Utente User a Dominio non accetta Credenziali dei Domain Administrators

Quando un PC sembra non comunicare correttamente con il Domain Controller, ad esempio non riconosce più le credenziali dell’amministratore di dominio, mostra errori di trust o chiede privilegi amministrativi nonostante siano corretti, nella maggior parte dei casi il problema riguarda:

• Cache Kerberos corrotta
• Ticket di autenticazione scaduti
• Problemi DNS
• Temporanei problemi di trust tra PC e dominio

Questa guida mostra come risolvere il problema senza dover rimuovere e reinserire il PC nel dominio.

N.B Do per scontato che non ci siano problemi con la configurazione del firewall aziendale e che tu abbia impostato un account di amministratore locale in caso contrario sevirebbe un articolo dedicato a tutto ciò.

Sintomi comuni

Potresti riscontrare:

• Credenziali accettate “a metà” (non dà errore, ma l’operazione non prosegue).
• Messaggi come “Per eseguire l’operazione richiesta è necessaria l’esecuzione con privilegi elevati”
• Impossibilità a eseguire operazioni di dominio pur avendo l’account corretto
• Errori di trust sporadici
• Accesso ai servizi di rete non sempre funzionante

Verifiche preliminari

Assicurati che:

• La password di amministratore sia corretta (provate su un altro PC a dominio) oppure sbaglia appositamente la password per vedere se cambia l’errore.
• Il Domain Controller sia configurato come DNS primario e che non ci siano DNS pubblici.
• Il PC risolva correttamente il DC
• L’orario sia sincronizzato
• Non ci siano VPN attive che cambiano il routing.
• Controlla gli eventi di Windows sulla sezione sistema.

Controllo comunicazione con il Domain Controller

Apri Prompt dei comandi come amministratore locale e verifica:

nltest /sc_verify:tuodominio.local

Se ottieni:

Status = 0x0 NERR_Success

La comunicazione con il DC è corretta.

Controlliamo se ci sono errori su Eventi di windows

Nel dettaglio possiamo cercare su “Visualizzatore Eventi” sulla barra di ricerca e andiamo nella sezione “Registri di Windows” poi su “Sistema” e andiamo su Filtro registro corrente.

Adesso filra gli eventi selezionando con il checkbox , Critico, Avviso ed Errore e dai Ok come nell’immagine sottostante.

Adesso controlla le voci che fanno riferimento al Domain Controller o comunicazione di rete.

Come puoi notare nel mio esempio, sembra esserci un problema di DNS.
In questo evento di Avviso, si trova con server DNS 1.1.1.1 e 1.0.0.1.

Quindi sembra essere proprio il DNS errato.

Andiamo a controllare le impostaziioni di Rete in Pannello di controllo>Rete e Internet > Centro connessioni di rete e condivisione.

Selezioniamo la rete, nel mio caso “Ethernet 2“, (ma può esserci anche una rete Wifi), proprietà e cercate il “Protocollo Internet versione 4 (TCP/IPv4)” e selezionate di nuovo proprietà.

Accertatevi che sia selezionato “Utilizza i seguenti indirizzi server DNS” e mettete l’indirizzo del Domain Controller su “Server DNS preferito” e riaviate il computer.

Se invece avete ancora il problema lasciate questo comando con permessi di amministrazione, lanciate questo comando servirà a svuotare la cache dei DNS:

ipconfig /flushdns

Forziamo la registrazione dei DNS con quest’altro comando:

ipconfig /registerdrs

Riavviate il computer.

Se l’errore ancora persiste o si è corrotto il profilo utente oppure il protocollo di autenticazione Kerberos si è corrotto o mal funzionante.

Mandiamo questo comando con diritti di amministrazione :

net stop netlogon

poi avviatelo di nuovo con :

net start netlogon

riavviate il computer e riprovate se ancora persiste dovrete fare la pulizia dei ticket Kerberos avviando il promt dei comandi come amministratore:

klist purge

Seleziona S per Si

Pulizia ticket Kerberos

Dopo questa operazione, nella maggior parte dei casi il PC torna immediatamente a comunicare correttamente con il Domain Controller se non ci sono altri problemi di rete.

Kerberos gestisce l’autenticazione su Active Directory tramite ticket.
Quando:

• Cambiano le password
• Cambiano i diritti utente
• Si fanno operazioni amministrative
• Il PC passa da Wi-Fi a LAN
• Si risveglia da sospensione/ibernazione

… i ticket possono diventare incoerenti ed anche se le impostazioni di rete sono giuste il problema permane.

Nel mio caso ho risolto con quest’ultimo comando, dopo aver analizzato i dati, anche incoerenti che avevo visualizzato in precedenza, ho visto che spesso l’utente swicha tra connessione cablata e connessione Wi-Fi per sue necessità operative.

Conclusione

Nella maggior parte dei casi, i problemi di riconoscimento delle credenziali o di comunicazione con il Domain Controller non richiedono di rimuovere il PC dal dominio.

È possibile risolvere analizzando i dati con il visualizzatore degli eventi, con Ipconfig /all per vedere dove sei pozionato sulla rete e vari comandi per controllare la raggiungibilità del domain controller e la coerenza dei DNS cercando di risolvere quest tipo di problemi.