Audit des echecs ID 566

Le
Jmarc
Bonjour,

J'ai le message suivant sur plusieurs machines, message se repetant 4 fois
(??), j'ai fais plein de recherches sur le net mais je n'arrive pas a trouver
de solution. J'ai sorti les machines du domaine et rerentrer, changer leur
noms, leur adresse, rien y fait !!
Quelqu'un peut-il m'aider SVP?
Les PCs sont en Win XP SP3 ou SP2
Le serveur en Win 2003

Merci.

Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Accès Active Directory
ID de l'événement : 566
Date : 17/12/2008
Heure : 15:52:03
Utilisateur : nomdomainePCLIM003$
Ordinateur : nom DC
Description :
Opération d'objet :
Serveur d'objet : DS
Type d'opération : Object Access
Type d'objet : computer
Nom d'objet : CN=PCLIM003,CN=Computers,DC=nomdomaine,DC=com
ID de handle : -
Nom d'utilisateur principal : nom DC$
Domaine principal : nom domaine
ID d'ouv de session principale : (0x0,0x3E7)
Nom d'utilisateur client : PCLIM003$
Domaine client : nom domaine
ID d'ouv de session client : (0x0,0x19DF727C)
Accès : Propriété d'écriture

Propriétés :

Public Information
servicePrincipalName
computer

Informations additionnelles :
Informations additionnelles 2 :
Masque d'accès : 0x20


Pour plus d'informations, consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp.
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Emmanuel Dreux
Le #18168251
Bonsoir,

vous avez activé l'audit des echecs sur l'AD. (note:ça peut facilement
saturer votre dc).
L'objet computer n'a à priori pas le droit d'écrire ses SPN
(servicePrincipalName).
Editez les permissions de sécurité de l'objet computer, dans les permissions
avancées, donnez les droit d'écriture sur les service principalname à self.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Jmarc" a écrit :

Bonjour,

J'ai le message suivant sur plusieurs machines, message se repetant 4 fois
(??), j'ai fais plein de recherches sur le net mais je n'arrive pas a trouver
de solution. J'ai sorti les machines du domaine et rerentrer, changer leur
noms, leur adresse, rien y fait !!
Quelqu'un peut-il m'aider SVP?
Les PCs sont en Win XP SP3 ou SP2
Le serveur en Win 2003

Merci.

Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Accès Active Directory
ID de l'événement : 566
Date : 17/12/2008
Heure : 15:52:03
Utilisateur : nomdomainePCLIM003$
Ordinateur : nom DC
Description :
Opération d'objet :
Serveur d'objet : DS
Type d'opération : Object Access
Type d'objet : computer
Nom d'objet : CN=PCLIM003,CN=Computers,DC=nomdomaine,DC=com
ID de handle : -
Nom d'utilisateur principal : nom DC$
Domaine principal : nom domaine
ID d'ouv de session principale : (0x0,0x3E7)
Nom d'utilisateur client : PCLIM003$
Domaine client : nom domaine
ID d'ouv de session client : (0x0,0x19DF727C)
Accès : Propriété d'écriture

Propriétés :
---
Public Information
servicePrincipalName
computer

Informations additionnelles :
Informations additionnelles 2 :
Masque d'accès : 0x20


Pour plus d'informations, consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp.



GG
Le #18169011
Bonjour,

Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Accès Active Directory
ID de l'événement : 566





Le serveur DNS de AD se porte-t-il bien ?
La zone reverse est-elle bien présente dans le DNS ?
Conflit peut-être avec un autre serveur DNS existant
et ne se répliquant pas correctement avec le principal
de AD.

--
Cordialement.
GG.
http://forums.sbsfr.org/
un livre sur SBS http://livresbs.sbsfr.org/
Lognoul, Marc \(Private\)
Le #18169211
Bonjour,

Peux-tu un peu détailler le lien entre le service DNS, la réplication et
l'impossibilité d'effectuer un changement de SPN?
Merci d'avance.

--
Marc
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]

"GG" news:
Bonjour,

Type de l'événement : Audit des échecs
Source de l'événement : Security
Catégorie de l'événement : Accès Active Directory
ID de l'événement : 566





Le serveur DNS de AD se porte-t-il bien ?
La zone reverse est-elle bien présente dans le DNS ?
Conflit peut-être avec un autre serveur DNS existant
et ne se répliquant pas correctement avec le principal
de AD.

--
Cordialement.
GG.
http://forums.sbsfr.org/
un livre sur SBS http://livresbs.sbsfr.org/



Jmarc
Le #18170171
Bonjour
Ok merci, ca solutionne parfaitement le problème.
Bonne journée

"Emmanuel Dreux" a écrit :

Bonsoir,

vous avez activé l'audit des echecs sur l'AD. (note:ça peut facilement
saturer votre dc).
L'objet computer n'a à priori pas le droit d'écrire ses SPN
(servicePrincipalName).
Editez les permissions de sécurité de l'objet computer, dans les permissions
avancées, donnez les droit d'écriture sur les service principalname à self.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Jmarc" a écrit :

> Bonjour,
>
> J'ai le message suivant sur plusieurs machines, message se repetant 4 fois
> (??), j'ai fais plein de recherches sur le net mais je n'arrive pas a trouver
> de solution. J'ai sorti les machines du domaine et rerentrer, changer leur
> noms, leur adresse, rien y fait !!
> Quelqu'un peut-il m'aider SVP?
> Les PCs sont en Win XP SP3 ou SP2
> Le serveur en Win 2003
>
> Merci.
>
> Type de l'événement : Audit des échecs
> Source de l'événement : Security
> Catégorie de l'événement : Accès Active Directory
> ID de l'événement : 566
> Date : 17/12/2008
> Heure : 15:52:03
> Utilisateur : nomdomainePCLIM003$
> Ordinateur : nom DC
> Description :
> Opération d'objet :
> Serveur d'objet : DS
> Type d'opération : Object Access
> Type d'objet : computer
> Nom d'objet : CN=PCLIM003,CN=Computers,DC=nomdomaine,DC=com
> ID de handle : -
> Nom d'utilisateur principal : nom DC$
> Domaine principal : nom domaine
> ID d'ouv de session principale : (0x0,0x3E7)
> Nom d'utilisateur client : PCLIM003$
> Domaine client : nom domaine
> ID d'ouv de session client : (0x0,0x19DF727C)
> Accès : Propriété d'écriture
>
> Propriétés :
> ---
> Public Information
> servicePrincipalName
> computer
>
> Informations additionnelles :
> Informations additionnelles 2 :
> Masque d'accès : 0x20
>
>
> Pour plus d'informations, consultez le centre Aide et support à l'adresse
> http://go.microsoft.com/fwlink/events.asp.
>


GG
Le #18173081
Bonjour,

Peux-tu un peu détailler le lien entre le service DNS, la réplication
et l'impossibilité d'effectuer un changement de SPN?



Essaie de travailler avec un AD quand le serveur DNS de l'AD
est a la rue ? AD sans DNS point de salut.
--
Cordialement.
GG.
http://forums.sbsfr.org/
un livre sur SBS http://livresbs.sbsfr.org/
Lognoul, Marc \(Private\)
Le #18173411
La dessus, je suis d'accord. Je voudrais juste comprendre le lien entre le
problème de l'écriture d'un SPN et le réplication/DNS.

--
Marc
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]

"GG" news:#
Bonjour,

Peux-tu un peu détailler le lien entre le service DNS, la réplication
et l'impossibilité d'effectuer un changement de SPN?



Essaie de travailler avec un AD quand le serveur DNS de l'AD
est a la rue ? AD sans DNS point de salut.
--
Cordialement.
GG.
http://forums.sbsfr.org/
un livre sur SBS http://livresbs.sbsfr.org/



GG
Le #18173921
Bonjour,

La dessus, je suis d'accord. Je voudrais juste comprendre le lien
entre le problème de l'écriture d'un SPN et le réplication/DNS.



Fais l'essai d'ecrire dans un SPN quand un serveur DNS de cet
AD est a la rue (simplement le serveur DNS de AD arrêté) et
tu verras que tu as quelques soucis, si la demande vient du machine
pas du DC lui-même, si essaie d'ecrire dans le SPN a partir du
DC cela fonctionne, me semble-t-il du moins sur un SBS, alors
que d'un serveur répliquant AD de SBS, ce n'est pas la peine.
Je n'ai pas testé sur une plateforme standard (pas SBS) :)

--
Cordialement.
GG.
http://forums.sbsfr.org/
un livre sur SBS http://livresbs.sbsfr.org/
Lognoul, Marc \(Private\)
Le #18174081
OK mais cela ne va pas générer un audit failure je pense, plutôt une erreur
de style "server unavailable/unreachable"...

--
Marc
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]


"GG" news:
Bonjour,

La dessus, je suis d'accord. Je voudrais juste comprendre le lien
entre le problème de l'écriture d'un SPN et le réplication/DNS.



Fais l'essai d'ecrire dans un SPN quand un serveur DNS de cet
AD est a la rue (simplement le serveur DNS de AD arrêté) et
tu verras que tu as quelques soucis, si la demande vient du machine
pas du DC lui-même, si essaie d'ecrire dans le SPN a partir du
DC cela fonctionne, me semble-t-il du moins sur un SBS, alors
que d'un serveur répliquant AD de SBS, ce n'est pas la peine.
Je n'ai pas testé sur une plateforme standard (pas SBS) :)

--
Cordialement.
GG.
http://forums.sbsfr.org/
un livre sur SBS http://livresbs.sbsfr.org/



GG
Le #18174811
> OK mais cela ne va pas générer un audit failure je pense, plutôt une
erreur de style "server unavailable/unreachable"...



Je vais essayer de le reporduire.
--
Cordialement.
GG.
http://forums.sbsfr.org/
un livre sur SBS http://livresbs.sbsfr.org/
Emmanuel Dreux
Le #18174871
Bonsoir,

oui tout à fait, un failure audit est généré par la fonction AccessCheck
(ses dérivées
AccessCheckAndAuditAlarm etc.).
Le token de l'appli qui se présente est vérifié par SRM (Security Reference
Monitor) auprès des ACL de l'objet qui doit être accédé (c'est la fonction
AccessCheck qui réalise l'appel à SRM) et un failure audit est logué en cas
d'access denied.

C'est un mécanisme générique de contrôle d'accès aux objets valable quelle
que soit l'appli. (Vous pouvez vous même intégrer un accesscheck dans vos
appli et générer ces évênements d'audit).
Point de DNS, point de salut, ... mais point de failure audit non plus :-)

Par contre c'est vrai que le DNS entre en jeu dans la construction des SPN
(appel aux fonction dscrackname, desgetdcname etc., vérification si le
hostname est un alias ou un cname etc...), l'implémentation du MIT va même
faire un reverselookup.

En cas de pb, ça loguera son jeu d'erreur... mais pas un failure audit.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr


"Lognoul, Marc (Private)" a écrit :

OK mais cela ne va pas générer un audit failure je pense, plutôt une erreur
de style "server unavailable/unreachable"...

--
Marc
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]


"GG" news:
> Bonjour,
>
>> La dessus, je suis d'accord. Je voudrais juste comprendre le lien
>> entre le problème de l'écriture d'un SPN et le réplication/DNS.
>
> Fais l'essai d'ecrire dans un SPN quand un serveur DNS de cet
> AD est a la rue (simplement le serveur DNS de AD arrêté) et
> tu verras que tu as quelques soucis, si la demande vient du machine
> pas du DC lui-même, si essaie d'ecrire dans le SPN a partir du
> DC cela fonctionne, me semble-t-il du moins sur un SBS, alors
> que d'un serveur répliquant AD de SBS, ce n'est pas la peine.
> Je n'ai pas testé sur une plateforme standard (pas SBS) :)
>
> --
> Cordialement.
> GG.
> http://forums.sbsfr.org/
> un livre sur SBS http://livresbs.sbsfr.org/
>



Publicité
Poster une réponse
Anonyme