Discussione:
Isa Server e Kerberos
(troppo vecchio per rispondere)
Claudio73
2006-06-09 11:00:50 UTC
Permalink
Riprendendo il discorso, mi sembra di capire che ci siano problemi di
comunicazione RPC tra il Server di Dominio e Il Server Membro con Su
Isa Server 2k4.

Ho verificato le porte > 1024 aperte per l'RPC ed erano aperte fino
alla 8000 sia su Maindc01 che sul proxy con Isa.

Ora ho ristretto a 4000 e devo riavviare i server.
Edoardo Benussi [MVP]
2006-06-09 11:53:23 UTC
Permalink
Post by Claudio73
Riprendendo il discorso, mi sembra di capire che ci siano problemi di
comunicazione RPC tra il Server di Dominio e Il Server Membro con Su
Isa Server 2k4.
Ho verificato le porte > 1024 aperte per l'RPC ed erano aperte fino
alla 8000 sia su Maindc01 che sul proxy con Isa.
Ora ho ristretto a 4000 e devo riavviare i server.
ok (scusa agli altri frequentatori
per iniziare questo thread così bruscamente
ma è il seguito di un'altro in winserver).

mi ripeti le firewall rule che hai
tra localhost e internal e
come e se hai modificato su isa
anche le system policy ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Claudio73
2006-06-09 12:02:28 UTC
Permalink
Post by Edoardo Benussi [MVP]
mi ripeti le firewall rule che hai
tra localhost e internal e
come e se hai modificato su isa
anche le system policy ?
--
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
rete Interna, All OutBound Traffic tra LocalHost e Internal, per
Localhost e Internal. All User

System Policy non toccate.
Edoardo Benussi [MVP]
2006-06-09 12:54:49 UTC
Permalink
Post by Claudio73
rete Interna, All OutBound Traffic tra LocalHost e Internal, per
Localhost e Internal. All User
System Policy non toccate.
vai a editare le System Policy,
sezione Authentication Services,
mettiti su Active Directory
e a destra sulla scheda General
assicurati che ci sia il flag su "enable"
e che non ci sia su "enforce strict RPC compliance",
sulla scheda to ci sia "internal e localhost".
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Claudio73
2006-06-09 13:15:48 UTC
Permalink
Post by Edoardo Benussi [MVP]
mettiti su Active Directory
e a destra sulla scheda General
assicurati che ci sia il flag su "enable"
e che non ci sia su "enforce strict RPC compliance",
sulla scheda to ci sia "internal e localhost".
Già ieri feci la prova di levare il flag su Enforce etc etc, e l'unico
risultato è stato che non faceva più entrare nemmeno in terminal...
Ora lo rilevo...
Nella sezione To, c'era solamente Internal... ho aggiunto Local Host.
Dici che conviene riavviare il server o basta solamente riavviare Isa?
Edoardo Benussi [MVP]
2006-06-09 13:35:55 UTC
Permalink
Post by Claudio73
Già ieri feci la prova di levare il flag su Enforce etc etc, e l'unico
risultato è stato che non faceva più entrare nemmeno in terminal...
Ora lo rilevo...
Nella sezione To, c'era solamente Internal... ho aggiunto Local Host.
Dici che conviene riavviare il server o basta solamente riavviare Isa?
conviene riavviare il server.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Claudio73
2006-06-09 13:47:03 UTC
Permalink
Post by Edoardo Benussi [MVP]
conviene riavviare il server.
Ora pare tutto ok, gli errori sono scomparsi... ma la vpn continua a
non andare, ora rivedo un pò tutte le impostazioni e poi ti faccio
sapere.
Claudio73
2006-06-09 13:57:20 UTC
Permalink
Post by Edoardo Benussi [MVP]
conviene riavviare il server.
--
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Rettifico, l'errore 4 Kerberos continua imperterrito a comparire.

L'unica miglioria, a questo punto, è che l'errore 1053 Userenv non
compare più nel registro Applicazioni, e che le comunicazioni con
maindc01 funzionano.
Claudio73
2006-06-09 14:38:35 UTC
Permalink
Altro errore:
Se faccio Start--Esegui-- \\MAINDC01

Mi compare:
\\Maindc01 is not accessible. You may have not permission to use this
network resource...

Logon Failure. The Target Account Name is incorrect.


P.S. Sono entrato nel pallone!!!!
Edoardo Benussi [MVP]
2006-06-09 15:24:07 UTC
Permalink
Post by Claudio73
Se faccio Start--Esegui-- \\MAINDC01
\\Maindc01 is not accessible. You may have not permission to use this
network resource...
Logon Failure. The Target Account Name is incorrect.
P.S. Sono entrato nel pallone!!!!
anch'io.
fermati un'attimo e fammi rileggere
il thread su winserver.
scrivo più tardi.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Claudio73
2006-06-09 15:43:37 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by Claudio73
P.S. Sono entrato nel pallone!!!!
anch'io.
fermati un'attimo e fammi rileggere
il thread su winserver.
scrivo più tardi.
ok
Edoardo Benussi [MVP]
2006-06-09 17:26:27 UTC
Permalink
ok
sto seguendo una chat su longhorn server.
riprendo domani.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Claudio73
2006-06-10 10:11:03 UTC
Permalink
Ok ti aspetto...
Post by Edoardo Benussi [MVP]
ok
sto seguendo una chat su longhorn server.
riprendo domani.
ciao.
--
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Edoardo Benussi
2006-06-10 11:33:23 UTC
Permalink
"Claudio73" <***@mclink.net> wrote in message news:***@c74g2000cwc.googlegroups.com...
[cut all]

comincio adesso a rileggere tutto
a partire dal tuo post del 11/05,
stamattina ho dovuto fare l'unico.
potrebbero venirmi in mente
una marea di domande.
ti prego di quotarle e rispondere sotto
a ciascuna di esse. grazie.

1) dopo aver installato la CA sul dc
hai verificato nel registro eventi del server
con isa e su altri clients della rete
gli eventi con source "autoenrollment" ?
2) che esito hanno questi eventi ?
3) ho bisogno di sapere quali certificati
autoenrolled hai validi sia sul dc, sia su isa,
sia sui clients e sia di tipo user che computer;
4) dal server con isa riesci ad aprire il registro
eventi del dc ?
5) sarebbe un problema per te disinstallare
la CA dal dc, verificare come reagiscono
le macchine e poi eventualmente reinstallarla ?
6) il 15/05 scrivi che tutto ha ripreso a funzionare,
mi piacerebbe capire cos'era successo...
7) puoi verificare quanti certificati di tipo
computer ha rilasciato la tua CA alla macchina
isa ?
8) dal post del 8/6 scrivi:
"The kerberos client received a KRB_AP_ERR_MODIFIED error from the
server host/proxy.. The target name used was cifs/maindc01.DOMINIO.it."
da cui sembra che il certificato sbagliato sia quello del dc.

a questo punto il piano che propongo io
è il seguente:
1) verificare gli errori attuali di certificati
e kerberos (ed ogni altro eventuale errore)
sul domain controller e sui clients della rete;
2) se gli errori sono troppi ed evidenti
disinstallare la CA dal dc, altrimenti
lasciarla com'è;
3) verificare dopo i punti precedenti
gli errori sulla macchina con isa;
4) se non riusciamo a risolverli,
disinstallare isa e verificare che questo
server senza isa riprende le normali
comunicazioni con il maindc01;
5) fatto il punto 4, reinstallare isa
sullo stesso server e configurarlo
passo passo per permettere le
comunicazioni di active directory col
domain controller.

aspetto risposte e indicazioni.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft MVP - Windows Server
from Windows Vista Build 5384
Claudio73
2006-06-12 10:18:11 UTC
Permalink
Eccomi qui, scrivo come mi hai detto tu:

1) dopo aver installato la CA sul dc
hai verificato nel registro eventi del server con isa e su altri
clients della rete
gli eventi con source "autoenrollment" ?

I Clients sono tutti ok. Isa ha una marea di croci rosse su
Autoenrollment (Event ID 13 - Access Denied), fino al 31 maggio, quando
ha ricevuto un ok dall'Autoenrollment (Event ID 19)

2) che esito hanno questi eventi ?
Risposto Sopra.

3) ho bisogno di sapere quali certificati
autoenrolled hai validi sia sul dc, sia su isa, sia sui clients e sia
di tipo user che computer;

Perdona l'ignoranza... non ricordo il procedimento per questo.


4) dal server con isa riesci ad aprire il registro eventi del dc ?

Ecco uno dei problemi. Se faccio Start-Esegui digito \\Maindc01, mi dà
accesso negato, ma se faccio Start-Esegui e digito \\IP.Address
funziona senza problemi. Ugualmente per l'apertura del registro eventi
del DC da Isa.

5) sarebbe un problema per te disinstallare la CA dal dc, verificare
come reagiscono
le macchine e poi eventualmente reinstallarla ?

Penso sia la cosa migliore da fare. Però avrei la necessità, prima di
reinstallare la CA, di pulire tutti i certificati presenti. Ti dico
questo perchè l'ho già disinstallata e reinstallata, ma mi sono
trovato anche i certificati della precedente installazione.

6) il 15/05 scrivi che tutto ha ripreso a funzionare, mi piacerebbe
capire cos'era successo...

Praticamente mi avevi detto di cancellare il vecchio certificato... ma
si vede che ha temporaneamente risolto il problema ma non era il
"guasto" effettivo.

7) puoi verificare quanti certificati di tipo computer ha rilasciato la
tua CA alla macchina isa ?

Uno solamente, data 31 Maggio (registrato nell'event ID 19
Autoenrollment, come ti dissi sopra)

8) dal post del 8/6 scrivi:
"The kerberos client received a KRB_AP_ERR_MODIFIED error from the
server host/proxy.. The target name used was
cifs/maindc01.DOMINIO.it."
da cui sembra che il certificato sbagliato sia quello del dc.

Esatto, aprendo mmc e inserendo lo snap-in dei certificati, scorrendo i
certificati in Autorità di Certificazione Principale Attendibili,
trovo ben 8 certificati chiamati maindc01, ognuno con date diverse.


a questo punto il piano che propongo io
è il seguente:
1) verificare gli errori attuali di certificati e kerberos (ed ogni
altro eventuale errore)
sul domain controller e sui clients della rete;
Il problema è solo su Isa, i client vanno tutti perfettamente.

Su Maindc01 nessun errore rilevato nel registro eventi (per lui è come
se funzionasse tutto a regola d'arte)
Su Isa nel registro Applicazioni: 1053 Userenv (circa ogni ora e 40
minuti)
Su Isa nel registro Security: 529 Logon/Logoff (Logon type 3 Kerberos,
Bad User or Password)
Su Isa nel registro System: 4 Kerberos (già discusso), 8032 Browser
insieme ad avviso 8021 Browser.


2) se gli errori sono troppi ed evidenti
disinstallare la CA dal dc, altrimenti
lasciarla com'è;
3) verificare dopo i punti precedenti
gli errori sulla macchina con isa;
4) se non riusciamo a risolverli,
disinstallare isa e verificare che questo
server senza isa riprende le normali
comunicazioni con il maindc01;
5) fatto il punto 4, reinstallare isa
sullo stesso server e configurarlo
passo passo per permettere le
comunicazioni di active directory col
domain controller.

Intanto mi sembra di averti fornito qualche delucidazione in più.
Poi vediamo i punti successivi.
Grazie
Claudio
Edoardo Benussi [MVP]
2006-06-12 11:01:33 UTC
Permalink
Post by Edoardo Benussi
1) dopo aver installato la CA sul dc
hai verificato nel registro eventi del server con isa e su altri
clients della rete
gli eventi con source "autoenrollment" ?
I Clients sono tutti ok. Isa ha una marea di croci rosse su
Autoenrollment (Event ID 13 - Access Denied), fino al 31 maggio,
quando ha ricevuto un ok dall'Autoenrollment (Event ID 19)
ok.
Post by Edoardo Benussi
2) che esito hanno questi eventi ?
Risposto Sopra.
ok.
Post by Edoardo Benussi
3) ho bisogno di sapere quali certificati
autoenrolled hai validi sia sul dc, sia su isa, sia sui clients e sia
di tipo user che computer;
Perdona l'ignoranza... non ricordo il procedimento per questo.
lo vediamo dopo.
Post by Edoardo Benussi
4) dal server con isa riesci ad aprire il registro eventi del dc ?
Ecco uno dei problemi. Se faccio Start-Esegui digito \\Maindc01, mi dà
accesso negato, ma se faccio Start-Esegui e digito \\IP.Address
funziona senza problemi. Ugualmente per l'apertura del registro eventi
del DC da Isa.
dalla macchina con isa
apri una finestra dos e
fai un nslookup maindc01
e postami il risultato.
Post by Edoardo Benussi
5) sarebbe un problema per te disinstallare la CA dal dc, verificare
come reagiscono
le macchine e poi eventualmente reinstallarla ?
Penso sia la cosa migliore da fare. Però avrei la necessità, prima di
reinstallare la CA, di pulire tutti i certificati presenti. Ti dico
questo perchè l'ho già disinstallata e reinstallata, ma mi sono
trovato anche i certificati della precedente installazione.
lasciamo in sospeso.
Post by Edoardo Benussi
6) il 15/05 scrivi che tutto ha ripreso a funzionare, mi piacerebbe
capire cos'era successo...
Praticamente mi avevi detto di cancellare il vecchio certificato... ma
si vede che ha temporaneamente risolto il problema ma non era il
"guasto" effettivo.
ok.
Post by Edoardo Benussi
7) puoi verificare quanti certificati di tipo computer ha rilasciato
la tua CA alla macchina isa ?
Uno solamente, data 31 Maggio (registrato nell'event ID 19
Autoenrollment, come ti dissi sopra)
ok.
Post by Edoardo Benussi
"The kerberos client received a KRB_AP_ERR_MODIFIED error from the
server host/proxy.. The target name used was
cifs/maindc01.DOMINIO.it."
da cui sembra che il certificato sbagliato sia quello del dc.
Esatto, aprendo mmc e inserendo lo snap-in dei certificati, scorrendo
i certificati in Autorità di Certificazione Principale Attendibili,
trovo ben 8 certificati chiamati maindc01, ognuno con date diverse.
questo lo riprendiamo dopo.
Post by Edoardo Benussi
a questo punto il piano che propongo io
1) verificare gli errori attuali di certificati e kerberos (ed ogni
altro eventuale errore)
sul domain controller e sui clients della rete;
Il problema è solo su Isa, i client vanno tutti perfettamente.
allora lasciamo la CA come sta
e cerchiamo di capire cos'ha questo isa...
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Claudio73
2006-06-12 12:01:51 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by Claudio73
4) dal server con isa riesci ad aprire il registro eventi del dc ?
Ecco uno dei problemi. Se faccio Start-Esegui digito \\Maindc01, mi dà
accesso negato, ma se faccio Start-Esegui e digito \\IP.Address
funziona senza problemi. Ugualmente per l'apertura del registro eventi
del DC da Isa.
dalla macchina con isa
apri una finestra dos e
fai un nslookup maindc01
e postami il risultato.
Forse ho capito il "guasto".
Per rendere accessibile la CA agli utenti esterni, sul dns del provider
ho aggiunto un Host MAINDC01.DOMINIO.IT e quindi se faccio nslookup da
ISA sul MAINDC01 mi compare l'ip pubblico.

Ecco il risultato dell'nslookup:
Server: ns2.albacom.net
Address: 212.17.192.209

Name: maindc01.dominio.it
Address: xxx.xxx.xxx.xxx (ip pubblico)
Edoardo Benussi [MVP]
2006-06-12 13:15:43 UTC
Permalink
Post by Claudio73
Forse ho capito il "guasto".
azz!!! alla faccia del "guasto"
Post by Claudio73
Per rendere accessibile la CA agli utenti esterni, sul dns del
provider ho aggiunto un Host MAINDC01.DOMINIO.IT e quindi se faccio
nslookup da ISA sul MAINDC01 mi compare l'ip pubblico.
Server: ns2.albacom.net
Address: 212.17.192.209
Name: maindc01.dominio.it
Address: xxx.xxx.xxx.xxx (ip pubblico)
ma non si pubblica mica così una CA!!!!

maindc01 deve rispondere solo all'ip privato!
intanto sistema questo obrobrio.
poi ci risentiamo.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Claudio73
2006-06-12 14:17:02 UTC
Permalink
Post by Edoardo Benussi [MVP]
ma non si pubblica mica così una CA!!!!
maindc01 deve rispondere solo all'ip privato!
intanto sistema questo obrobrio.
poi ci risentiamo.
Ho capito... ma un client che è esterno alla rete locale e che stà in
un altra città, come fa a richiedere un certificato?
Claudio73
2006-06-12 14:38:57 UTC
Permalink
Aggiornato l'host DNS del provider
Post by Edoardo Benussi [MVP]
ma non si pubblica mica così una CA!!!!
maindc01 deve rispondere solo all'ip privato!
intanto sistema questo obrobrio.
poi ci risentiamo.
Edoardo Benussi [MVP]
2006-06-12 14:42:51 UTC
Permalink
Post by Claudio73
Aggiornato l'host DNS del provider
ora cosa succede da isa ?
l'rpc funziona ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Claudio73
2006-06-12 14:55:39 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by Claudio73
Aggiornato l'host DNS del provider
ora cosa succede da isa ?
l'rpc funziona ?
Come se niente fosse...
tutto come prima...
Claudio73
2006-06-12 14:59:52 UTC
Permalink
Post by Claudio73
Post by Edoardo Benussi [MVP]
Post by Claudio73
Aggiornato l'host DNS del provider
ora cosa succede da isa ?
l'rpc funziona ?
Come se niente fosse...
tutto come prima...
Ovviamente però se faccio nslookup MAINDC da Isa mi segna ancora l'ip
pubblico...
Edoardo Benussi [MVP]
2006-06-12 15:30:53 UTC
Permalink
Post by Claudio73
Ovviamente però se faccio nslookup MAINDC da Isa mi segna ancora l'ip
pubblico...
posta l'ipconfig /all della macchina isa.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Edoardo Benussi [MVP]
2006-06-12 14:42:19 UTC
Permalink
Post by Claudio73
Ho capito... ma un client che è esterno alla rete locale e che stà in
un altra città, come fa a richiedere un certificato?
pubblicando l'interfaccia web della CA.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Claudio73
2006-06-12 15:48:35 UTC
Permalink
Windows IP Configuration



Host Name . . . . . . . . . . . . : ISA

Primary Dns Suffix . . . . . . . : DOMINIO.it

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : Yes

WINS Proxy Enabled. . . . . . . . : Yes

DNS Suffix Search List. . . . . . : DOMINIO.it



Ethernet adapter INTERNA:



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network
Connection #2

Physical Address. . . . . . . . . : 00-30-48-41-94-4F

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 172.16.0.1

Subnet Mask . . . . . . . . . . . : 255.255.0.0

Default Gateway . . . . . . . . . :

DNS Servers . . . . . . . . . . . : 172.16.0.4



Ethernet adapter ESTERNA:



Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network
Connection

Physical Address. . . . . . . . . : 00-30-48-41-94-4E

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 213.xxx.xxx.xxx

Subnet Mask . . . . . . . . . . . : 255.255.xxx.xxx

Default Gateway . . . . . . . . . : 213.xxx.xxx.xxx

DNS Servers . . . . . . . . . . . : 212.xxx.xxx.xxx

212.xxx.xxx.xxx
Edoardo Benussi [MVP]
2006-06-12 17:31:39 UTC
Permalink
Claudio73 wrote:

ok.
da isa
ipconfig /flushdns
e invio.
poi nslookup maindc01.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Claudio73
2006-06-14 07:48:16 UTC
Permalink
Post by Edoardo Benussi [MVP]
ok.
da isa
ipconfig /flushdns
e invio.
poi nslookup maindc01.
Avevo già provato, ma senza esito. Sicuramente era dovuto al
riaggiornamento dei dns del provider che come sai, impiegano un pò
più di tempo.
Ieri, a fagiolo, sono andato ad un semonario Microsoft sulla Sicurezza
che parlava proprio dei certificati. Mi ha chiarito molte cose, ora mi
metto al lavoro e ti farò sapere.

Oggi, alla riapertura di Isa, tutti i problemi erano scomparsi. Grazie
del supporto fino ad ora.
Edoardo Benussi [MVP]
2006-06-14 08:19:24 UTC
Permalink
Post by Claudio73
Avevo già provato, ma senza esito. Sicuramente era dovuto al
riaggiornamento dei dns del provider che come sai, impiegano un pò
più di tempo.
Ieri, a fagiolo, sono andato ad un semonario Microsoft sulla Sicurezza
che parlava proprio dei certificati. Mi ha chiarito molte cose, ora mi
metto al lavoro e ti farò sapere.
Oggi, alla riapertura di Isa, tutti i problemi erano scomparsi.
bene.
Post by Claudio73
Grazie
del supporto fino ad ora.
grazie a te del feedback.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Continua a leggere su narkive:
Loading...