Credencial não permitida; domínio não disponível

Question

Prezados, boa tarde!

Configuramos v&aacute;rios notebooks para uso externo (longe do escrit&oacute;rio) e, portanto, distante do servidor. Para suporte e manuten&ccedil;&atilde;o destas m&aacute;quinas realizamos acesso remoto (Team Viewer) e usamos um usu&aacute;rio espec&iacute;fico (manuten&ccedil;&atilde;o) com perfil de administrador para autorizar o UAC (Controle de Conta de Usu&aacute;rio). Inicialmente as m&aacute;quinas foram configuradas com os respectivos usu&aacute;rios na condi&ccedil;&atilde;o de administradores. Ao t&eacute;rmino da parametriza&ccedil;&atilde;o os usu&aacute;rios deixaram de ser administradores. Assim, passou-se a utilizar a conta manuten&ccedil;&atilde;o.

Ocorre que uma das m&aacute;quinas n&atilde;o teve acesso da conta manuten&ccedil;&atilde;o quando ainda estava junto ao servidor, portanto, n&atilde;o houve registro no notebook da credencial do manuten&ccedil;&atilde;o como administrador.

Como fazer agora, remotamente, para atualizar as pol&iacute;ticas e inserir o usu&aacute;rio manuten&ccedil;&atilde;o naquela m&aacute;quina remota?

Ao estabelecer o VPN:
- nslookup retorna os dados do servidor da operadora de telefonia.
- ping no servidor.dominio.com.br n&atilde;o funciona
- ping no IP do servidor (192.168.1.1) funciona

Obrigado

Answer

N&atilde;o h&aacute; nenhum usu&aacute;rio administrador cadastrado e ativo na m&aacute;quina?

Answer

[QUOTE=jqueiroz, post: 7895579, member: 4978]N&atilde;o h&aacute; nenhum usu&aacute;rio administrador cadastrado e ativo na m&aacute;quina?[/QUOTE]
N&atilde;o, e este &eacute; o problema.
H&aacute; somente o usu&aacute;rio local user da instala&ccedil;&atilde;o do Windows, que precisa tamb&eacute;m ser removido.

Answer

Mas a m&aacute;quina est&aacute; no dom&iacute;nio?

E o usu&aacute;rio Administrador, padr&atilde;o, est&aacute; ativo?

[size=2]Enviado do meu smartphone[/size]

Answer

[QUOTE=jqueiroz, post: 7895591, member: 4978]Mas a m&aacute;quina est&aacute; no dom&iacute;nio?

E o usu&aacute;rio Administrador, padr&atilde;o, est&aacute; ativo?
[/QUOTE]
A m&aacute;quina est&aacute; sim no dom&iacute;nio.
H&aacute; usu&aacute;rio administrador ativo, contudo, sem as respectivas credenciais naquela m&aacute;quina local.

Desde que o Windows foi instalado apenas dois usu&aacute;rios foram utilizados: user (local) e fulano (dom&iacute;nio). O fulano tinha perfil administrador e com ele todas instala&ccedil;&otilde;es foram realizadas. Quando a m&aacute;quina ainda estava na intranet foi alterado o perfil do fulano para ele deixar de ser administrador, e ap&oacute;s atualiza&ccedil;&atilde;o na pol&iacute;tica local, isto refletiu na m&aacute;quina. Contudo, dali em diante nenhum usu&aacute;rio administrador fez login ou autorizou o UAC.

Answer

Mas toda m&aacute;quina tem um usu&aacute;rio administrador criado por padr&atilde;o, independente do dom&iacute;nio, o que ocorre &eacute; que muitas vezes ele &eacute; desabilitado.

Veja se esse usu&aacute;rio est&aacute; dispon&iacute;vel.

[size=2]Enviado do meu smartphone[/size]

Answer

[QUOTE=jqueiroz, post: 7895635, member: 4978]Mas toda m&aacute;quina tem um usu&aacute;rio administrador criado por padr&atilde;o, independente do dom&iacute;nio, o que ocorre &eacute; que muitas vezes ele &eacute; desabilitado.

Veja se esse usu&aacute;rio est&aacute; dispon&iacute;vel.
[/QUOTE]
Consegui acesso ao usu&aacute;rio local que &eacute; administrador.
Consegui tamb&eacute;m que a m&aacute;quina remota enxergue o servidor (ping ok) -> via VPN.
O que n&atilde;o consegui &eacute; que a m&aacute;quina remota reconhe&ccedil;a a m&aacute;quina do servidor como o Domain Controller. Portanto, n&atilde;o aceita nenhuma credencial diferente daquelas duas que ela tem na mem&oacute;ria (user e fulano).

Answer

Tem que mudar o servidor DNS principal da m&aacute;quina, colocar o endere&ccedil;o do DC como servidor DNS principal.
Coloca o servidor DNS normal dela como secund&aacute;rio, de forma que quando ela n&atilde;o esteja na rede local, ela consiga navegar na internet.

Answer

[QUOTE=jqueiroz, post: 7895945, member: 4978]Tem que mudar o servidor DNS principal da m&aacute;quina, colocar o endere&ccedil;o do DC como servidor DNS principal.
Coloca o servidor DNS normal dela como secund&aacute;rio, de forma que quando ela n&atilde;o esteja na rede local, ela consiga navegar na internet.[/QUOTE]
Obrigado pela sugest&atilde;o, mas ainda n&atilde;o resolvi a quest&atilde;o.

Seguindo sua sugest&atilde;o, fiz assim:
Alterei dados da conex&atilde;o de rede: propriedade da rede sem fio IP v4 > Avan&ccedil;ado > DNS > aqui coloquei os IP's na sequ&ecirc;ncia: 1&ordm; com IP do DC; 2&ordm; com IP alternativo do DC (DC faz o DNS). Portanto, ficou intencionalmente sem acesso &agrave; internet exatamente para for&ccedil;ar o tr&aacute;fego pelo Domain Controler. Pelo acima descrito, quando fora da intranet n&atilde;o haver&aacute; acesso &agrave; internet. Ent&atilde;o foi criado nova conex&atilde;o VPN apontando diretamente ao IP desejado (que foi previamente identificado via ping).

Ent&atilde;o, fora da intranet, segui as etapas:
1&ordm;) Modo avi&atilde;o ligado e depois desligado (para certificar-se de que os ajustes foram aplicados)
2&ordm;) Conectar ao domain controller via nova conex&atilde;o VPN > funcionou
3&ordm;) Testar conex&atilde;o &agrave; internet > funcionou
4&ordm;) Conectar ao servidor via Windows Explorer (com IP) e via Conex&atilde;o de &Aacute;rea de Trabalho Remota > funcionou

A&iacute; come&ccedil;aram os itens que n&atilde;o funcionaram:
5&ordm;) Conectar ao servidor via Windows Explorer (com nome) > n&atilde;o funcionou
6&ordm;) Testar o nslookup > n&atilde;o funcionou. Ele identificou o servidor da NET e n&atilde;o o domain controller; quando estamos na rede intranet, como nslookup retorna o domain controller.
7&ordm;) Testar o gpupdate > n&atilde;o funcionou. Pelos dois itens acima que n&atilde;o funcionaram, percebi que este item n&atilde;o funcionaria.

Nota: inicialmente percebi que tanto o modem do escrit&oacute;rio como o modem de casa estavam com o mesmo IP, ent&atilde;o mdudei para um n&uacute;mero exclusivo.

O que ser&aacute; que ainda est&aacute; errado?

Obrigado

Answer

Descomplica. Coloca o servidor DNS prim&aacute;rio como sendo o IP do DC, e o secund&aacute;rio como sendo o servidor DNS da rede onde a m&aacute;quina est&aacute; ligada, ou o do Google (8.8.8.8).
Voc&ecirc; precisa ter a internet funcionando, pra conseguir conectar na VPN.

Answer

[QUOTE=jqueiroz, post: 7899745, member: 4978]Descomplica. Coloca o servidor DNS prim&aacute;rio como sendo o IP do DC, e o secund&aacute;rio como sendo o servidor DNS da rede onde a m&aacute;quina est&aacute; ligada, ou o do Google (8.8.8.8).
Voc&ecirc; precisa ter a internet funcionando, pra conseguir conectar na VPN.[/QUOTE]
Em resumo, foi isso que fiz.

O motivo de ter dois IP's para o DC &eacute; que ele aparece IP com x.x.x.10 ou x.x.x.105 (n&atilde;o sei ao certo o motivo).
Quanto a internet funcionando: no setup indicado ela permanece ativa, somente os nomes n&atilde;o ser&atilde;o resolvidos pela falta de DNS. Da&iacute; que, uma vez fechado a VPN (via IP e n&atilde;o pelo nome), os nomes passar&atilde;o a ser resolvidos pelo DC (que &eacute; o DNS da rede).
Contudo, o problema parece estar no fato do Windows n&atilde;o identificar o dom&iacute;nio a partir dessa VPN (logo, os comandos nslookup e gpupdate n&atilde;o funcionam).

O que ser&aacute; que est&aacute; errado?
Deveria ter usado algum outro par&acirc;metro no VPN? (usei PPTP).

Answer

Ent&atilde;o... vc n&atilde;o precisa configurar os dois endere&ccedil;os do DC, basta um --- desde que funcione. O outro servidor DNS, voc&ecirc; mant&eacute;m um que v&aacute; funcionar fora da sua rede.
Outra forma seria voc&ecirc; for&ccedil;ar os nomes que s&atilde;o necess&aacute;rios no seu arquivo HOSTS, mas isso seria bem complicado de fazer funcionar.

Pode tamb&eacute;m olhar o firewall do servidor, pra garantir que ele est&aacute; dando passagem pro IP de conex&atilde;o da VPN.

Answer

Quanto aos dois IPs do servidor, ok. Vou deixar apenas um e repetir o teste.
Quanto ao firewall acho que n&atilde;o h&aacute; problema porque consigo navegar nos arquivos do servidor.

Answer

O dom&iacute;nio usa outras portas al&eacute;m da 80/tcp e 443/tcp. Por baixo, vai precisar das portas da rede windows, tipo 135, 138, 450, tcp e udp, e ainda pode precisar das portas 389/tcp e 663/tcp (ldap/ldaps).

Answer

[QUOTE=jqueiroz, post: 7901353, member: 4978]O dom&iacute;nio usa outras portas al&eacute;m da 80/tcp e 443/tcp. Por baixo, vai precisar das portas da rede windows, tipo 135, 138, 450, tcp e udp, e ainda pode precisar das portas 389/tcp e 663/tcp (ldap/ldaps).[/QUOTE]
Entendi.
Vou fazer testes num notebook que tenho acesso, para depois tentar repetir a opera&ccedil;&atilde;o no outro notebook ao qual n&atilde;o tenho acesso.
Colocarei o resultado aqui.
Abs

Ferramentas

Mover Tópico