Error en los clientes de un nuevo subdominio

Algún error en el Visor de sucesos?

Saludos,

Marc
MCP - MVP Windows Shell/User
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.


"Kepa Arrutia López" wrote:

Hola a todos,

Desde hace unos días hemos ampliado nuestro bosque y me aparece un error que
en 5 años nunca había visto. Realmente me tiene loco.

En nuestro bosque tenemos varios dominios con cientos de clientes y
cualquiera tiene acceso a la lista de usuarios del bosque para establecer
los permisos. Ahora, los del nuevo dominio, responden de forma desigual. El
propio servidor, y un cliente Windows Server 2003 no tienen problemas, pero
los clientes XP que hemos probado son incapaces de mostrar cuentas de
usuario de otro dominio que no sea el propio.

El mensaje de error: "No es posible la conexión con la autoridad de
seguridad local"

Quiero pensar que si funciona para un Windows Server 2003 el servidor está
bien replicado, respondiendo y con el DNS como debe ser. ¿Algún cambio en
las politicas de acceso? ¿Restricciones en la seguridad de las conexiones
que el WS2003 si cumple?

Gracias por la ayuda que podais prestarme.

Un saludo,
Kepa Arrutia López

Hola Marc, gracias por responder.

Errores ninguno, aunque comparando entre la máquina que funciona y la que
no, dos advertencias:
1 - LSASRV - SPNEGO (negociador) - 40961 - El sistema de seguridad no puede
establecer una conexión segura con el servidor DNS/maquina.com. No había un
protocolo de autentificación disponible.
+ Esta máquina.com no es un servidor DNS integrado con Active Directory, y
no se usa para estos clientes, que tienen otros servidores disponibles y
configurados, por lo que no entiendo de que "manga" se lo saca. No le había
prestado atención, precisamente por que no debería usarlo.

2 - LSASRV - SPNEGO (negociador) - 40960 - El sistema de seguridad detectó
un intento de ataque para degradar el servidor
LDAP/dc.subdominio.com/ El código de error del
protocolo de autenticación Kerberos era "No hay servidores de inicio de
sesión disponibles para atender la petición de inicio de sesión
(0xc000005e)".
+ Siendo subdominio.com uno de los consultados a los que no puedo acceder, y
dc.subdominio.com su controlador de dominio.
+ La advertencia 40961 se repite también con la información LDAP junto al
40960.

¿Cual puede ser el motivo de que el cliente siga intentando usar ese DNS?
Visto así, ¿podría ser el origen del problema? ¿Como fuerzo que use los DNSs
que debe? (Ese servidor DNS se usa tipicamente en máquinas no conectadas a
Active Directory, es que aquí tenemos un poco de todo ;-)

Antes de que lo pregunteís, la configuración de red es estática, y el
"ipconfig /all" no muestra maquina.com por ningún lado. En cualquier caso, a
su dominio se conecta sin novedad.

Gracias por la ayuda que podais prestarme.

Un saludo,
Kepa Arrutia López
.
"Marc [MVP Windows]" escribió en el mensaje
news:

Algún error en el Visor de sucesos?

Saludos,

Marc
MCP - MVP Windows Shell/User
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no
otorga ningún derecho.


"Kepa Arrutia López" wrote:

Hola a todos,

Desde hace unos días hemos ampliado nuestro bosque y me aparece un error
que
en 5 años nunca había visto. Realmente me tiene loco.

En nuestro bosque tenemos varios dominios con cientos de clientes y
cualquiera tiene acceso a la lista de usuarios del bosque para establecer
los permisos. Ahora, los del nuevo dominio, responden de forma desigual.
El
propio servidor, y un cliente Windows Server 2003 no tienen problemas,
pero
los clientes XP que hemos probado son incapaces de mostrar cuentas de
usuario de otro dominio que no sea el propio.

El mensaje de error: "No es posible la conexión con la autoridad de
seguridad local"

Quiero pensar que si funciona para un Windows Server 2003 el servidor
está
bien replicado, respondiendo y con el DNS como debe ser. ¿Algún cambio en
las politicas de acceso? ¿Restricciones en la seguridad de las conexiones
que el WS2003 si cumple?

Gracias por la ayuda que podais prestarme.

Un saludo,
Kepa Arrutia López

Sobre los errores, mira en www.eventid.net donde hay varios casos y sus posibles soluciones.


Saludos

Marc
MCP - MVP Windows Shell/User
Oracle9i Certified Associate (OCA)
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights. You assume all risk for your use.


"Kepa Arrutia López" escribió en el mensaje news:

Hola Marc, gracias por responder.

Errores ninguno, aunque comparando entre la máquina que funciona y la que
no, dos advertencias:
1 - LSASRV - SPNEGO (negociador) - 40961 - El sistema de seguridad no puede
establecer una conexión segura con el servidor DNS/maquina.com. No había un
protocolo de autentificación disponible.
+ Esta máquina.com no es un servidor DNS integrado con Active Directory, y
no se usa para estos clientes, que tienen otros servidores disponibles y
configurados, por lo que no entiendo de que "manga" se lo saca. No le había
prestado atención, precisamente por que no debería usarlo.

2 - LSASRV - SPNEGO (negociador) - 40960 - El sistema de seguridad detectó
un intento de ataque para degradar el servidor
LDAP/dc.subdominio.com/ El código de error del
protocolo de autenticación Kerberos era "No hay servidores de inicio de
sesión disponibles para atender la petición de inicio de sesión
(0xc000005e)".
+ Siendo subdominio.com uno de los consultados a los que no puedo acceder, y
dc.subdominio.com su controlador de dominio.
+ La advertencia 40961 se repite también con la información LDAP junto al
40960.

¿Cual puede ser el motivo de que el cliente siga intentando usar ese DNS?
Visto así, ¿podría ser el origen del problema? ¿Como fuerzo que use los DNSs
que debe? (Ese servidor DNS se usa tipicamente en máquinas no conectadas a
Active Directory, es que aquí tenemos un poco de todo ;-)

Antes de que lo pregunteís, la configuración de red es estática, y el
"ipconfig /all" no muestra maquina.com por ningún lado. En cualquier caso, a
su dominio se conecta sin novedad.

Gracias por la ayuda que podais prestarme.

Un saludo,
Kepa Arrutia López
.
"Marc [MVP Windows]" escribió en el mensaje
news:

Algún error en el Visor de sucesos?

Saludos,

Marc
MCP - MVP Windows Shell/User
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no
otorga ningún derecho.


"Kepa Arrutia López" wrote:

Hola a todos,

Desde hace unos días hemos ampliado nuestro bosque y me aparece un error
que
en 5 años nunca había visto. Realmente me tiene loco.

En nuestro bosque tenemos varios dominios con cientos de clientes y
cualquiera tiene acceso a la lista de usuarios del bosque para establecer
los permisos. Ahora, los del nuevo dominio, responden de forma desigual.
El
propio servidor, y un cliente Windows Server 2003 no tienen problemas,
pero
los clientes XP que hemos probado son incapaces de mostrar cuentas de
usuario de otro dominio que no sea el propio.

El mensaje de error: "No es posible la conexión con la autoridad de
seguridad local"

Quiero pensar que si funciona para un Windows Server 2003 el servidor
está
bien replicado, respondiendo y con el DNS como debe ser. ¿Algún cambio en
las politicas de acceso? ¿Restricciones en la seguridad de las conexiones
que el WS2003 si cumple?

Gracias por la ayuda que podais prestarme.

Un saludo,
Kepa Arrutia López