Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[2008R2] NETLOGON niet toegankelijk voor sommige gebruikers

Pagina: 1
Acties:

Vraag

donderdag 27 april 2017 12:27

Acties:
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Sinds deze morgen, zonder dat er iets aan de infrastructuur veranderd is recentelijk, is in één domein voor sommige gebruikers NETLOGON niet meer toegankelijk. Dat is heel vervelend aangezien een hele hoop opstartscripten voor gebruikers daar liggen.

Foutmelding client-side:
The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.
Er is geen patroon te vinden in de gebruikers: sommigen wel, anderen niet, en de logon server speelt geen rol (er zijn er 2). Na 3,5 uur intussen ben ik nog geen stap vooruit.

Tot dusver gedaan:
- GC opnieuw maken
- GC verhuizen
- dcdiag /fix
- Rebooten van de twee DCs (en een RODC)
- Wachtwoord reset bij een van die accounts met problemen

Als nog iemand iets weet ben ik dankbaar, want ik had andere plannen vandaag :(

Edit O ja, op google vind je vooral dingen over firewall, DNS of domain rejoin. Dat is allemaal niet echt relevant denk ik: gegeven een computer X werkt het met gebruikers 1, 2 en 3 maar niet met gebruiker 4.

[ Voor 10% gewijzigd door YellowOnline op 27-04-2017 12:31 ]

Beste antwoord (via F_J_K op 27-04-2017 15:55)

donderdag 27 april 2017 15:25

  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Eureka!

Er was verkeerde informatie aan mij doorgegeven zowel door de klant als door een collega. Slechts één account bleek dit probleem te hebben - maar wel een account die door 100 mensen gebruikt wordt (don't ask... ik wil van dit systeem vanaf), vandaar de grote impact.

Toen ik dat uitvond heb ik niet meer op de server kant gekeken maar op de client kant. Zodoende heb ik geleerd dat de Kerberos token size te groot is omdat die gebruiker lid is van (te) veel groepen:

Microsoft: Problems with Kerberos authentication when a user belongs to many groups

Het is goed mogelijk dat die account gisterenavond nog lid geworden is van een aantal groepen. Na de gebruiker uit een handvol groepen gegooid te hebben getest: jawel, nu werkt het weer.

Pfff.
Rossi schreef op donderdag 27 april 2017 @ 14:51:
Vervelende dingen op een vrije dag... Zijn je DCs in sync? Niet ergens een policy die niet uitgelezen mag worden of op deny staat?

Ben benieuwd waar dit heengaat vanuit MS, houd je ons op de hoogte?
Hier in Duitsland geen vrije dag ;) De case bij MS is op de valreep niet geopend :p

[ Voor 17% gewijzigd door YellowOnline op 27-04-2017 15:26 ]

Alle reacties

donderdag 27 april 2017 12:37

Acties:
  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 10:41

nescafe

Mijn gok zou zijn (gezien het spontane optreden):
Had this issue recently and it seemed to be an issue where the date/time on two servers were out of sync.
Klok op de clients ook gecheckt?

[ Voor 5% gewijzigd door nescafe op 27-04-2017 12:38 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

donderdag 27 april 2017 12:43

Acties:
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
nescafe schreef op donderdag 27 april 2017 @ 12:37:
Mijn gok zou zijn (gezien het spontane optreden):

[...]

Klok op de clients ook gecheckt?
Goed idee, maar neen: alle drie de DCs en de clients lopen gelijk. Als de clients trouwens niet de goede tijd hadden, dan zou het voor geen enkel account werken.

donderdag 27 april 2017 12:56

Acties:
  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021

Trommelrem

We missen het allerbelangrijkste stukje informatie:
• Event log van de DC
• Netlogon log van de DC
We hebben helaas geen glazen bol.

donderdag 27 april 2017 13:22

Acties:
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Trommelrem schreef op donderdag 27 april 2017 @ 12:56:
We missen het allerbelangrijkste stukje informatie:
• Event log van de DC
• Netlogon log van de DC
We hebben helaas geen glazen bol.
In Netlogon zie ik niets bijzonders, maar misschien is dat omdat ik het niet goed interpreteren kan:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

04/27 13:11:39 [MAILSLOT] Received ping from VOORBEELDCLIENT SUBDOMAIN.DOMAIN.world. (null) on UDP LDAP
04/27 13:11:39 [MISC] SUBDOMAIN: Pack NextClosestSiteName into message 0
04/27 13:11:39 [MAILSLOT] SUBDOMAIN: Ping response 'Sam Logon Response Ex' (null) to \\VOORBEELDCLIENT Site: NY on UDP LDAP
04/27 13:11:39 [MAILSLOT] Received ping from VOORBEELDCLIENT SUBDOMAIN.DOMAIN.world. (null) on UDP LDAP
04/27 13:11:39 [MISC] SUBDOMAIN: Pack NextClosestSiteName into message 0
04/27 13:11:39 [MAILSLOT] SUBDOMAIN: Ping response 'Sam Logon Response Ex' (null) to \\VOORBEELDCLIENT Site: NY on UDP LDAP
04/27 13:11:39 [SESSION] SUBDOMAIN: NetrLogonGetDomainInfo: VOORBEELDCLIENT 1 Entered
04/27 13:11:39 [SESSION] SUBDOMAIN: NetrLogonGetDomainInfo: VOORBEELDCLIENT is running NT 6.1 build 7601 (1)
04/27 13:11:39 [DNS] NlSetClientAttributes: LsaISetClientDnsHostName(), status 0x0
04/27 13:11:39 [MISC] SUBDOMAIN: NetrLogonGetDomainInfo: DnsHostName of VOORBEELDCLIENT is VOORBEELDCLIENT.SUBDOMAIN.DOMAIN.world
04/27 13:11:39 [SESSION] SUBDOMAIN: NetrLogonGetDomainInfo: VOORBEELDCLIENT 1 Returns 0x0
04/27 13:11:40 [MAILSLOT] Received ping from VOORBEELDCLIENT SUBDOMAIN.DOMAIN.world (null) on UDP LDAP
04/27 13:11:40 [MISC] SUBDOMAIN: Pack NextClosestSiteName into message 0
04/27 13:11:40 [MAILSLOT] SUBDOMAIN: Ping response 'Sam Logon Response Ex' (null) to \\VOORBEELDCLIENT Site: NY on UDP LDAP


In de Event Log is het enige dat zometeen opvalt herhaalde events 1079 (Group Policy):
Custom dynamic link libraries are being loaded for every application. The system administrator should review the list of libraries to ensure they are related to trusted applications.
Het correleert qua tijd, dus uitsluiten dat het er (eventuele onrechtstreeks) mee te maken heeft kan ik niet.

* YellowOnline gaat nu naar baas om case te openen bij MS

Impact is nogal groot :(

[ Voor 16% gewijzigd door YellowOnline op 27-04-2017 13:30 ]

donderdag 27 april 2017 14:51

Acties:
  • Rossi
  • Registratie: Januari 2005
  • Laatst online: 25-03 22:21

Rossi

Vervelende dingen op een vrije dag... Zijn je DCs in sync? Niet ergens een policy die niet uitgelezen mag worden of op deny staat?

Ben benieuwd waar dit heengaat vanuit MS, houd je ons op de hoogte?

[ Voor 21% gewijzigd door Rossi op 27-04-2017 14:52 ]

donderdag 27 april 2017 15:25

Acties:
  • Beste antwoord
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Eureka!

Er was verkeerde informatie aan mij doorgegeven zowel door de klant als door een collega. Slechts één account bleek dit probleem te hebben - maar wel een account die door 100 mensen gebruikt wordt (don't ask... ik wil van dit systeem vanaf), vandaar de grote impact.

Toen ik dat uitvond heb ik niet meer op de server kant gekeken maar op de client kant. Zodoende heb ik geleerd dat de Kerberos token size te groot is omdat die gebruiker lid is van (te) veel groepen:

Microsoft: Problems with Kerberos authentication when a user belongs to many groups

Het is goed mogelijk dat die account gisterenavond nog lid geworden is van een aantal groepen. Na de gebruiker uit een handvol groepen gegooid te hebben getest: jawel, nu werkt het weer.

Pfff.
Rossi schreef op donderdag 27 april 2017 @ 14:51:
Vervelende dingen op een vrije dag... Zijn je DCs in sync? Niet ergens een policy die niet uitgelezen mag worden of op deny staat?

Ben benieuwd waar dit heengaat vanuit MS, houd je ons op de hoogte?
Hier in Duitsland geen vrije dag ;) De case bij MS is op de valreep niet geopend :p

[ Voor 17% gewijzigd door YellowOnline op 27-04-2017 15:26 ]

vrijdag 28 april 2017 18:31

Acties:
  • Rossi
  • Registratie: Januari 2005
  • Laatst online: 25-03 22:21

Rossi

Nice, goed om te horen dat je het gevonden hebt!
Stiekem wel benieuwd wat voor exotisch account dat is (qua lidmaatschappen en qua gebruik)..

En inderdaad, genoeg van je blogs gelezen om te weten dat jij in Duitsland woont... ;) D'oh!

maandag 1 mei 2017 13:10

Acties:
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Rossi schreef op vrijdag 28 april 2017 @ 18:31:
Nice, goed om te horen dat je het gevonden hebt!
Stiekem wel benieuwd wat voor exotisch account dat is (qua lidmaatschappen en qua gebruik)..

En inderdaad, genoeg van je blogs gelezen om te weten dat jij in Duitsland woont... ;) D'oh!
Eigenlijk is er niet veel exotisch aan: in Windows 2003 tot 2008R2 kan de kerberos token size maximum 12 000 bytes zijn. Lidmaatschap van groepen maakt dit token steeds groter. Voorbij die 12000 stopt het dan met werken. Ik heb niet geteld hoeveel groepen dat zijn, maar blijkbaar had die account er teveel. Met een registry hack kan dat naar 48 000 bytes opgetrokken worden. Sowieso is een harde limiet in Windows van 1015 groepen las ik trouwens.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq