Ir al contenido principal

error con DCdiag en windows 2008 R2 (NCSecDesc error)

Con la salida de Windows Vista, Microsoft cambió el viejo cliente de escritorio remoto y le dio un lavado de cara. El nuevo cliente, usa las credenciales del usuario logado para intentar logarse de forma predeterminada. Seguramente algunos de nosotros que estábamos acostumbrados a logarnos en nuestros servidores remotos con el usuario administrador hemos decidido empezar a logarnos con nuestro usuario de dominio para ajustarnos a las recomendaciones de seguridad que Microsoft lleva mucho tiempo haciendo a este respecto.

Pues bien, nuevas formas de trabajar conllevan nuevos errores que algunos despistados como yo no tienen reparos en hacer explotar de todas las formas posibles. El otro día, sin ir más lejos, estaba conectado en remoto a un servidor para ejecutar un dcdiag y comprobar que la instalación del nuevo DC había ido bien, cuando, cual sería mi sorpresa, empezaron a fallar varios de los test debido a errores de seguridad, errores como este:

Iniciando prueba: NCSecDesc

Error: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS no tiene

Replicating Directory Changes In Filtered Set
derechos de acceso para el contexto de nomenclatura:

DC=DomainDnsZones,DC=xxxxxxx,DC=xxxxxxx,DC=xxx
Error: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS no tiene

Replicating Directory Changes In Filtered Set
derechos de acceso para el contexto de nomenclatura:

DC=ForestDnsZones,DC=xxxxxx,DC=xxx

Estuve un buen rato buscando en internet qué demonios había pasado para que mis DCs con Windows 2003 R2 (donde esto no ocurría y mis nuevos equipos con Windows 2008 R2 estuvieran tan enfadados.

Al final, resultaba que no eran mis equipos con Windows 2008 R2 los que tenían problemas de seguridad, si no mi usuario. Para solucionarlo basta con lanzar la línea de comandos en modo administrador (ya sabéis, cuando busquéis cmd, lo pulsáis con el botón derecho y elegís "Ejecutar como administrador"). Valiente tontería...

Comentarios

Publicar un comentario

Entradas populares de este blog

Error id 12294, La base de datos SAM no pudo bloquear la cuenta de administrador...

Últimamente hemos estado teniendo un problema de esos que a todo administrador de sistemas le trae de cabeza... Al menos hasta que lo ha solucionado una vez. Para aquellos de vosotros que habéis llegado hasta aqui después de toparos con el en vuestro trabajo diario y no sabeis muy bien que hacer, voy a indicaros paso por paso como solucionarlo. El error consiste en el intento reptitivo de bloqueo de la cuenta de Administrador del dominio por parte de una maquina del dominio. Estos errores se generan en el registro de eventos de sistema con el id 12294 y con origen Directory-Services-SAM si es Windows 2008 o SAM si es Windows 2003 o anterior. El error en si no aunque parece grave, no debe preocuparnos tanto, ya que la cuenta de administrador de dominio nunca se bloquea. Lo que si nos molestara mas, es el hecho de que estos errores saturan nuestro log de eventos de sistema, así como el registro de seguridad del DC. El problema que nos encontramos cuando intentamos ...
6 comentarios
Leer más

Solucionar Error 8344 “Insufficient access rights to perform the operation.” En Azure AD connect

Ayer termine de instalar y configurar Azure AD connect. Para los que no lo sepáis, Azure AD connect es el programa que se utiliza para sincronizar objetos de tu directorio activo local con el directorio activo de azure. Podéis acceder a la estupenda documentación de Microsoft aquí. El caso es que después de terminar la configuración, estuve repasando que las primeras sincronizaciones fueran correctas cuando vi que aparecía una tarea con errores en Azure AD sync service. El fallo era el siguiente: Como podéis ver, esta tarea de export, que ya os voy diciendo que era una sincronización de contraseñas, falla por un problema de permisos. La verdad es que era un poco confuso, ya que había seguido la documentación de Microsoft para la implementación al pie de la letra y cumplido todos los prerrequisitos. ¿Se me escapaba algo? Al final, la respuesta era bastante sencilla. Este directorio activo no lo desplegué yo, así que hay algunas cosillas “heredadas”. Una de ellas es que una Unidad Organi...
3 comentarios
Leer más

Formas de cerrar la sesion de un usuario Windows en remoto

   Recientemente he tenido que hacer limpieza de restos debido a la baja de un compañero administrador. Unos días después, mi script de chequeo de logs todavía me cantaba errores que podían estar relacionados con el uso de su cuenta de administrador. Lo mas probable es que hubiera sesiones remotas abiertas con su usuario (ya deshabilitado), desperdigadas por los servidores de la compañía. Para buscarlas, hay varias formas de hacerlo. A continuación, os muestro dos de ellas.    THE OLD WAY, usar los comandos quser y logout    Primero necesitamos ver que usuarios están logados en el servidor remoto y con que id de sesión para después, poder hacerles logof remotamente. Para ello, usaremos el comando quser de la siguiente forma: Quser /server:servername     Este comando devuelve la lista de usuarios logados en un equipo remoto, indicando el nombre, el id de la sesión, el estado y los tiempos de logon y de inactividad. Una vez que teng...
Publicar un comentario
Leer más