SCCM Current Branch – Falha no Backup

Problema: 

O SCCM Current Branch apresenta erro para fazer backup.

Erro:

No log smsbkp.log o seguinte erro é apresentado:

Failed to backup \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\PROGRAM FILES\MICROSOFT CONFIGURATION MANAGER\CD.LATEST up to \\<SCCMBackupPath>\CD.Latest: ERROR: CTool::TreeCopy to \\SCCMBackup\CD.Latest failed. Error = [error code: 5, error message: Access is denied.].

Failed to copy file(s) Backup\CD.Latest.

Error: Backup Failed  for Component – Backup\CD.Latest.

After BackupComplete SMS Writer status = FAILED_AT_PREPARE_SNAPSHOT.

Error: VSS_E_WRITERERROR_TIMEOUT. Error Code = 0x80,042,3f2.

WARNING: SMS backup failed for atleast one component. Please check previous errors.

SMS_SITE_BACKUP failed. Please see previous errors.

______________________________________________________________

Info: Asynchronous BackupComplete finished.

After BackupComplete SMS Writer status = STABLE.

WARNING: SMS backup failed for atleast one component. Please check previous errors.

SMS_SITE_BACKUP failed. Please see previous errors.

______________________________________________________________

Solução: 

O antivírus (no meu caso McAfee) estava bloqueando a criação do arquivo “autorun.ini” no diretório de destino do Backup. No Log “On Acess Scan” era possível ver a seguinte mensagem:

Bloqueio por regra de proteção de acesso NT AUTHORITY\SYSTEM SYSTEM:REMOTE D:\***\BR5BACKUP\CD.LATEST\AUTORUN.INF Proteção padrão do antivírus: Impedir a criação remota de arquivos executados automaticamente Ação bloqueada: Criar

Configuramos uma exclusão de varredura para esse processo / arquivo e tudo voltou a funcionar

Anúncios

Erro ao configurar o ADFS no Windows Server 2012 R2

Sintoma:

Depois de instalar a Role de Active Directory Feredation Services (ADFS) no Windows Server 2012 R2 é necessário executar as tarefas de configuração pós-deployment.

Durante a configuração é necessário especificar um usuário com membro do grupo “Domain Admins” para configurar o ADFS e outro usuário de serviço para iniciar o serviço do ADFS.

Depois de especificar as credencias corretamente o seguinte erro é apresentado:

“You do not have sufficient privileges to create another container in Active Directory at location CN=<cn-id-code>,CN=ADFS,Microsoft,CN=Program Data,DC=domain,DC=my for use with shared ceritifcates. Verify that you are logged on as a Domain Admin or have sufficient privileges to create this container, and try again.

 

Diagnóstico:

Conecte-se no Active Directory Users and Computers (ADUC) e certifique-se que a opção “Advanced Features” está habilitada no menu “View“.

Certifique-se que a pasta “Program Datanão está criada.

 

Resolução

Inicie o ADSIEdit e conecte-se no domínio no contexto de “Default Naming Context

Navegue em “Default Naming Context” > “DC=my,DC=domain

Clique com o botão direito sobre “DC=my,DC=domain“, aponte para “new” e selecione “Object

Selecione container, clique em Next e digite “Program Data” no campo value:

Finalize o wizard com o padrão.

Confirme que o grupo “Domain Admins” tem acesso Full Control neste container

Tente configurar o ADFS novamente.

 

Microsoft Certification Authority apresentando Erro “Win32: 13” ao iniciar o serviço

Após a renovação do certificado do Root CA o seguinte erro pode ocorrer ao iniciar o serviço do Microsoft AD CA:

No Event Viewer ocorrem os erros Application Event ID 100 e System Event ID 7023:


A Microsoft disponibiliza um artigo com a solução para esse tipo de problema: https://support.microsoft.com/en-us/help/969302/certificate-server-service-does-not-start-and-you-receive-the-error-th

Para corrigir esse problema abra o mmc.exe e adicione a console de certificados. Navegue no painel à esquerda em Certificates > Personal > Certificates. Localize os certificados que são referentes à root CA.

Dica: procure pelo certificado cujo o valor de “Intendend Purposes” é “All” ou verifique o Certificate Template:

Para cada um dos certificados relacionados, clique duplo sobre eles e anote dois valores: “Thumprint” e “Previous CA Certificate Hash“.


O “Previous Certificate Hash” é o “Thumbprint” do certificado anterior. Deste modo, se o certificado foi renovado 3 vezes, você terá uma cadeia de certificados similar ao exemplo abaixo:

Anote o thumbprint do certificado mais recente.

Inicie o regedit.exe e naveguem em: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\<root-ca-name>\CACertHash

Faça um backup dessa chave, just in case, e edite a entrada CACertHash

Cada linha no valor equivale a 1 certificado e a última linha deve conter o thumbprint do certificado atual (o mais novo). Insira “-” para cada certificado anterior gerado.

Por exemplo, se houveram 3 renovações de certificado CA, o valor de CACertHash será:

2e db 30 24 cd 2b 50 55 b7 42 54 aa a8 e0 8b 30 3f 43 d4 db

 

Depois disso deve ser possível iniciar o serviço do Certification Authority

Tela azul no Windows 10 com Cisco AnyConnect

Problemas ocorrendo com o Windows 10 (build 1511) e o Cisco AnyConnect , que causam BSoD durante a reconexão com a VPN.

Segundo esse artigo da Microsoft  esse erro pode ocorrer devido a conflito entre o Cisco AnyConnect e o Credential Guard: https://docs.microsoft.com/pt-br/windows/access-protection/credential-guard/credential-guard-known-issues

Neste artigo a Cisco indica que o problema não ocorre com o Windows 10 em versões mais novas: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvc66692/?referring_site=bugquickviewclick

No meu caso atualizar a build do Windows 10 não era uma opção então contornei o problema desabitando o Credential Guard. Para isso executei o “Passo 1” desse procedimento da VMWare: https://kb.vmware.com/s/article/2146361.

Não cheguei a executar os demais passos do procedimento, mas avalie se isso é necessário em seu ambiente.

Reproduzo abaixo os passos descritos no procedimento da VMWare:

To disable Device Guard or Credential Guard:

1. Disable the group policy setting that was used to enable Credential Guard.

   a. On the host operating system, click Start > Run, type gpedit.msc, and click Ok. The Local group Policy Editor opens.
   b. Go to Local Computer Policy > Computer Configuration > Administrative Templates > System > Device Guard > Turn on Virtualization Based Security.
   c. Select Disabled.

2. Go to Control Panel > Uninstall a Program > Turn Windows features on or off to turn off Hyper-V.
3. Select Do not restart.
4. Delete the related EFI variables by launching a command prompt on the host machine using an Administrator account and run these commands:

  mountvol X: /s
  copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
  bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
  bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
  bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
  bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
  bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition= mountvol X: /d

Note: Ensure X is an unused drive, else change to another drive.

5. Restart the host.
6. Accept the prompt on the boot screen to disable Device Guard or Credential Guard.

 

Problema com pedal de Sustain Roland DP10

Estou escrevendo esse post pois tive um problema com o meu pedal de Sustain Roland DP10 e não consegui encontrar muita ajuda sobre o tema na internet.

Para quem não sabe o Roland DP10 é esse pedal de sustain aqui:

Pedal Roland DP10
Pedal Roland DP10

Recentemente o meu apresentou o seguinte problema: ou ele nunca sustentava o som ou ele fica num sustain eterno. Não adiantava alterar a chave da posição “control” para a posição “contiuous“, nem reconectar o pedal para “inverter a polaridade”.

Embora eu ache esses pedais Roland bem caros, eu já estava me conformando com a ideia de ter que comprar um novo, quando me deparei com esse vídeo no youtube:

Não gostei muito da solução, pois matar a placa secundária do pedal faz com que ele perca o fade-out do sustain. Em todo caso o vídeo me deu uma pista sobre o problema, então resolvi abrir o meu pedal. Com um multímetro eu identifiquei que os fios soldados à placa estavam sem continuidade com o conector.

Eu decidi substituir o cabo inteiro do pedal por um novo cabo de duas vias + terra.

Placa secundária do Roland DP10
Placa secundária do Roland DP10

No plug eu soldei os fios seguindo esse esquema:

Roland-Soldering Schema.png

 

Bom, é isso… essa manutenção me custou pouco mais de R$10,00 em componentes e mais ou menos 1 hora… bem abaixo do preço de um pedal novo e bem mais rápido que mandar pra uma assistência técnica.

Ativando KMS Host Server

Instalar o Volume Licensing Activation Services
Ativar o chave de Host KMS
Aguardar a replicação do DNS

Para configurar novos clients Windows não é necessário fazer nada!

Para converter clients de MAK para KMS:

REM Este comando remove chaves instaladas. Com ele vamos remover a chave MAK
cscript slmgr.vbs /upk
REM Este comando instala uma nova chave. Utilize uma das GVLK disponibilizadas pela Microsoft no link abaixo.
cscript slmgr.vbs /ipk:XXXX-XXXX-XXXX-XXXX-XXXX

GVLK para Windows: https://technet.microsoft.com/en-us/library/jj612867(v=ws.11).aspx

Habilitar o KMS Host para ativar instalações de Microsoft Office 2016

Para habilitar o KMS Host para ativar instalações do Office 2016 é necessário rodar o script de configuração do KMS Host para Office.

Para isso, acesse o Microsoft Volume Licensing Service Center (VLSC), em “Downloads e Chaves” localize e faça download do aplicativo “Office Professional Plus 2016 Key Management Service Host”.

KMS_IMG_1.PNG

Ele é uma ISO com pouco mais de 1MB que você deve copiar e montar no seu KMS Server. Ao fazer isso, você deve enxergar os seguintes arquivos:

KMS_IMG_2.PNG

Depois abra um prompt de comando com permissões elevadas e execute o seguinte comando:

wscript.exe kms_host.vbs

O script irá configurar o Volume Activation Services instalado no servidor e abrirá a janela de administração.  Insira a chave de KMS Host para Office Professional Plus 2016 nesse servidor e finalize o Wizard.

KMS_IMG_3.PNG

Nota: se você precisar habilitar o KMS Host para ativar instalações de Project ou Visio, basta repetir este processo, inserindo as chaves KMS correspondentes.

Configurando os Clients para utilizar o novo KMS Host

Assim como para ativações do Windows, no caso de novas instalações do Office 2016 o computador buscará por padrão um servidor KMS na rede e o ativará.

No entanto, caso precise converter uma instalação existente que ja esteja ativada com chave MAK utilize o seguinte procedimento:

No computador cliente abra um prompt de comando com permissões elevadas.

Execute o seguintes comandos:

cd "C:\Program Files\Microsoft Office\Office16"
REM Este comando instala uma nova chave. Utilize uma das GVLK disponibilizadas pela Microsoft no link abaixo.
cscript ospp.vbs /inpkey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx

GVLK para Office: https://technet.microsoft.com/en-us/library/dn385360(v=office.16).aspx

Validando a configuração

Para validar que tudo funcionou execute no prompt de comando com permissões elevadas os seguintes comandos:

cscript OSPP.VBS /dcmid

O resultado desse comando deve indicar que o Office foi ativado utilizando  o KMS Host

SCCM 2012 R2 – Collection de computadores que não tem um software instalado

Para criar uma collection de computadores que não possui um software específico instalado use a seguinte query:

SELECT SYS.Netbios_Name0 from v_R_System SYS WHERE SYS.ResourceID NOT IN (SELECT SYS.ResourceID FROM v_R_System AS SYS INNER JOIN v_GS_ADD_REMOVE_PROGRAMS AS ARP ON SYS.ResourceID = ARP. ResourceID WHERE ARP. DisplayName0 = 'App1')

Configurando placa Garen G1

Placa do motor garen basculante
Primeiro coloque o portão fora dos sensores de fim de curso, no meio do percurso de abertura ou fechamento, apertando pelo controle remoto ou pelo botão BOT localizado no canto da central. Encaixe e retire um jumper nos terminais RST e pressione novamente a tecla BOT. O portão deverá fechar totalmente. Caso o portão abra ao invés de fechar, inverta os fios do motor preto e branco de posição, mantendo o fio azul na central.

Programando os controles

Feche os terminais PROG com um jumper, e aguarde a central começar os procedimentos, por uns 5 segundos. Quando os leds vermelho e verde estiverem acesos sem piscar, aperte o botão do controle remoto que precisa cadastrar, e confirme no botão BOT da central enquanto o led verde estiver piscando (ao apertar o controle o led verde piscará indicando que recebeu o sinal). Após ser apertado o BOT da central, o botão do controle estará cadastrado. Faça o mesmo procedimento com todos os botões de controle remoto que quiser cadastrar.

Próximos passos: Cadastramento da função Automático e Semi-automático.

Retire o jumper dos terminais PROG, e em seguida, antes que os leds se apaguem, aperte o botão da central BOT por 3 vezes, com um espaço de 2 segundos entre elas. Após a terceira vez que apertar, os leds se apagarão e começará uma leitura do percurso.

Programando para semi-automático e com luz de garagem

Coloque o jumper no PROG, espere os leds se estabilizarem, e em seguida retire o jumper de PROG. Pressione a tecla BOT por 2 segundos, solte e em seguida pressione por mais alguns segundos. Cada piscada do led verde representa 1 segundo no tempo programado de fechamento automático. Conte o tempo desejado e libere o BOT da central. Os leds continuam em modo de programação, só que dessa vez aguardando para o tempo de Luz de Garagem. Pressione o BOT por alguns segundos, com o mesmo procedimento anterior, sendo que cada piscada do led verde significa 1 segundo do tempo a ser programado para a Luz de Garagem ficar acesa. Contado o tempo, solte o botão BOT, e novamente o motor fará seu ciclo de abertura total e fechamento para leitura do percurso.Caso a programação seja somente para alguma das etapas, siga os passos da configuração e aperte somente por 1 segundo o BOT nas etapas em que não quer contagem de tempo, nem acionamento automático.
Caso a configuração falhe em algum momento, o led vermelho poderá ficar aceso direto, então retire o jumper do PROG e coloque nos terminais RESET, retirando logo em seguida. Nunca ligue os terminais PROG e RESET ao mesmo tempo, pois pode danificar a memória da central.

Apagando a memória dos controles e das configurações da central

Feche o jumper nos terminais de PROG e aguarde os leds verde e vermelho se estabilizarem. Pressione e segure pressionado o botão BOT até que o led verde comece a piscar. Quando o led verde piscar a memória já estará apagada.

 

Criando um Dropbox pessoal com NAS LenovoEMC IX2 – Parte 1

 

Configurando o Servidor

Para ativar a função de sincronismo, via a console de gerenciamento Web, acessei as configurações do NAS com o usuário administrador  e selecionei a opção protocolos.

Selecione a opção "Protocolos"

Selecionei a opção RSync e ativei o protocolo. Depois cliquei nas configurações para “Configurar as credenciais de rsync seguro”, definindo um usuário e senha.

Rsync Seguro

Para validar o funcionamento das configurações, executei um Telnet para o NAS na porta 873. Uma vez que a conexão foi realizada com sucesso parti para a configuração do cliente.

Telnet

 

Configuração do Cliente

Eu utilizo principalmente um computador com Windows 10, então busquei um programa que me permitisse usar o RSync nesse Sistema Operacional. Após algumas buscas, optei por utilizar o Cygwin, que aparentemente funciona bem e não tem custo 🙂

Seguindo um tutorial do site How to Geek, fiz o download da versão do aplicativo Cygwin para Windows de 64 bits. No momento em que escrevi esse artigo, a versão mais atual era a 2.5.2, mas é possível obter versões atualizadas no site do projeto Cygwin.com.

DON’T REJOIN TO FIX: The trust relationship between this workstation and the primary domain failed

If you Google “the trust relationship between this workstation and the primary domain failed”, you get plenty of information from support blogs and Microsoft articles; however, most of them ask you to rejoin your machine to the domain. That’s not always possible.

##TL;DR You got this error and you can’t simply unjoin and rejoin because the machine is a Certificate Authority. Run this command from PowerShell:

Reset-ComputerMachinePassword [-Credential ] [-Server ]

##What’s the problem and how did I get here?

The underlying problem when you see this error is that the machine you are trying to access can no longer communicate securely with the Active Directory domain to which it is joined. The machine’s private secret is not set to the same value store in the domain controller. You can think of this secret as a password but really it’s some bits of cryptographic data called a Kerberos keytab stored in the local security authority. When you try to access this machine using a domain account, it fails to verify the Kerberos ticket you receive from Active Directory against the private secret that it stores locally. I think you can also come across this error if for some reason the system time on the machine is out of sync with the system time on the domain controller. This solution also fixes that problem.

##The standard fix This problem can be caused by various circumstances, but I most commonly run into it when I reset a virtual machine to a system snapshot that I made months or even years before. When the machine is reset, it is missing all of the automatic password changes that it executed against the domain controller during the intervening months. The password changes are required to maintain the security integrity of the domain.

 

Fonte: DON’T REJOIN TO FIX: The trust relationship between this workstation and the primary domain failed