Ir al contenido principal

error con DCdiag en windows 2008 R2 (NCSecDesc error)

Con la salida de Windows Vista, Microsoft cambió el viejo cliente de escritorio remoto y le dio un lavado de cara. El nuevo cliente, usa las credenciales del usuario logado para intentar logarse de forma predeterminada. Seguramente algunos de nosotros que estábamos acostumbrados a logarnos en nuestros servidores remotos con el usuario administrador hemos decidido empezar a logarnos con nuestro usuario de dominio para ajustarnos a las recomendaciones de seguridad que Microsoft lleva mucho tiempo haciendo a este respecto.

Pues bien, nuevas formas de trabajar conllevan nuevos errores que algunos despistados como yo no tienen reparos en hacer explotar de todas las formas posibles. El otro día, sin ir más lejos, estaba conectado en remoto a un servidor para ejecutar un dcdiag y comprobar que la instalación del nuevo DC había ido bien, cuando, cual sería mi sorpresa, empezaron a fallar varios de los test debido a errores de seguridad, errores como este:

Iniciando prueba: NCSecDesc

Error: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS no tiene

Replicating Directory Changes In Filtered Set
derechos de acceso para el contexto de nomenclatura:

DC=DomainDnsZones,DC=xxxxxxx,DC=xxxxxxx,DC=xxx
Error: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS no tiene

Replicating Directory Changes In Filtered Set
derechos de acceso para el contexto de nomenclatura:

DC=ForestDnsZones,DC=xxxxxx,DC=xxx


Estuve un buen rato buscando en internet qué demonios había pasado para que mis DCs con Windows 2003 R2 (donde esto no ocurría y mis nuevos equipos con Windows 2008 R2 estuvieran tan enfadados.

Al final, resultaba que no eran mis equipos con Windows 2008 R2 los que tenían problemas de seguridad, si no mi usuario. Para solucionarlo basta con lanzar la línea de comandos en modo administrador (ya sabéis, cuando busquéis cmd, lo pulsáis con el botón derecho y elegís "Ejecutar como administrador"). Valiente tontería...

Comentarios

Entradas populares de este blog

Instalación de Nagios plugin para Cacti (sobre CentOS)

En entradas anteriores (aquí, aquí y aquí), hemos explicado como instalar un servidor Centos, y sobre ese mismo servidor, instalar Nagios y Cacti. Hoy voy a explicaros como instalar el plugin de Nagios para Cacti. Este plugin, lo que hace es permitir que Cacti pueda leer datos de Nagios, proveyendo un dashboard para monitorizar Nagios desde la propia web de Cacti, así como poder importar los equipos que tenemos en Nagios de forma directa en Cacti. Podéis encontrar mas información sobre este plugin en su pagina.
   Para comenzar, nos posicionaremos en el directorio root, y descargaremos y descomprimiremos las ndoutils, que son prerrequisito para la instalación de NPC:
cd /root/ ; web http://sourceforge.net/projects/nagios/files/ndoutils-1.x/ndoutils-1.4b7/ndoutils-1.4b7.tar.gz ; tar -xvf ndoutils-1.4b7.tar.gz    Entramos en el directorio que se acaba de crear con la descompresión del archivo, compilamos e instalamos. Comprobad que la ruta a las librerías de sql es la correcta:
cd /ro…

Instalación de Cacti en Centos

Siguiendo con este post de la semana pasada en el que os indicaba como realizar la instalación de un servidor Centos, hoy vamos con un manual sobre la instalación de Cacti en Centos. Cacti es un sistema de monitorización de servicios basado en SNMP orientado a la generación de estadísticas gráficas. Podéis encontrar mas información sobre Cacti en su pagina oficial Aquí.    Para comenzar la instalación, nos conectamos a nuestro servidor por SSH, nos logamos en el con el usuario Root, y comenzamos instalando los prerrequisitos del sistema:yum install -y mysql-server mysql-devel php-mysql php-devel php php-snmp httpd net-snmp net-snmp-devel net-snmp-utils rrdtool rrdtool-devel ruby-rrdtool gcc make wget   Wget no es un prerrequisito en si, pero nos hará falta mas adelante para descargar el programa. Una vez que haya finalizado la instalación de los prerrequisitos, nos colocamos en el directorio root, descargamos la última versión de cacti de la pagina web y la descomprimimos:cd /root/…

Error id 12294, La base de datos SAM no pudo bloquear la cuenta de administrador...

Últimamente hemos estado teniendo un problema de esos que a todo administrador de sistemas le trae de cabeza... Al menos hasta que lo ha solucionado una vez. Para aquellos de vosotros que habéis llegado hasta aqui después de toparos con el en vuestro trabajo diario y no sabeis muy bien que hacer, voy a indicaros paso por paso como solucionarlo.


El error consiste en el intento reptitivo de bloqueo de la cuenta de Administrador del dominio por parte de una maquina del dominio. Estos errores se generan en el registro de eventos de sistema con el id 12294 y con origen Directory-Services-SAM si es Windows 2008 o SAM si es Windows 2003 o anterior.




El error en si no aunque parece grave, no debe preocuparnos tanto, ya que la cuenta de administrador de dominio nunca se bloquea. Lo que si nos molestara mas, es el hecho de que estos errores saturan nuestro log de eventos de sistema, así como el registro de seguridad del DC.




El problema que nos encontramos cuando intentamos solucionar e…