abraço a todos...

    quinta-feira, 23 de dezembro de 2010 00:25

Respostas

  • Boa noite,

    a demora para disponibilizar a conta entre todos os Sites da empresa se dá em função do intervalo de replicação.

    Nas propriedades de cada link, tente ajustar esse valor (padrão 180 minutos) para um valor menor e que se ajuste ao panorama da sua empresa. Diminuindo esse intervalo, a replicação ocorrerá mais rápido, e os objetos criados em um site serão replicados para os outros mais rapidamente.

    Tenha cuidado, pois isso aumenta o volume de replicação, logo, o volume de tráfego.

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA & MCSE on Windows Server 2003 + MCTS + MCITP
    • Marcado como Resposta Richard Juhasz segunda-feira, 10 de janeiro de 2011 16:12
    quinta-feira, 6 de janeiro de 2011 21:38
  • D. Cardoso,

    Na verdade o que deve estar ocorrendo é que esse seu DC da filial não está autenticando os usuários por algum motivo a ser investigado. Depois que criar uma conta e conseguir logar no prompt de comando execute o seguinte comando

    set logonserver

    ele irá retornar qual DC realizou a autenticação do usuário. Veja e nos retorne, pois como vc mesmo disse não há necessidade de aguardar se você está criando a conta do usuário no site local onde o usuário irá logar em uma estação.

    Aguardo.

    _____________________________________

    Elmo Baraúna (MCP - MCDST - MCSA - MCT)


    Muito provavelmente esse DC não está autenticando usuários. Por isso mesmo criando a conta de usuário nesse DC a autenticação demora, isso ocorre porque como o usuário está se autenticando em outro DC já que esse não está autenticando é necessário aguardar o tempo de replicação entre esse DC (onde a conta foi criada) e os demais DC que irá atender a solicitação de autenticação.

    O processo de replicação das partições que incluem, por exemplo, os objetos do AD como usuários e computadores é diferente e independente do processo de replicação do Sysvol, que utiliza o FRS. Como o sysvol (compartilhamentos administrativos) e o netlogon não devem estar disponiveis esse DC não autentica usuário, mas replicada sua base das partições normalmente.

    Verifique a existência desses compartilhamentos nesse DC que está "demorando" para autenticar (na verdade não está autenticando) \\nome_do_DC\sysvol que não deve existir. Verifique as mensagens no log do visualizador de eventos em especial as referentes ao DFS. Verifique, também, se o serviço de replicação de arquivos está ativo.

    Identificando o problema partiremos para como solucioná-lo o que irá acabar com essa lentidão na autenticação dos seus usuários.

    Qualquer dúvida post para que possamos lhe ajudar.

    ____________________________________

    Elmo Baraúna (MCP - MCDST - MCSA - MCT)

    • Marcado como Resposta Richard Juhasz segunda-feira, 10 de janeiro de 2011 16:12
    sexta-feira, 7 de janeiro de 2011 03:40
    Moderador

Todas as Respostas

  • A politica ta demorando pra ser aplicada, esse depois de um tempo provavlemnte dever  o tempo de 15 min pro AD sincronizar as configuracoes com as maquinas.

    Tente um gpupdate / force na maquina cliente ( use este comando no prompt de comando)

    Tente depois se logar com o novo usuario.

    Seria legal vc ver sua infra estrtura de rede, pq eta demorando tanto para as configuracoes de conta serem aplicadas.


    Diego Piffaretti- www.mundotecnologico.net
    quinta-feira, 23 de dezembro de 2010 01:31
  • Opa Diego...

    já fiz gpupdate /force mas não resolveu!

     

    De qualquer forma, segundo o que leio em meus livros de AD, não seria necessário esperar a propagação pelo domínio da nova conta criada em um DC local pois se o mesmo estiver habilitado como CG, ele já liberaria o logon da nova conta mesmo sem o DC mestre ter conhecimento desta... Enfim, isso procede? ou eu entendi errado o que eu li?

    quinta-feira, 23 de dezembro de 2010 01:58
  • http://technet.microsoft.com/pt-br/library/cc716453.aspx

    http://technet.microsoft.com/en-us/library/cc772726%28WS.10%29.aspx


    Missão dada é missão cumprida.
    quinta-feira, 23 de dezembro de 2010 02:37
    Moderador
  • Felipe, valeu a força mas é muita informação de uma vez só pra minha cabeça :(

     

    Não teria um link com algum conteúdo mais "direto"?

     

    Obrigado.

    sexta-feira, 24 de dezembro de 2010 14:21
  • Boa tarde,

     

    Verifique se não há nenhum log de replicação no event viewer e execute o DCDIAG para ver se ele exibe algo. Cole aqui se possível.

     

    att.


    MCP, MCDST e MCSA 2003
    sexta-feira, 24 de dezembro de 2010 17:42
  • Bom dia,

    vc mencionou filial e sites, a sua questão deve estar relacionada com a replicação inter-site, provavelmente, já que a replicação intra-site ocorre quase que instantaneamente.

    Nos informe como estão configurados os sites (Nomes e Subnets) e nos informe a localização de cada DC. Veja também quem é o DC que possui a role de PDC Emulator. Para isso, basta digitar no prompt: netdom query fsmo

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA & MCSE on Windows Server 2003 + MCTS + MCITP
    segunda-feira, 27 de dezembro de 2010 09:27
  • Olá D. Cardoso.

    Alguma novidade sobre o problema?

     

    Abraço.

     


    Richard Juhasz
    quarta-feira, 29 de dezembro de 2010 18:41
  • D. Cardoso,

    Na verdade o que deve estar ocorrendo é que esse seu DC da filial não está autenticando os usuários por algum motivo a ser investigado. Depois que criar uma conta e conseguir logar no prompt de comando execute o seguinte comando

    set logonserver

    ele irá retornar qual DC realizou a autenticação do usuário. Veja e nos retorne, pois como vc mesmo disse não há necessidade de aguardar se você está criando a conta do usuário no site local onde o usuário irá logar em uma estação.

    Aguardo.

    _____________________________________

    Elmo Baraúna (MCP - MCDST - MCSA - MCT)

    quarta-feira, 29 de dezembro de 2010 19:50
    Moderador
  • Srs,


    Alguma novidade?


    Erick Albuquerque
    Blog: http://erickalbuquerque.com.br |
    Artigos IIS: http://iisbrasil.wordpress.com
    Twitter: @_ealbuquerque
    Linkedin: http://br.linkedin.com/in/easantos
    Winseg.Org
    terça-feira, 4 de janeiro de 2011 13:45
    Moderador
  • Olá D. Cardoso.

    Alguma novidade sobre o problema?

     

    Abraço.


    Richard Juhasz
    quinta-feira, 6 de janeiro de 2011 17:31
  • Boa noite,

    a demora para disponibilizar a conta entre todos os Sites da empresa se dá em função do intervalo de replicação.

    Nas propriedades de cada link, tente ajustar esse valor (padrão 180 minutos) para um valor menor e que se ajuste ao panorama da sua empresa. Diminuindo esse intervalo, a replicação ocorrerá mais rápido, e os objetos criados em um site serão replicados para os outros mais rapidamente.

    Tenha cuidado, pois isso aumenta o volume de replicação, logo, o volume de tráfego.

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA & MCSE on Windows Server 2003 + MCTS + MCITP
    • Marcado como Resposta Richard Juhasz segunda-feira, 10 de janeiro de 2011 16:12
    quinta-feira, 6 de janeiro de 2011 21:38
  • D. Cardoso,

    Na verdade o que deve estar ocorrendo é que esse seu DC da filial não está autenticando os usuários por algum motivo a ser investigado. Depois que criar uma conta e conseguir logar no prompt de comando execute o seguinte comando

    set logonserver

    ele irá retornar qual DC realizou a autenticação do usuário. Veja e nos retorne, pois como vc mesmo disse não há necessidade de aguardar se você está criando a conta do usuário no site local onde o usuário irá logar em uma estação.

    Aguardo.

    _____________________________________

    Elmo Baraúna (MCP - MCDST - MCSA - MCT)


    Muito provavelmente esse DC não está autenticando usuários. Por isso mesmo criando a conta de usuário nesse DC a autenticação demora, isso ocorre porque como o usuário está se autenticando em outro DC já que esse não está autenticando é necessário aguardar o tempo de replicação entre esse DC (onde a conta foi criada) e os demais DC que irá atender a solicitação de autenticação.

    O processo de replicação das partições que incluem, por exemplo, os objetos do AD como usuários e computadores é diferente e independente do processo de replicação do Sysvol, que utiliza o FRS. Como o sysvol (compartilhamentos administrativos) e o netlogon não devem estar disponiveis esse DC não autentica usuário, mas replicada sua base das partições normalmente.

    Verifique a existência desses compartilhamentos nesse DC que está "demorando" para autenticar (na verdade não está autenticando) \\nome_do_DC\sysvol que não deve existir. Verifique as mensagens no log do visualizador de eventos em especial as referentes ao DFS. Verifique, também, se o serviço de replicação de arquivos está ativo.

    Identificando o problema partiremos para como solucioná-lo o que irá acabar com essa lentidão na autenticação dos seus usuários.

    Qualquer dúvida post para que possamos lhe ajudar.

    ____________________________________

    Elmo Baraúna (MCP - MCDST - MCSA - MCT)

    • Marcado como Resposta Richard Juhasz segunda-feira, 10 de janeiro de 2011 16:12
    sexta-feira, 7 de janeiro de 2011 03:40
    Moderador