Discussione:
W2003: segnalazioni da Kerberos LsaSrv W32Time
(troppo vecchio per rispondere)
Gianluca Pezzoli
2007-06-06 08:56:34 UTC
Permalink
Buongiorno a tutti,

ho due 2003 Server R2 SP1 in rete con 40 XP SP2.
E' attivo un dominio gestito dai 2 server.

Il server (lo chiamerò Primario) che ha problemi ha 2 schede di rete. Attualmente
una scheda è scollegata dalla rete.
Il server Primario ed i 40 PC non accedono ad internet.
L'altro server ha anche lui due schede di rete: una si collega alla la rete
interna. Una si collega a internet.

Il server primario all'accensione presenta la seguente sequenza di eventi
Log di sistema
1) ID 40960, Origine LSASRV, Categoria: SPNEGO
Il sistema di protezione ha rilevato un errore di autenticazione sul
server ldap/Primario.NomeDominio.local.
Il codice di errore del protocollo di autenticazione Kerberos è "Nessun
server di accesso è attualmente
disponibile per soddisfare la richiesta di accesso. (0xc000005e). Dati:
5e 00 00 c0

2) ID 5, Origine Kerberos, Categoria: nessuno
Il client Kerberos ha ricevuto un errore KRB_AP_ERR_TKT_NYV dal server
WS064. Questo indica
che il ticket utilizzato per questo server non è ancora valido (rispetto
all'ora del server). Contattare
l'amministratore di sistema per verificare che l'ra del client e quella
del server siano sincronizzate
e che il KDC nell'area di autenticazione NomeDominio.Local sia sincronizzato
con il KDC nell'area di
autenticazione client.

3) ID 40960, Origine LSASRV, Categoria: SPNEGO
Il sistema di protezione ha rilevato un errore di autenticazione sul
server cifs/WS064.NomeDominio.local.
Il codice di errore del protocollo di autenticazione Kerberos è "Falllimento
operazione (0xc0000001). Dati: 01 00 00 c0

4) ID 36, Origine W32Time, Categoria: nessuno
Il servizio Ora non sincronizza l'ora del sistema da 86400 secondi in
quanto nessuno dei provider del
servizio ha fornito un timestamp utilizzabile. Il servizio Ora non è
più sincronizzato e non può fornire l'ora
ad altri client né aggiornare l'orologio di sistema.

Log del Server DNS
1) ID 4015, Origine DNS, Categoria: nessuno
Il server DNS ha rilevato un errore critico da Active Directory. Controllare
che Active Directory
funzioni correttamente. L'errore è nei dati. Le informazioni sull'errore
(che potrebbero non essere presenti)
sono "". Dati: 51 00 00 00 (Q...)

2) ID 4004, Origine DNS, Categoria: nessuno
Il server DNS non è riuscito a completare l'enumerazione del servizio
di directory della zona .. Il server DNS è configurato
in modo da utilizzare le informazioni di Active Directory per questa
zona e non riesce a caricare la zona senza accedere
al servizio. Verificare il corretto funzionamento di Active Directory
e ripetere l'enumerazione della zona. I dati dell'evento
contengono l'errore. Le informazioni sull'errore (che potrebbero non
essere presenti) sono "". Dati: 2a 22 00 00 (*#..)

3) ID 4004, Origine DNS, Categoria: nessuno
Il server DNS non è riuscito a completare l'enumerazione del servizio
di directory della zona _msdcs.NomeDominio.local.
Il server DNS è configurato in modo da utilizzare le informazioni di
Active Directory per questa zona e non riesce a caricare
la zona senza accedere al servizio. Verificare il corretto funzionamento
di Active Directory e ripetere l'enumerazione della zona.
I dati dell'evento contengono l'errore. Le informazioni sull'errore (che
potrebbero non essere presenti) sono "". Dati: 2a 22 00 00 (*#..)

4) ID 4004, Origine DNS, Categoria: nessuno
Il server DNS non è riuscito a completare l'enumerazione del servizio
di directory della zona 0.0.10.in-addr.arpa.
Il server DNS è configurato in modo da utilizzare le informazioni di
Active Directory per questa zona e non riesce a caricare
la zona senza accedere al servizio. Verificare il corretto funzionamento
di Active Directory e ripetere l'enumerazione della zona.
I dati dell'evento contengono l'errore. Le informazioni sull'errore (che
potrebbero non essere presenti) sono "". Dati: 2a 22 00 00 (*#..)

5) ID 4004, Origine DNS, Categoria: nessuno
Il server DNS non è riuscito a completare l'enumerazione del servizio
di directory della zona NomeDominio.local.
Il server DNS è configurato in modo da utilizzare le informazioni di
Active Directory per questa zona e non riesce a caricare
la zona senza accedere al servizio. Verificare il corretto funzionamento
di Active Directory e ripetere l'enumerazione della zona.
I dati dell'evento contengono l'errore. Le informazioni sull'errore (che
potrebbero non essere presenti) sono "". Dati: 2a 22 00 00 (*#..)


Ho cercato in internet.
Il risultato è stato:
- ho creato manualmente (non c'era) nel DNS una zona di ricerca inversa 10.0.0.x
contenente un record SOA che punta a Primario.NomeDominio.local.
- ho reso il server primario affidabile con w32tm /config /computer:nomeServer2003
/reliable:YES

C'è qualcuno che può darmi una mano?

Grazie in anticipo

Gianluca Pezzoli
Edoardo Benussi [MVP]
2007-06-06 12:26:50 UTC
Permalink
Post by Gianluca Pezzoli
C'è qualcuno che può darmi una mano?
ma il server "primario" quando si avvia
ha l'ora corretta ?
si sincronizza con un server ntp esterno ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Gianluca Pezzoli
2007-06-06 16:40:51 UTC
Permalink
Hello Edoardo Benussi [MVP],

Sì, l'ora è corretta. Io non ho configurato nessun ntp server esterno.
Potrebbe forse sincronizzarsi con l'altro server che vede internet, penso.

Per sicurezza ho fatto w32tm / monitor e questo è il risultato:

srv001.NomeDominio.local *** PDC *** [10.0.0.2]:
ICMP: 0ms relay
NTP: +0.000000s offset from srv001.NomeDominio.local
RefID: 'LOCL' [76.79.67.76]

Ma io 76.79.67.76 non l'ho mai messo :-(

Che faccio ?

Grazie mille
Post by Edoardo Benussi [MVP]
Post by Gianluca Pezzoli
C'è qualcuno che può darmi una mano?
ma il server "primario" quando si avvia
ha l'ora corretta ?
si sincronizza con un server ntp esterno ?
Edoardo Benussi [MVP]
2007-06-07 07:19:48 UTC
Permalink
Post by Gianluca Pezzoli
Hello Edoardo Benussi [MVP],
Sì, l'ora è corretta. Io non ho configurato nessun ntp server esterno.
Potrebbe forse sincronizzarsi con l'altro server che vede internet, penso.
ICMP: 0ms relay
NTP: +0.000000s offset from srv001.NomeDominio.local
RefID: 'LOCL' [76.79.67.76]
Ma io 76.79.67.76 non l'ho mai messo :-(
Che faccio ?
usa il comando
net time /setsntp:ien.time.it
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Gianluca Pezzoli
2007-06-13 06:54:15 UTC
Permalink
Hello Edoardo Benussi [MVP],

Grazie per l'aiuto.
L'ho usato ed ho aspettato il primo riavvio del sistema per vedere cosa succedeva.

Esito:
Il Log del Server DNS adesso sembra ok.

Nel Log di sistema trovo ancora i seguenti eventi (nella sequenza con cui
si verificano):

1) ID 40960, Origine LSASRV, Categoria: SPNEGO
Il sistema di protezione ha rilevato un errore di autenticazione sul
server ldap/Primario.NomeDominio.local.
Il codice di errore del protocollo di autenticazione Kerberos è "Nessun
server di accesso è attualmente
disponibile per soddisfare la richiesta di accesso. (0xc000005e). Dati:
5e 00 00 c0

2) ID 5, Origine Kerberos, Categoria: nessuno
Il client Kerberos ha ricevuto un errore KRB_AP_ERR_TKT_NYV dal server
WS064. Questo indica
che il ticket utilizzato per questo server non è ancora valido (rispetto
all'ora del server). Contattare
l'amministratore di sistema per verificare che l'ra del client e quella
del server siano sincronizzate
e che il KDC nell'area di autenticazione NomeDominio.Local sia sincronizzato
con il KDC nell'area di
autenticazione client.

3) ID 40960, Origine LSASRV, Categoria: SPNEGO
Il sistema di protezione ha rilevato un errore di autenticazione sul
server cifs/WS064.NomeDominio.local.
Il codice di errore del protocollo di autenticazione Kerberos è "Falllimento
operazione (0xc0000001). Dati: 01 00 00 c0

Posso fare qualcos'altro ?

Grazie in anticipo
Gianluca Pezzoli
Post by Gianluca Pezzoli
Sì, l'ora è corretta. Io non ho configurato nessun ntp server esterno.
Potrebbe forse sincronizzarsi con l'altro server che vede internet, penso.
ICMP: 0ms relay
NTP: +0.000000s offset from srv001.NomeDominio.local
RefID: 'LOCL' [76.79.67.76]
Ma io 76.79.67.76 non l'ho mai messo :-(
Che faccio ?
Grazie mille
Post by Gianluca Pezzoli
.local
RefID: 'LOCL' [76.79.67.76]
Ma io 76.79.67.76 non l'ho mai messo :-(
Che faccio ?
usa il comando
net time /setsntp:ien.time.it
Edoardo Benussi [MVP]
2007-06-13 10:03:11 UTC
Permalink
Post by Gianluca Pezzoli
Hello Edoardo Benussi [MVP],
Grazie per l'aiuto.
L'ho usato ed ho aspettato il primo riavvio del sistema per vedere cosa succedeva.
Il Log del Server DNS adesso sembra ok.
Nel Log di sistema trovo ancora i seguenti eventi (nella sequenza con
1) ID 40960, Origine LSASRV, Categoria: SPNEGO
Il sistema di protezione ha rilevato un errore di autenticazione sul
server ldap/Primario.NomeDominio.local.
Il codice di errore del protocollo di autenticazione Kerberos è
"Nessun server di accesso è attualmente
disponibile per soddisfare la richiesta di accesso. (0xc000005e).
Dati: 5e 00 00 c0
il servizio kerberos key distribution server è avviato ?
Post by Gianluca Pezzoli
2) ID 5, Origine Kerberos, Categoria: nessuno
Il client Kerberos ha ricevuto un errore KRB_AP_ERR_TKT_NYV dal server
WS064. Questo indica
che il ticket utilizzato per questo server non è ancora valido
(rispetto all'ora del server). Contattare
l'amministratore di sistema per verificare che l'ra del client e
quella del server siano sincronizzate
e che il KDC nell'area di autenticazione NomeDominio.Local sia
sincronizzato con il KDC nell'area di
autenticazione client.
chi è WS064 ?
Post by Gianluca Pezzoli
3) ID 40960, Origine LSASRV, Categoria: SPNEGO
Il sistema di protezione ha rilevato un errore di autenticazione sul
server cifs/WS064.NomeDominio.local.
Il codice di errore del protocollo di autenticazione Kerberos è
"Falllimento operazione (0xc0000001). Dati: 01 00 00 c0
Posso fare qualcos'altro ?
io farei il reset della pwd di questo server.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Gianluca Pezzoli
2007-06-20 06:47:33 UTC
Permalink
Hello Edoardo Benussi [MVP],

il servizio kerberos key distribution server è avviato ? Sì
chi è WS064 ? è uno dei PC della rete (in DHCP)
Provo a resettare la password del server.

Grazie mille :-)
Post by Edoardo Benussi [MVP]
Post by Gianluca Pezzoli
Hello Edoardo Benussi [MVP],
Grazie per l'aiuto.
L'ho usato ed ho aspettato il primo riavvio del sistema per vedere cosa succedeva.
Il Log del Server DNS adesso sembra ok.
Nel Log di sistema trovo ancora i seguenti eventi (nella sequenza con
1) ID 40960, Origine LSASRV, Categoria: SPNEGO
Il sistema di protezione ha rilevato un errore di autenticazione sul
server ldap/Primario.NomeDominio.local.
Il codice di errore del protocollo di autenticazione Kerberos è
"Nessun server di accesso è attualmente
disponibile per soddisfare la richiesta di accesso. (0xc000005e).
Dati: 5e 00 00 c0
il servizio kerberos key distribution server è avviato ?
Post by Gianluca Pezzoli
2) ID 5, Origine Kerberos, Categoria: nessuno
Il client Kerberos ha ricevuto un errore KRB_AP_ERR_TKT_NYV dal server
WS064. Questo indica
che il ticket utilizzato per questo server non è ancora valido
(rispetto all'ora del server). Contattare
l'amministratore di sistema per verificare che l'ra del client e
quella del server siano sincronizzate
e che il KDC nell'area di autenticazione NomeDominio.Local sia
sincronizzato con il KDC nell'area di
autenticazione client.
chi è WS064 ?
Post by Gianluca Pezzoli
3) ID 40960, Origine LSASRV, Categoria: SPNEGO
Il sistema di protezione ha rilevato un errore di autenticazione sul
server cifs/WS064.NomeDominio.local.
Il codice di errore del protocollo di autenticazione Kerberos è
"Falllimento operazione (0xc0000001). Dati: 01 00 00 c0
Posso fare qualcos'altro ?
io farei il reset della pwd di questo server.
Edoardo Benussi [MVP]
2007-06-20 10:53:59 UTC
Permalink
Post by Gianluca Pezzoli
Provo a resettare la password del server.
l'hai fatto ?
funziona?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Gianluca Pezzoli
2007-06-20 16:12:49 UTC
Permalink
Hello Edoardo Benussi [MVP],

Causa contrattempi vari l'operazione è stata posticipata a settimana prossima.
Ti farò sapere.

Grazie di tutto intanto.
Ciao
Post by Edoardo Benussi [MVP]
Post by Gianluca Pezzoli
Provo a resettare la password del server.
l'hai fatto ?
funziona?
Gianluca Pezzoli
2007-06-27 15:52:32 UTC
Permalink
Hello Edoardo Benussi [MVP],

Password cambiata. Sett. prox (prossimo riavvio) ti faccio sapere l'esito.
Ciao
Post by Edoardo Benussi [MVP]
Post by Gianluca Pezzoli
Provo a resettare la password del server.
l'hai fatto ?
funziona?
Edoardo Benussi [MVP]
2007-06-28 10:21:36 UTC
Permalink
Post by Gianluca Pezzoli
Hello Edoardo Benussi [MVP],
Password cambiata. Sett. prox (prossimo riavvio) ti faccio sapere
l'esito. Ciao
ok, grazie.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Gianluca Pezzoli
2007-07-04 08:00:30 UTC
Permalink
Hello Edoardo Benussi [MVP],

La situazione è migliorata rispetto a prima.

Nel Log di sistema adesso trovo solo i seguenti eventi (nella sequenza con
cui si verificano):

1) ID 40960, Origine LSASRV, Categoria: SPNEGO
Il sistema di protezione ha rilevato un errore di autenticazione sul
server ldap/Primario.NomeDominio.local.
Il codice di errore del protocollo di autenticazione Kerberos è "Nessun
server di accesso è attualmente
disponibile per soddisfare la richiesta di accesso. (0xc000005e). Dati:
5e 00 00 c0

2) ID 36, Origine W32Time, Categoria: nessuno
Il servizio Ora non sincronizza l'ora del sistema da 86400 secondi in
quanto nessuno dei provider del
servizio ha fornito un timestamp utilizzabile. Il servizio Ora non è
più sincronizzato e non può fornire l'ora
ad altri client né aggiornare l'orologio di sistema.
Controllare gli eventi di sistema in Visualizzatore Eventi per assicurarsi
che non esista un problema più grave.
Dati: nessuno (vuoto)

Sembra funzionare tutto comunque.

Ciao e grazie ancora

Gianluca Pezzol
Edoardo Benussi [MVP]
2007-07-04 14:03:20 UTC
Permalink
Post by Gianluca Pezzoli
Hello Edoardo Benussi [MVP],
La situazione è migliorata rispetto a prima.
Nel Log di sistema adesso trovo solo i seguenti eventi (nella
1) ID 40960, Origine LSASRV, Categoria: SPNEGO
Il sistema di protezione ha rilevato un errore di autenticazione sul
server ldap/Primario.NomeDominio.local.
Il codice di errore del protocollo di autenticazione Kerberos è
"Nessun server di accesso è attualmente
disponibile per soddisfare la richiesta di accesso. (0xc000005e).
Dati: 5e 00 00 c0
questo è solo un warning e non un error
http://www.eventid.net/display.asp?eventid=40960&eventno=8508&source=LSASRV&phase=1
Post by Gianluca Pezzoli
2) ID 36, Origine W32Time, Categoria: nessuno
Il servizio Ora non sincronizza l'ora del sistema da 86400 secondi in
quanto nessuno dei provider del
servizio ha fornito un timestamp utilizzabile. Il servizio Ora non è
più sincronizzato e non può fornire l'ora
ad altri client né aggiornare l'orologio di sistema.
Controllare gli eventi di sistema in Visualizzatore Eventi per
assicurarsi che non esista un problema più grave.
Dati: nessuno (vuoto)
http://www.eventid.net/display.asp?eventid=36&eventno=1405&source=W32Time&phase=1
Post by Gianluca Pezzoli
Sembra funzionare tutto comunque.
continua a tenere sotto controllo il sistema
e se hai bisogno siamo qua.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Continua a leggere su narkive:
Loading...