none
Problemi di accesso con utenti Active Directory RRS feed

  • Domanda

  • Salve,

    da 1 mesetto circa mi capita, in maniera del tutto casuale, che non si riesca ad accedere ad un server (fino ad ora il problema si è presentato su 2 macchine distinte) con utenti active directory (utenti che su altri server e sui PC accedono regolarmente).

    Al tentativo di accesso compare l'errore "Username o password non corretti", se accedo con account locale non ho problemi.

    Non si accede nemmeno alle condivisioni o a qualsiasi cosa sul server che richieda autenticazione AD

    L'unico modo per risolvere è riavviare il server. Fino ad ora non sono riuscita a capire quale sia il problema.

    Nel registro eventi dei server che da problemi e del Domain controller non trovo niente che mi possa aiutare ad identificare il problema.

    Sul domain controller trovo dei controlli auditing non riusciti e un errore kerberos:

    <?xml version="1.0" encoding="UTF-8" standalone="true"?> -<Events> -<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> -<System> <Provider EventSourceName="Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" Name="Microsoft-Windows-Security-Kerberos"/> <EventID Qualifiers="16384">4</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2020-01-23T15:32:58.843877100Z"/> <EventRecordID>5485</EventRecordID> <Correlation/> <Execution ThreadID="0" ProcessID="0"/> <Channel>System</Channel> <Computer>DOMAINCONTROLLER</Computer> <Security/> </System> -<EventData> <Data Name="Server">SERVER$</Data> <Data Name="TargetRealm">DOMINIO</Data> <Data Name="Targetname">cifs/SERVER</Data> <Data Name="ClientRealm">DOMINIO</Data> <Binary/> </EventData> -<RenderingInfo Culture="it-IT"> <Message>Client Kerberos: ricevuto errore KRB_AP_ERR_MODIFIED dal server SERVER$. Nome di destinazione utilizzato: cifs/SERVER.

    Tale errore indica che il server di destinazione non è stato in grado di decrittografare il ticket fornito dal client.

    Ciò può accadere quando il nome dell'entità server (SPN) di destinazione è registrato in un account diverso da quello utilizzato dal servizio di destinazione.

    Verificare che l'SPN di destinazione sia registrato solo nell'account utilizzato dal server.

    Questo errore può verificarsi anche quando la password dell'account del servizio di destinazione è diversa da quella configurata nel Centro distribuzione chiavi (KDC) Kerberos per tale servizio di destinazione.

    Verificare che il servizio sul server e il KDC siano configurati in modo da utilizzare la stessa password.

    Se il nome del server non è completo e il dominio di destinazione (DOMINIO) è diverso dal dominio client (DOMINIO),

    verificare che in entrambi i domini esistano account server con nomi identici oppure utilizzare il nome completo per identificare il server.

    </Message> <Level>Errore</Level> <Task/> <Opcode/> <Channel/> <Provider>Microsoft-Windows-Security-Kerberos</Provider> -<Keywords> <Keyword>Classico</Keyword> </Keywords> </RenderingInfo> </Event> </Events>


     

    venerdì 24 gennaio 2020 11:30

Risposte

Tutte le risposte

  • Ciao, mi pare di aver capito che sia un member server.

    Però mancano dati essenziali. Server che piattaforma? Aggiornato? non aggiornato? Quanti DC hai?

    E' nella stessa sede degli altri?

    venerdì 24 gennaio 2020 19:41
    Moderatore
  • Ciao Francesca, collegandomi alla risposta di Alessandro sarebbe utile avere le seguenti informazioni. Non ho capito se per "accedere" intendi da console, da RDP o da rete. Oltre a descrivere l'infrastruttura potresti postare un ipconfig /all del DC, dei server incriminati (e se l'accesso avviene da remoto anche del client).

    Saluti
    Nino


    www.testerlab.it

    sabato 25 gennaio 2020 18:54
    Moderatore
  • Il DC è uno ed è Windows Server 2016.

    Per il momento il problema si è presentato su un Windows Server 2012 e su un Windows Server 2008 entrambi aggiornati.

    La rete e la sede dei server sono le stesse

    domenica 26 gennaio 2020 14:09
  • Ciao Nino, 

    il problema di accesso si presenta in tutti i casi che hai indicato, da console, da RDP e da rete.

    Al momento non ho sotto mano la configurazione IP da poterti postare ma ho controllato e tutti i server e i client sono configurati correttamente.

    Il problema come dicevo si è presentato su 2 server diversi in momenti diversi, in entrambi i casi in giornate in cui sul DC non erano state fatte modifiche.

    Da tutti i server (compresi quelli che presentavano il problema) e da tutti i client non si riusciva ad accedere in nessun modo se non con utente locale.

    Preciso che si parla di server virtuali tutti all'interno dello stesso vcenter vmware.

    domenica 26 gennaio 2020 14:13
  • dai due member server potresti provare ad eseguire verso il dc il comando

    netdom /resetpassword 



    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 27 gennaio 2020 11:13
    Moderatore
  • Serve per reimpostare la password dell'account AD giusto?

    Ma la password è corretta. Il problema è che non si riesce ad accedere con nessun account di dominio, solo con quelli locali.

    Mentre su altri server e client con gli stessi account di dominio si accede senza problema.

    Questa mattina il problema si è presentato anche su un client Windows 7

    lunedì 27 gennaio 2020 12:36
  • Serve per reimpostare la password dell'account AD giusto?

    Ma la password è corretta. Il problema è che non si riesce ad accedere con nessun account di dominio, solo con quelli locali.

    Mentre su altri server e client con gli stessi account di dominio si accede senza problema.

    Questa mattina il problema si è presentato anche su un client Windows 7

    no, serve per reimpostare la password dell'account computer, non di quello user. in quel modo la macchina server member si autentica correttamente verso il suo domain controller

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 27 gennaio 2020 12:59
    Moderatore