Problema ENORME su account Active Directory

mercoledì 30 gennaio 2008 - 16.34

Elenco Threads

Stanze Forum

Aggiungi ai Preferiti

Cerca nel forum

marqo Profilo | Newbie

3 messaggi | Data Invio: mer 30 gen 2008 - 16:34

Buongiorno a tutti,
vi spiego brevemente il mio problema, sperando qualcuno di voi possa gettarvi luce.
Ho un dominio gestito da un Domain Controller Windows 2003.
sino ad oggi tutto bene, oggi all'improvviso un mio utente - dopo che si era loggato correttamente e aveva caricato sul PC il suo roaming profile perfettamente - mentre prova ad accedere ad una risorsa di rete si vede presentare la schermata in cui gli viene chiesto di inserire nome utente e password, come se non venisse riconosciuto.
Proviamo ad effettuare un logoff e a riconnetterci al dominio: non ce la fa, ogni volta che inserisco nome utente e password nella schermata di logon, mi appare un messaggio in cui mi viene detto che l'utente è bloccato.
Effettivamente lo è, ogni volta che lui inserisce la password per il logon, il suo account si blocca.
Lo sblocco a mano, gli cambio la password, niente da fare... ogni volta che viene eseguito il logon l'account viene bloccato.
Vi è mai capitato qualcosa del genere?
Sapete aiutarmi a capire cosa si può fare?
Su un forum inglese ho trovato un contributo che diceva potesse essere dovuto alle impostazione del valore di registro LMCompatibility, ho provato a correggerlo come suggerito, ma niente da fare; non è lui.
Cancellare l'utenza mi sembra esagerato, anche perché ho degli applicativi che si interfacciano con Active Directory, se cancello e ricreo l'utente, il token ad esso associato cambia e per i miei applicativi sarebbero comunque due utenti differenti. Ciò mi creerebbe casini a non finire.
Ringrazio sin da ora chiunque voglia provare a contribuire alla soluzione del mio problemone.
Se posso aiutarvi con ulteriori informazioni, non esitate a chiedere.
Grazie

Marco

MarKonE Profilo | Guru

2.074 messaggi | Data Invio: mer 30 gen 2008 - 21:01

Ciao e benvenuto su DNH !

Nel tuo dominio è presente un solo Domain Controller ?

Hai verificato se sul server appaiono errori particolari nel registro eventi al tentativo di logon ?

Nel frattempo dai un'occhiata a questi tools : http://www.microsoft.com/downloads/details.aspx?FamilyID=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

Potrebbero risultare utili per capire dove sta l'arcano !

Ciao!

My Blog... http://blogs.dotnethell.it/Mark/

marqo Profilo | Newbie

3 messaggi | Data Invio: gio 31 gen 2008 - 09:01

Grazie mille,
ho scaricato il pacchetto di tool che mi hai indicato.
Ho provato, sul primary domain controller, a lanciare LockoutStatus.exe.
E' la prima volta che lo uso, però mi sembra che il risultato ottenuto sia bizzarro.

Il tool è molto semplice da usare, mi chiede che utenza voglio esaminare, inserisco quindi l'account su cui ho dei problemi. Facciamo che si chiami ciccio.pasticcio per semplicità.
LockoutStatus.exe mi dice che questo utente viene "riconosciuto" sia sul mio Primary Domain Controller, sia sul mio Backup Domain Controller.
Noto che l'account è in stato "Locked", se scelgo di sbloccarlo, vedo che poi sul mio Backup Domain Controller ogni secondo aumenta il numero di password sbagliate legato all'utente e quindi mi si blocca nuovamente.
Succede quindi qualcosa per cui il mio BDC blocca l'account per un eccessivo numero di password sbagliate.

Al di là dell'aver trovato dove il mio account si blocca, mi rimane il dubbio sul perché.
Qualcuno di voi potrebbe aiutarmi a capire come ovviare al problema.
Poiché il tutto avviene sul BDC, c'è un modo per far sì di riportare il BDC ad uno stato precedente funzionante oppure, scusate i termnini forse non esatti, resettare il BDC e far sì di crearlo nuovamente partendo dal PDC?

Grazie mille, spero di potervi leggere quanto prima con buone notizie ;-)

Marco

MarKonE Profilo | Guru

2.074 messaggi | Data Invio: gio 31 gen 2008 - 09:11

Ciao, non è che per caso c'è un qualche task schedulato che tenta di eseguire alcune operazioni utilizzando l'utente ciccio.pasticcio con password sbagliata ? Un qualche servizio settato per avviarsi con le credenziali in questione ?

Quanti Domain Controller ci sono nel tuo dominio ? Il concetto di BDC è legato ai vecchi domini NT.

Ciao!

My Blog... http://blogs.dotnethell.it/Mark/

marqo Profilo | Newbie

3 messaggi | Data Invio: gio 31 gen 2008 - 09:59

Non sapevo che ormai i termini PDC e BDC fossero vetusti, colpa mia ;)

Non mi sovviene nessun task che automaticamente utilizzi l'account per autenticarsi.

C'è la possibilità di dare una rinfrescata al Domain Controller che mi dà problemi (ne ho solo due) dicendogli di allinearsi / sincronizzarsi / mettersi d'accordo con quello funzionante?

Grazie mille MarkOne

MarKonE Profilo | Guru

2.074 messaggi | Data Invio: gio 31 gen 2008 - 11:57

>Non mi sovviene nessun task che automaticamente utilizzi l'account
>per autenticarsi.

Ed i famosi applicativi di cui parlavi ? Come si interfacciano al db di Active Directory ?

>C'è la possibilità di dare una rinfrescata al Domain Controller
>che mi dà problemi (ne ho solo due) dicendogli di allinearsi
>/ sincronizzarsi / mettersi d'accordo con quello funzionante?

Normalmente i DC comunicano di continuo tra loro propagando reciprocamente eventuali aggiornamenti, quindi direi che non c'è la necessità di forzare il riallineamento.

Potresti installare i Support Tools :
http://technet2.microsoft.com/windowsserver/en/library/aa376482-83f8-41e3-96fc-870ed0ea0c0b1033.mspx?mfr=true

E successivamente lanciare i comandi

dcdiag

netdiag

.

Dovrebbero venirti evidenziati eventuali problemi di configurazione o di salute

>Grazie mille MarkOne

Prego. Spero di riuscire ad aiutarti !

Ciao!
My Blog... http://blogs.dotnethell.it/Mark/

Torna su

Stanze Forum

Elenco Threads

Partecipa anche tu! Registrati!

Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !