Todos os clientes perderam o acesso ao servidor

1

Eu acordei para uma ligação hoje de manhã que muitos (mas não todos) dos PCs do escritório não conseguiam acessar seus compartilhamentos de rede. Esses PCs também estavam com problemas para fazer login.

A mensagem de erro é basicamente que esses PCs perderam a relação de confiança com o controlador de domínio.

Alguns PCs foram restaurados aleatoriamente ao longo do tempo, com uma combinação de reinicializações e apenas esperando.

Eu não tenho ideia do que diabos está acontecendo aqui. Temos um pequeno escritório - 10 PCs com o Vista e um único servidor Windows 2003R2. Tudo estava funcionando bem nas últimas semanas, e não houve nenhuma mudança para falar.

ATUALIZAÇÃO: Depois de verificar os registros, a topologia da minha rede está corrompida. Os logs no meu servidor local, o PDC, foram inconclusivos. Mas as máquinas clientes estavam cheias de erros nos logs referentes aos problemas do Kerberos com um servidor diferente. Acontece que temos um escritório satélite executando o Win2003 Server, e esse servidor não deve ter nada a ver com o escritório local, a não ser talvez com serviços de replicação de backup. Mas por alguma razão, a relação de confiança rompeu com o servidor de satélite, e meus clientes estão de alguma forma usando isso para autenticação e tickets do kerberos. Claramente, isso está acima de minha cabeça (nós terceirizamos a administração do sistema) e teremos que arranjar alguém para vê-lo.

    
por Ankur Goel 04.09.2009 / 16:46

3 respostas

1

Eu sugiro que você verifique os logs do Sistema, App e Segurança no servidor local 2K3, (desde que seja seu DC também?) Se NÃO for seu DC, verifique nas máquinas locais para ver em qual DC eles estão autenticando . Verifique os logs nas máquinas locais também, isso poderia lançar alguma luz sobre o assunto.

Houve alguma alteração no domínio ou na rede local na noite anterior? Qualquer software remoto implantado via localização central, como Altiris, etc? Fora do comum, sem saber sua rede, eu sugeriria que alguém ou algo mudou em seu domínio e possivelmente não replicou completamente para o seu escritório lá. Ou, errou completamente.

Além disso, verifique a replicação, o status do catálogo global, etc. Se as reinicializações estiverem "trazendo-as de volta", parece que pode ser apenas um caso em que suas máquinas não conseguem encontrar o DC para autenticar, etc.

Mais informações ou detalhes sobre a configuração de domínio / rede que você pode compartilhar?

    
por 04.09.2009 / 17:08
2

Esses PCs estão associados ao domínio? Se eles verificarem que seu horário está configurado para o mesmo que o servidor.

    
por 04.09.2009 / 16:56
1

A Microsoft tem a suposição ridícula de que os DCs podem sempre conversar uns com os outros. Se você tiver um controlador de domínio em um escritório satélite e o link cair na hora errada, as chaves do kerberos ficarão fora de sincronia e seus clientes podem ou não estar fora de sincronia também. Corrigir isso é uma grande dor, tivemos que registrar uma chamada de suporte com a Microsoft. No nosso caso, depois de termos corrigido, definimos uma política de grupo para evitar que as chaves do kerberos mudem.
Faça isso através de:

Computer Config -> Windows Settings -> Security Settings -> 
   Local Policies/Security Options -> Domain Member -> 
      Domain member: Disable machine account password changes = Enabled

Supostamente isso reduz a segurança (no caso de alguém interceptar sua chave Kerberos e quebrá-la), mas pessoalmente eu não vejo isso como um grande risco.
Acordar em um escritório que não consegue fazer login é um risco maior.

    
por 05.09.2009 / 18:45