Discussione:
Problemi Client 98 con dominio Win 2003 Server
(troppo vecchio per rispondere)
Claudio
2005-08-25 15:03:11 UTC
Permalink
Ho installato un server 2003 che controlla un dominio primario.

Ho problemi con client win98SE del tipo:
1) a volte il client non riesce a loggarsi e mi dice che la password è
errata o non c'è non server per la convalida della password;
2) se si collegano dopo circa 20 min. si scollegano e mi richiede la
password per sfogliare la rete;
3) altre volte impiega tempo a sfogliare la rete.

Sul client win98

Ho installato il dsclient v. 5.0.2920.0

ho aggiunto nel registro le seguenti chiavi:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"LMCompatibility"=dword:00000003

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0]
"NtlmMinClientSec"=dword:00000000

il DNS e WINS puntano sull'indirizzo ip del server Win 2003

Sul server 2003 ho modificato i criteri di gruppo: Server di rete Microsoft:
aggiungi firma digitale alle comunicazioni client (sempre) e Membro di
dominio: aggiunta crittografia o firma digitale ai dati del canale protetto
(sempre)

ho installato anche il server wins e dns.

Continuo comunque ad avere gli stessi problemi, qualcuno può aiutarmi
grazie.
Rossano Orlandini [MVP]
2005-08-25 15:16:27 UTC
Permalink
On Thu, 25 Aug 2005 17:03:11 +0200, "Claudio"
Post by Claudio
Ho installato un server 2003 che controlla un dominio primario.
1) a volte il client non riesce a loggarsi e mi dice che la password è
errata o non c'è non server per la convalida della password;
2) se si collegano dopo circa 20 min. si scollegano e mi richiede la
password per sfogliare la rete;
3) altre volte impiega tempo a sfogliare la rete.
Sul client win98
Ho installato il dsclient v. 5.0.2920.0
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"LMCompatibility"=dword:00000003
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0]
"NtlmMinClientSec"=dword:00000000
il DNS e WINS puntano sull'indirizzo ip del server Win 2003
aggiungi firma digitale alle comunicazioni client (sempre) e Membro di
dominio: aggiunta crittografia o firma digitale ai dati del canale protetto
(sempre)
Spero che queste due voci siano ora disabilitate!
Post by Claudio
ho installato anche il server wins e dns.
Continuo comunque ad avere gli stessi problemi, qualcuno può aiutarmi
grazie.
Oltre a quanto scritto sopra sulla firma digitale di comunicazione, se
non funziona, puoi provare sul server a digitare da prompt dei
comandi: net config server /autodisconnect:-1
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Claudio
2005-08-25 15:56:44 UTC
Permalink
Post by Rossano Orlandini [MVP]
On Thu, 25 Aug 2005 17:03:11 +0200, "Claudio"
Post by Claudio
Ho installato un server 2003 che controlla un dominio primario.
1) a volte il client non riesce a loggarsi e mi dice che la password è
errata o non c'è non server per la convalida della password;
2) se si collegano dopo circa 20 min. si scollegano e mi richiede la
password per sfogliare la rete;
3) altre volte impiega tempo a sfogliare la rete.
Sul client win98
Ho installato il dsclient v. 5.0.2920.0
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]
"LMCompatibility"=dword:00000003
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0]
"NtlmMinClientSec"=dword:00000000
il DNS e WINS puntano sull'indirizzo ip del server Win 2003
aggiungi firma digitale alle comunicazioni client (sempre) e Membro di
dominio: aggiunta crittografia o firma digitale ai dati del canale protetto
(sempre)
Spero che queste due voci siano ora disabilitate!
Post by Claudio
ho installato anche il server wins e dns.
Continuo comunque ad avere gli stessi problemi, qualcuno può aiutarmi
grazie.
Oltre a quanto scritto sopra sulla firma digitale di comunicazione, se
non funziona, puoi provare sul server a digitare da prompt dei
comandi: net config server /autodisconnect:-1
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Ma se il server si riavvia devo digitare nuovamente il comando? sembre se
con questo risolvo.
Rossano Orlandini [MVP]
2005-08-25 20:08:50 UTC
Permalink
On Thu, 25 Aug 2005 17:56:44 +0200, "Claudio"
<***@tiscali.it> wrote:

[CUT]
Post by Claudio
Post by Rossano Orlandini [MVP]
Oltre a quanto scritto sopra sulla firma digitale di comunicazione, se
non funziona, puoi provare sul server a digitare da prompt dei
comandi: net config server /autodisconnect:-1
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Ma se il server si riavvia devo digitare nuovamente il comando? sembre se
con questo risolvo.
No, quel comando crea due valori di registro che non vengono persi al
riavvio. Facci sapere.
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Claudio
2005-08-26 11:24:11 UTC
Permalink
Questa mattina un client 98 che iere erà entrato in rete oggi mi dice che la
password è errata o che il servere di dominio non è raggiungibile, inve
l'altro client che ieri dava problemi oggi ha funzionato regolrmente almeno
fino adesso.

Questo dopo che ho eseguiti il comando da te descritto.

Ciao
Claudio.
Post by Rossano Orlandini [MVP]
On Thu, 25 Aug 2005 17:56:44 +0200, "Claudio"
[CUT]
Post by Claudio
Post by Rossano Orlandini [MVP]
Oltre a quanto scritto sopra sulla firma digitale di comunicazione, se
non funziona, puoi provare sul server a digitare da prompt dei
comandi: net config server /autodisconnect:-1
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Ma se il server si riavvia devo digitare nuovamente il comando? sembre se
con questo risolvo.
No, quel comando crea due valori di registro che non vengono persi al
riavvio. Facci sapere.
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Rossano Orlandini [MVP]
2005-08-26 11:47:05 UTC
Permalink
On Fri, 26 Aug 2005 13:24:11 +0200, "Claudio"
Post by Claudio
Questa mattina un client 98 che iere erà entrato in rete oggi mi dice che la
password è errata o che il servere di dominio non è raggiungibile, inve
l'altro client che ieri dava problemi oggi ha funzionato regolrmente almeno
fino adesso.
Questo dopo che ho eseguiti il comando da te descritto.
Uno su due, non è male :-)
A parte l'autodisconnect, l'impostazione nella Default Domain
Controller Policy riguardo alla firma digitale è stata disabilitata?
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Claudio
2005-08-26 13:46:30 UTC
Permalink
Uno su due perchè il resto dei client oggi è stato fermo :-)

Ho disabilitato tutto quello che è descritto nel documento SECINTEROP.HTM
che si trova sul cd di win 2003 e cioè:

Configurazione computer\Impostazioni di Windows\Impostazioni
protezione\Criteri locali\Opzioni di protezione\Server di rete Microsoft:
aggiungi firma digitale alle comunicazioni client (sempre)

Configurazione computer\Impostazioni di Windows\Impostazioni
protezione\Criteri locali\Opzioni di protezione\Membro di dominio: aggiunta
crittografia o firma digitale ai dati del canale protetto (sempre)

si devono disabilitare alle firme?
Post by Rossano Orlandini [MVP]
On Fri, 26 Aug 2005 13:24:11 +0200, "Claudio"
Post by Claudio
Questa mattina un client 98 che iere erà entrato in rete oggi mi dice che la
password è errata o che il servere di dominio non è raggiungibile, inve
l'altro client che ieri dava problemi oggi ha funzionato regolrmente almeno
fino adesso.
Questo dopo che ho eseguiti il comando da te descritto.
Uno su due, non è male :-)
A parte l'autodisconnect, l'impostazione nella Default Domain
Controller Policy riguardo alla firma digitale è stata disabilitata?
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Rossano Orlandini [MVP]
2005-08-26 17:13:05 UTC
Permalink
On Fri, 26 Aug 2005 15:46:30 +0200, "Claudio"
Post by Claudio
Uno su due perchè il resto dei client oggi è stato fermo :-)
Ho disabilitato tutto quello che è descritto nel documento SECINTEROP.HTM
Configurazione computer\Impostazioni di Windows\Impostazioni
aggiungi firma digitale alle comunicazioni client (sempre)
Configurazione computer\Impostazioni di Windows\Impostazioni
protezione\Criteri locali\Opzioni di protezione\Membro di dominio: aggiunta
crittografia o firma digitale ai dati del canale protetto (sempre)
si devono disabilitare alle firme?
Quello che è scritto in quel file documento, ma la traduzione italiana
è: "aggiungi firma digitale alle comunicazioni client (sempre)".
Eventualmente anche la voce "aggiungi firma digitale alle
comunicazioni client (se autorizzato dal client). Entrambe le voci
debbono essere disabilitate. E ricordo che stiamo parlando de Criterio
di protezione del controller di dominio. Questo è importante.
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Claudio
2005-08-27 10:40:34 UTC
Permalink
Post by Rossano Orlandini [MVP]
On Fri, 26 Aug 2005 15:46:30 +0200, "Claudio"
Post by Claudio
Uno su due perchè il resto dei client oggi è stato fermo :-)
Ho disabilitato tutto quello che è descritto nel documento SECINTEROP.HTM
Configurazione computer\Impostazioni di Windows\Impostazioni
aggiungi firma digitale alle comunicazioni client (sempre)
Configurazione computer\Impostazioni di Windows\Impostazioni
protezione\Criteri locali\Opzioni di protezione\Membro di dominio: aggiunta
crittografia o firma digitale ai dati del canale protetto (sempre)
si devono disabilitare alle firme?
Quello che è scritto in quel file documento, ma la traduzione italiana
è: "aggiungi firma digitale alle comunicazioni client (sempre)".
Eventualmente anche la voce "aggiungi firma digitale alle
comunicazioni client (se autorizzato dal client). Entrambe le voci
debbono essere disabilitate. E ricordo che stiamo parlando de Criterio
di protezione del controller di dominio. Questo è importante.
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Per disabilitare le firme io lancio dsa.msc da esegui , proprietà del
dominio, criteri di gruppo e poi modifica Default Domain Policy e da li vado
a modificare i criteri.

Comunque oggi il client98 in questione si è logato, lunedi vediamo che
succede.
Rossano Orlandini [MVP]
2005-08-27 11:06:25 UTC
Permalink
On Sat, 27 Aug 2005 12:40:34 +0200, "Claudio"
<***@tiscali.it> wrote:

[CUT]
Post by Claudio
Per disabilitare le firme io lancio dsa.msc da esegui , proprietà del
dominio, criteri di gruppo e poi modifica Default Domain Policy e da li vado
a modificare i criteri.
Comunque oggi il client98 in questione si è logato, lunedi vediamo che
succede.
Quello che fai tu (Default Domain Policy) non è la stessa cosa della
Default Domain Controller Policy, come ti ho già scritto due volte...
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Claudio
2005-08-28 17:19:52 UTC
Permalink
Post by Rossano Orlandini [MVP]
On Sat, 27 Aug 2005 12:40:34 +0200, "Claudio"
[CUT]
Post by Claudio
Per disabilitare le firme io lancio dsa.msc da esegui , proprietà del
dominio, criteri di gruppo e poi modifica Default Domain Policy e da li vado
a modificare i criteri.
Comunque oggi il client98 in questione si è logato, lunedi vediamo che
succede.
Quello che fai tu (Default Domain Policy) non è la stessa cosa della
Default Domain Controller Policy, come ti ho già scritto due volte...
Scusa all'ignoranza, ma com posso accedere al "Default Domain Controller
Policy"?
Ha il server è in lingua Italiana.
Michele Betelli
2005-08-28 17:36:19 UTC
Permalink
Hello Claudio,
Post by Claudio
Scusa all'ignoranza, ma com posso accedere al "Default Domain
Controller
Policy"?
Ha il server è in lingua Italiana.
Di default quella policy è linkata sulla OU "Domain Controllers".
Se usi la GPMC la trovi insieme a tutte le altre GPO, quindi sotto il nodo
"Group Policy Objects"
Altrimenti fai tasto destro/proprietà su quella OU.

Ciao.
--
Mitc
Rossano Orlandini [MVP]
2005-08-29 10:21:41 UTC
Permalink
On Sun, 28 Aug 2005 19:19:52 +0200, "Claudio"
Post by Claudio
Post by Rossano Orlandini [MVP]
On Sat, 27 Aug 2005 12:40:34 +0200, "Claudio"
[CUT]
Post by Claudio
Per disabilitare le firme io lancio dsa.msc da esegui , proprietà del
dominio, criteri di gruppo e poi modifica Default Domain Policy e da li vado
a modificare i criteri.
Comunque oggi il client98 in questione si è logato, lunedi vediamo che
succede.
Quello che fai tu (Default Domain Policy) non è la stessa cosa della
Default Domain Controller Policy, come ti ho già scritto due volte...
Scusa all'ignoranza, ma com posso accedere al "Default Domain Controller
Policy"?
Ha il server è in lingua Italiana.
Nello snap-in di Utenti e Computer di AD, vai clic di destro sul
container Domain Controller. Oppure usi la GPMC. Oppure ti trovi il
collegamento diretto "Criteri di protezione controllore di dominio"
(parte security) negli Strumenti di amministrazione.
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Claudio
2005-08-29 17:21:23 UTC
Permalink
OK!
Questa mattina il client è rientrato nel dominio dopo che ho cancellato
dal registro di windows del client la chiave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa che avevo inserito
precedentemente.
Anche gli altri client 98 hanno lavorato tranquillamente.

In serata ho controllato la disattivazione delle firme seguendo il percorso
da te indicato e ho visto che risultavano attive e ho provveduto a
disattivarle.

Ma perchè i client 98 si sono loggati anche con le firme attive?

per adesso ti ringrazio se continuo ad avere altri problemi mi rifarò vivo.
Ciao Claudio.
Post by Rossano Orlandini [MVP]
On Sun, 28 Aug 2005 19:19:52 +0200, "Claudio"
Post by Claudio
Post by Rossano Orlandini [MVP]
On Sat, 27 Aug 2005 12:40:34 +0200, "Claudio"
[CUT]
Post by Claudio
Per disabilitare le firme io lancio dsa.msc da esegui , proprietà del
dominio, criteri di gruppo e poi modifica Default Domain Policy e da li vado
a modificare i criteri.
Comunque oggi il client98 in questione si è logato, lunedi vediamo che
succede.
Quello che fai tu (Default Domain Policy) non è la stessa cosa della
Default Domain Controller Policy, come ti ho già scritto due volte...
Scusa all'ignoranza, ma com posso accedere al "Default Domain Controller
Policy"?
Ha il server è in lingua Italiana.
Nello snap-in di Utenti e Computer di AD, vai clic di destro sul
container Domain Controller. Oppure usi la GPMC. Oppure ti trovi il
collegamento diretto "Criteri di protezione controllore di dominio"
(parte security) negli Strumenti di amministrazione.
--
Rossano Orlandini
MCSE MCSA MVP - Windows Server
Continua a leggere su narkive:
Loading...