Problemas replicación entre DC's

Mira si hay algo que te pueda aclarar tu caso:

http://www.eventid.net/display.asp?eventid83&eventno‘9&source=NTDS%20Replication&phase=1

http://www.eventid.net/display.asp?eventid55&eventnoC01&source=NTDS%20Replication&phase=1

http://www.eventid.net/display.asp?eventid294&eventno‡5&source=SAM&phase=1



http://support.microsoft.com/?scid=...5923&x$&y=6



Un saludo
Fernando Reyes [MS MVP]
MCSA, MCSE, MCTS
http://freyes.svetlian.com
http://urpiano.wordpress.com
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Laura Astur" wrote:

Buenas tardes,

Actualmente tenemos un dominio Windows 2003 con dos controladores de dominio
DC1 y DC2. El nivel funcional es Windows es 2000 mixto y el del bosque
Windows 2000. Los DC son Windows 2003 Standard R2. Los roles están
distribuidos de la siguiente forma:
- DC1: Global Catalog, Domain Naming Master, Schema Master y PDC Emulator.
- DC2: Global Catalog, RID Master e Infraestrure Master.

1. Últimamente estamos recibiendo los siguientes errores en el visor de
sucesos del DC2:
Eventos Servicio de directorio: (se genera sobre 20 veces cada noche)
1083_ NTDS Replication_ AD no pudo actualizan el objeto CN=administrador
CN=users DC=dominio…
1955_ NTDS Replication_ AD encontro conflicto escritura sobre objeto
CN=administrador CN=users DC=dominio …
Eventos del Servicio de replicación de archivos: (se genera un evento al día)
13508_NtFrs_ … problemas replicación desde DC1 a DC2 para
c:\windows\sysvol\domain…
Eventos de Sistema: (se genera sobre 6 veces al dia por la noche)
12294_ SAM_La BD SAM no ha podido desbloquear la cuenta Administrado por …

He observado que a la hora que se observan estos eventos en el log de
seguridad se muestran los eventos:
836_ Acceso del servicio de directorio_SYSTEM_desde DC2 a DC1
837_ Acceso del servicio de directorio_SYSTEM_desde DC2 a DC1

2. He ejecutado dcdiag dando el siguiente error
Starting test: frsevent
There are warning or error events within the last 24 hours after
the SYSVOL has been shared. Failing SYSVOL replication problems may
cause Group Policy problems.
. DC2 failed test frsevent

3. He ejecutado netdiag observando la siguiente inconcluencia:
En DC1 el resultado es:
Trust relationship test. . . . . . : Skipped
Sin embargo en el DC2 es:
Trust relationship test. . . . . . : Passed
Secure channel for domain 'dominio' is to '\\DC1.dominio.local'.

4. He ejecutado herramientas tipo repadmin, dnslint pero no observo ningún
error.


Muchas gracias

Muchas gracias Fernando, echaré un vistazo a los links que me has pasado.

Un saludo

"Fernando Reyes [MS MVP]" wrote:

Mira si hay algo que te pueda aclarar tu caso:

http://www.eventid.net/display.asp?eventid83&eventno‘9&source=NTDS%20Replication&phase=1

http://www.eventid.net/display.asp?eventid55&eventnoC01&source=NTDS%20Replication&phase=1

http://www.eventid.net/display.asp?eventid294&eventno‡5&source=SAM&phase=1



http://support.microsoft.com/?scid=...5923&x$&y=6



Un saludo
Fernando Reyes [MS MVP]
MCSA, MCSE, MCTS
http://freyes.svetlian.com
http://urpiano.wordpress.com
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Laura Astur" wrote:

> Buenas tardes,
>
> Actualmente tenemos un dominio Windows 2003 con dos controladores de dominio
> DC1 y DC2. El nivel funcional es Windows es 2000 mixto y el del bosque
> Windows 2000. Los DC son Windows 2003 Standard R2. Los roles están
> distribuidos de la siguiente forma:
> - DC1: Global Catalog, Domain Naming Master, Schema Master y PDC Emulator.
> - DC2: Global Catalog, RID Master e Infraestrure Master.
>
> 1. Últimamente estamos recibiendo los siguientes errores en el visor de
> sucesos del DC2:
> Eventos Servicio de directorio: (se genera sobre 20 veces cada noche)
> 1083_ NTDS Replication_ AD no pudo actualizan el objeto CN=administrador
> CN=users DC=dominio…
> 1955_ NTDS Replication_ AD encontro conflicto escritura sobre objeto
> CN=administrador CN=users DC=dominio …
> Eventos del Servicio de replicación de archivos: (se genera un evento al día)
> 13508_NtFrs_ … problemas replicación desde DC1 a DC2 para
> c:\windows\sysvol\domain…
> Eventos de Sistema: (se genera sobre 6 veces al dia por la noche)
> 12294_ SAM_La BD SAM no ha podido desbloquear la cuenta Administrado por …
>
> He observado que a la hora que se observan estos eventos en el log de
> seguridad se muestran los eventos:
> 836_ Acceso del servicio de directorio_SYSTEM_desde DC2 a DC1
> 837_ Acceso del servicio de directorio_SYSTEM_desde DC2 a DC1
>
> 2. He ejecutado dcdiag dando el siguiente error
> Starting test: frsevent
> There are warning or error events within the last 24 hours after
> the SYSVOL has been shared. Failing SYSVOL replication problems may
> cause Group Policy problems.
> . DC2 failed test frsevent
>
> 3. He ejecutado netdiag observando la siguiente inconcluencia:
> En DC1 el resultado es:
> Trust relationship test. . . . . . : Skipped
> Sin embargo en el DC2 es:
> Trust relationship test. . . . . . : Passed
> Secure channel for domain 'dominio' is to '\\DC1.dominio.local'.
>
> 4. He ejecutado herramientas tipo repadmin, dnslint pero no observo ningún
> error.
>
>
> Muchas gracias

Buenos días,
He realizado diversas pruebas con la documentación de los enlaces que me
pusiste:
- Cambiar la contraseña del administrador del dominio y revisar contraseñas
de servicios.
- Repamin /syncall
- Reiniciar servicios “NT LM Security …”, “FRS”…
- Revisar la configuración DHCP y la cuenta asociada…
- He actualizado y analizado Panda. Tambien he pasado MalwareBytes y no
encuentra nada.

Las pruebas que me han reportado algún resultado interesante son:
- Herramienta Lockout status me indica que la cuenta administrador de los
DC’s no esta bloqueada pero que la ultima vez que se introdujo una contraseña
incorrecta fue a las 10:40.
- He modificado la auditoria en la política de los controladores y me
encuentro con que a la hora arriba indica se generan dos eventos en seguridad:
o 529_ Inicio/cierre sesion (este se genera solo en el DC2)
Error al iniciar sesión:
Razón: Nombre de usuario desconocido o contraseña incorrecta
Nombre de usuario: administrador
Dominio: dominio
Tipo de inicio de sesión: 4
Proceso de inicio de sesión: Advapi
Paquete de autenticación: Negotiate
Nombre de estación de trabajo: DC2 Nombre de usuario del llamador: DC2$
Dominio del llamador: dominio
Id de inicio de sesión del llamador: (0x0,0x3E7)
Id del proceso del llamador: 864

o 675_ Inicio de sesion de la cuenta: (este evento se genera en ambos DC’s)
Error de preautenticación:
Nombre de usuario: Administrador
Id. de usuario: dominio\Administrador
Nombre de sevicio: krbtgt/dominio
Tipo de preautenticación: 0x2
Código de error: 0x18
Dirección de cliente: 127.0.0.1

He intentado buscar la cuenta de kerberos pero no se si no existe cuenta, si
esta oculta...?¿?

¿Que puedo hacer? ¿Que mas puedo mirar?


Gracias
"Fernando Reyes [MS MVP]" wrote:

Mira si hay algo que te pueda aclarar tu caso:

http://www.eventid.net/display.asp?eventid83&eventno‘9&source=NTDS%20Replication&phase=1

http://www.eventid.net/display.asp?eventid55&eventnoC01&source=NTDS%20Replication&phase=1

http://www.eventid.net/display.asp?eventid294&eventno‡5&source=SAM&phase=1



http://support.microsoft.com/?scid=...5923&x$&y=6



Un saludo
Fernando Reyes [MS MVP]
MCSA, MCSE, MCTS
http://freyes.svetlian.com
http://urpiano.wordpress.com
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Laura Astur" wrote:

> Buenas tardes,
>
> Actualmente tenemos un dominio Windows 2003 con dos controladores de dominio
> DC1 y DC2. El nivel funcional es Windows es 2000 mixto y el del bosque
> Windows 2000. Los DC son Windows 2003 Standard R2. Los roles están
> distribuidos de la siguiente forma:
> - DC1: Global Catalog, Domain Naming Master, Schema Master y PDC Emulator.
> - DC2: Global Catalog, RID Master e Infraestrure Master.
>
> 1. Últimamente estamos recibiendo los siguientes errores en el visor de
> sucesos del DC2:
> Eventos Servicio de directorio: (se genera sobre 20 veces cada noche)
> 1083_ NTDS Replication_ AD no pudo actualizan el objeto CN=administrador
> CN=users DC=dominio…
> 1955_ NTDS Replication_ AD encontro conflicto escritura sobre objeto
> CN=administrador CN=users DC=dominio …
> Eventos del Servicio de replicación de archivos: (se genera un evento al día)
> 13508_NtFrs_ … problemas replicación desde DC1 a DC2 para
> c:\windows\sysvol\domain…
> Eventos de Sistema: (se genera sobre 6 veces al dia por la noche)
> 12294_ SAM_La BD SAM no ha podido desbloquear la cuenta Administrado por …
>
> He observado que a la hora que se observan estos eventos en el log de
> seguridad se muestran los eventos:
> 836_ Acceso del servicio de directorio_SYSTEM_desde DC2 a DC1
> 837_ Acceso del servicio de directorio_SYSTEM_desde DC2 a DC1
>
> 2. He ejecutado dcdiag dando el siguiente error
> Starting test: frsevent
> There are warning or error events within the last 24 hours after
> the SYSVOL has been shared. Failing SYSVOL replication problems may
> cause Group Policy problems.
> . DC2 failed test frsevent
>
> 3. He ejecutado netdiag observando la siguiente inconcluencia:
> En DC1 el resultado es:
> Trust relationship test. . . . . . : Skipped
> Sin embargo en el DC2 es:
> Trust relationship test. . . . . . : Passed
> Secure channel for domain 'dominio' is to '\\DC1.dominio.local'.
>
> 4. He ejecutado herramientas tipo repadmin, dnslint pero no observo ningún
> error.
>
>
> Muchas gracias

Pues me temo que teneis un virus, el NetDevil 1,2:

http://www.processlibrary.com/direc...es/advapi/
http://www.trucoswindows.net/s-proc...advapi.htm
http://threatinfo.trendmicro.com/vi...ETDEVIL.12



Un saludo
Fernando Reyes [MS MVP]
MCSA, MCSE, MCTS
http://freyes.svetlian.com
http://urpiano.wordpress.com
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Laura Astur" wrote:

Buenos días,
He realizado diversas pruebas con la documentación de los enlaces que me
pusiste:
- Cambiar la contraseña del administrador del dominio y revisar contraseñas
de servicios.
- Repamin /syncall
- Reiniciar servicios “NT LM Security …”, “FRS”…
- Revisar la configuración DHCP y la cuenta asociada…
- He actualizado y analizado Panda. Tambien he pasado MalwareBytes y no
encuentra nada.

Las pruebas que me han reportado algún resultado interesante son:
- Herramienta Lockout status me indica que la cuenta administrador de los
DC’s no esta bloqueada pero que la ultima vez que se introdujo una contraseña
incorrecta fue a las 10:40.
- He modificado la auditoria en la política de los controladores y me
encuentro con que a la hora arriba indica se generan dos eventos en seguridad:
o 529_ Inicio/cierre sesion (este se genera solo en el DC2)
Error al iniciar sesión:
Razón: Nombre de usuario desconocido o contraseña incorrecta
Nombre de usuario: administrador
Dominio: dominio
Tipo de inicio de sesión: 4
Proceso de inicio de sesión: Advapi
Paquete de autenticación: Negotiate
Nombre de estación de trabajo: DC2 Nombre de usuario del llamador: DC2$
Dominio del llamador: dominio
Id de inicio de sesión del llamador: (0x0,0x3E7)
Id del proceso del llamador: 864

o 675_ Inicio de sesion de la cuenta: (este evento se genera en ambos DC’s)
Error de preautenticación:
Nombre de usuario: Administrador
Id. de usuario: dominio\Administrador
Nombre de sevicio: krbtgt/dominio
Tipo de preautenticación: 0x2
Código de error: 0x18
Dirección de cliente: 127.0.0.1

He intentado buscar la cuenta de kerberos pero no se si no existe cuenta, si
esta oculta...?¿?

¿Que puedo hacer? ¿Que mas puedo mirar?


Gracias
"Fernando Reyes [MS MVP]" wrote:

> Mira si hay algo que te pueda aclarar tu caso:
>
> http://www.eventid.net/display.asp?eventid83&eventno‘9&source=NTDS%20Replication&phase=1
>
> http://www.eventid.net/display.asp?eventid55&eventnoC01&source=NTDS%20Replication&phase=1
>
> http://www.eventid.net/display.asp?eventid294&eventno‡5&source=SAM&phase=1
>
>
>
> http://support.microsoft.com/?scid=...5923&x$&y=6
>
>
>
> Un saludo
> Fernando Reyes [MS MVP]
> MCSA, MCSE, MCTS
> http://freyes.svetlian.com
> http://urpiano.wordpress.com
> freyes.champú@champú.mvps.org
> (Aclárate la cabeza si quieres escribirme)
>
>
> "Laura Astur" wrote:
>
> > Buenas tardes,
> >
> > Actualmente tenemos un dominio Windows 2003 con dos controladores de dominio
> > DC1 y DC2. El nivel funcional es Windows es 2000 mixto y el del bosque
> > Windows 2000. Los DC son Windows 2003 Standard R2. Los roles están
> > distribuidos de la siguiente forma:
> > - DC1: Global Catalog, Domain Naming Master, Schema Master y PDC Emulator.
> > - DC2: Global Catalog, RID Master e Infraestrure Master.
> >
> > 1. Últimamente estamos recibiendo los siguientes errores en el visor de
> > sucesos del DC2:
> > Eventos Servicio de directorio: (se genera sobre 20 veces cada noche)
> > 1083_ NTDS Replication_ AD no pudo actualizan el objeto CN=administrador
> > CN=users DC=dominio…
> > 1955_ NTDS Replication_ AD encontro conflicto escritura sobre objeto
> > CN=administrador CN=users DC=dominio …
> > Eventos del Servicio de replicación de archivos: (se genera un evento al día)
> > 13508_NtFrs_ … problemas replicación desde DC1 a DC2 para
> > c:\windows\sysvol\domain…
> > Eventos de Sistema: (se genera sobre 6 veces al dia por la noche)
> > 12294_ SAM_La BD SAM no ha podido desbloquear la cuenta Administrado por …
> >
> > He observado que a la hora que se observan estos eventos en el log de
> > seguridad se muestran los eventos:
> > 836_ Acceso del servicio de directorio_SYSTEM_desde DC2 a DC1
> > 837_ Acceso del servicio de directorio_SYSTEM_desde DC2 a DC1
> >
> > 2. He ejecutado dcdiag dando el siguiente error
> > Starting test: frsevent
> > There are warning or error events within the last 24 hours after
> > the SYSVOL has been shared. Failing SYSVOL replication problems may
> > cause Group Policy problems.
> > . DC2 failed test frsevent
> >
> > 3. He ejecutado netdiag observando la siguiente inconcluencia:
> > En DC1 el resultado es:
> > Trust relationship test. . . . . . : Skipped
> > Sin embargo en el DC2 es:
> > Trust relationship test. . . . . . : Passed
> > Secure channel for domain 'dominio' is to '\\DC1.dominio.local'.
> >
> > 4. He ejecutado herramientas tipo repadmin, dnslint pero no observo ningún
> > error.
> >
> >
> > Muchas gracias

Buenos días,
He revisado los enlaces que me pasaste. He intentado realizar el proceso
manual de eliminación de este virus pero en mi sistemas no tengo el proceso
advapi.exe, lo único que se le parece son las dll advapi32.dll
He descargado herramientas específicas para detectar este virus en los
equipos y nada.
He pasado antivirus online como eset Nod32, Panda… pero no me detecta ningún
virus.
He iniciado los servidores en modo seguro y ejecutado también el antivirus,
Malwarebytes y nada.
He observado en el visor de sucesos de seguridad los siguientes 2 eventos:
1. Error al iniciar sesión:
Razón: Nombre de usuario desconocido o contraseña incorrecta
Nombre de usuario: foo
Dominio: dominio
Tipo de inicio de sesión: 2
Proceso de inicio de sesión: Advapi
Paquete de autenticación: Negotiate
Nombre de estación de trabajo: DC2
Nombre de usuario del llamador: DC2$

2. Objeto abierto:
Servidor de objetos: SC Manager
Tipo de objeto: SC_MANAGER OBJECT
Nombre de objeto: ServicesActive
Id. del identificador: -
Id. de operación: {0,206047}
Id. de proceso: 552
Nombre de proceso: C:\WINDOWS\system32\services.exe
Nombre de usuario principal: DC1$
Dominio principal: dominio
Id. de inicio de sesión principal: (0x0,0x3E7)
Nombre de usuario del cliente: Servicio de red
Dominio de cliente: NT AUTHORITY
Id. de inicio de sesión del cliente: (0x0,0x3E4)
Accesos
DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Conectar a un controlador de servicios
Crear un nuevo servicio
Enumerar servicios
Bloquear la base de datos de los servicios para ser el único usuario con
acceso
Consultar el estado del bloqueo de la base de datos de los servicios
Recuperar el último estado aceptable de la base de datos de los servicios
Privilegios -
Cuenta de Id de seguridad restringida: 0
Máscara de acceso: 0xF003F

Según he visto por Internet el usuario foo parece tener alguna relación con
kerberos?¿?

¿Alguien me puede dar alguna indicación de por donde puedo seguir mirando?
Ya no se que mas hacer.


Muchas Gracias


"Fernando Reyes [MS MVP]" wrote:

Pues me temo que teneis un virus, el NetDevil 1,2:

http://www.processlibrary.com/direc...es/advapi/
http://www.trucoswindows.net/s-proc...dvapi.html
http://threatinfo.trendmicro.com/vi...ETDEVIL.12



Un saludo
Fernando Reyes [MS MVP]
MCSA, MCSE, MCTS
http://freyes.svetlian.com
http://urpiano.wordpress.com
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Laura Astur" wrote:

> Buenos días,
> He realizado diversas pruebas con la documentación de los enlaces que me
> pusiste:
> - Cambiar la contraseña del administrador del dominio y revisar contraseñas
> de servicios.
> - Repamin /syncall
> - Reiniciar servicios “NT LM Security …”, “FRS”…
> - Revisar la configuración DHCP y la cuenta asociada…
> - He actualizado y analizado Panda. Tambien he pasado MalwareBytes y no
> encuentra nada.
>
> Las pruebas que me han reportado algún resultado interesante son:
> - Herramienta Lockout status me indica que la cuenta administrador de los
> DC’s no esta bloqueada pero que la ultima vez que se introdujo una contraseña
> incorrecta fue a las 10:40.
> - He modificado la auditoria en la política de los controladores y me
> encuentro con que a la hora arriba indica se generan dos eventos en seguridad:
> o 529_ Inicio/cierre sesion (este se genera solo en el DC2)
> Error al iniciar sesión:
> Razón: Nombre de usuario desconocido o contraseña incorrecta
> Nombre de usuario: administrador
> Dominio: dominio
> Tipo de inicio de sesión: 4
> Proceso de inicio de sesión: Advapi
> Paquete de autenticación: Negotiate
> Nombre de estación de trabajo: DC2 Nombre de usuario del llamador: DC2$
> Dominio del llamador: dominio
> Id de inicio de sesión del llamador: (0x0,0x3E7)
> Id del proceso del llamador: 864
>
> o 675_ Inicio de sesion de la cuenta: (este evento se genera en ambos DC’s)
> Error de preautenticación:
> Nombre de usuario: Administrador
> Id. de usuario: dominio\Administrador
> Nombre de sevicio: krbtgt/dominio
> Tipo de preautenticación: 0x2
> Código de error: 0x18
> Dirección de cliente: 127.0.0.1
>
> He intentado buscar la cuenta de kerberos pero no se si no existe cuenta, si
> esta oculta...?¿?
>
> ¿Que puedo hacer? ¿Que mas puedo mirar?
>
>
> Gracias
> "Fernando Reyes [MS MVP]" wrote:
>
> > Mira si hay algo que te pueda aclarar tu caso:
> >
> > http://www.eventid.net/display.asp?eventid83&eventno‘9&source=NTDS%20Replication&phase=1
> >
> > http://www.eventid.net/display.asp?eventid55&eventnoC01&source=NTDS%20Replication&phase=1
> >
> > http://www.eventid.net/display.asp?eventid294&eventno‡5&source=SAM&phase=1
> >
> >
> >
> > http://support.microsoft.com/?scid=...5923&x$&y=6
> >
> >
> >
> > Un saludo
> > Fernando Reyes [MS MVP]
> > MCSA, MCSE, MCTS
> > http://freyes.svetlian.com
> > http://urpiano.wordpress.com
> > freyes.champú@champú.mvps.org
> > (Aclárate la cabeza si quieres escribirme)
> >
> >
> > "Laura Astur" wrote:
> >
> > > Buenas tardes,
> > >
> > > Actualmente tenemos un dominio Windows 2003 con dos controladores de dominio
> > > DC1 y DC2. El nivel funcional es Windows es 2000 mixto y el del bosque
> > > Windows 2000. Los DC son Windows 2003 Standard R2. Los roles están
> > > distribuidos de la siguiente forma:
> > > - DC1: Global Catalog, Domain Naming Master, Schema Master y PDC Emulator.
> > > - DC2: Global Catalog, RID Master e Infraestrure Master.
> > >
> > > 1. Últimamente estamos recibiendo los siguientes errores en el visor de
> > > sucesos del DC2:
> > > Eventos Servicio de directorio: (se genera sobre 20 veces cada noche)
> > > 1083_ NTDS Replication_ AD no pudo actualizan el objeto CN=administrador
> > > CN=users DC=dominio…
> > > 1955_ NTDS Replication_ AD encontro conflicto escritura sobre objeto
> > > CN=administrador CN=users DC=dominio …
> > > Eventos del Servicio de replicación de archivos: (se genera un evento al día)
> > > 13508_NtFrs_ … problemas replicación desde DC1 a DC2 para
> > > c:\windows\sysvol\domain…
> > > Eventos de Sistema: (se genera sobre 6 veces al dia por la noche)
> > > 12294_ SAM_La BD SAM no ha podido desbloquear la cuenta Administrado por …
> > >
> > > He observado que a la hora que se observan estos eventos en el log de
> > > seguridad se muestran los eventos:
> > > 836_ Acceso del servicio de directorio_SYSTEM_desde DC2 a DC1
> > > 837_ Acceso del servicio de directorio_SYSTEM_desde DC2 a DC1
> > >
> > > 2. He ejecutado dcdiag dando el siguiente error
> > > Starting test: frsevent
> > > There are warning or error events within the last 24 hours after
> > > the SYSVOL has been shared. Failing SYSVOL replication problems may
> > > cause Group Policy problems.
> > > . DC2 failed test frsevent
> > >
> > > 3. He ejecutado netdiag observando la siguiente inconcluencia:
> > > En DC1 el resultado es:
> > > Trust relationship test. . . . . . : Skipped
> > > Sin embargo en el DC2 es:
> > > Trust relationship test. . . . . . : Passed
> > > Secure channel for domain 'dominio' is to '\\DC1.dominio.local'.
> > >
> > > 4. He ejecutado herramientas tipo repadmin, dnslint pero no observo ningún
> > > error.
> > >
> > >
> > > Muchas gracias