MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Pageviews 2019: 4203997
Pageviews 2018: 4296564
Pageviews 2017: 4351543
Pageviews 2016: 3991973
Pageviews 2015: 2675433
Pageviews 2014: 2664208
Pageviews 2013: 2399409
Pageviews 2012: 3209633
Pageviews 2011: 2730038
Pageviews 2010: 1470924
Pageviews 2009: 64608

Últimos posts

Categorias

Arquivo

Tags

Alteração no Kerberos do Windows 2012 pode causar Acesso Negado

Em uma reunião com os Microsoft PFEs Gilson Banin e Marcelo Ferratti foi comentado sobre uma alteração no método como o Windows 2012 gera um Ticket de autenticação pelo Kerberos, chamado de “KDC Resource SID Compression”.

Situação Atual

Como já é sabido, um Ticket de autenticação leva o SID do usuário e dos grupos do qual ele faz parte, além do SID History em casos de migração anterior. Em alguns casos, principalmente dominios muito grandes, o Ticket podia estourar o limite padrão de 12 Kb e gerar problemas na autenticação. Vale lembrar que pelo mesmo motivo um usuário não pode fazer parte de mais do que 1024 grupos.

Atuamente o Ticket (PAC) é composto por SIDs completos: Os valores padrão de identificação (S-1-5), o SID do dominio e o RID individual do objeto no ultimo bloco:

  • S-1-5-21-3419695430-3854377854-1234
  • S-1-5-21-3419695430-3854377854-1466
  • S-1-5-21-3419695430-3854377854-1675
  • S-1-5-21-4533280865-6432248977-6523
  • S-1-5-21-4533280865-6432248977-6578

Alteração no Windows 2012

A mudança no KDC consiste em não mais incluir no Ticket dados repetidos, com isso o Ticket gerado por um Domain Controller com Windows 2012 fica com menor tamanho e resolve o problema de ser necessário a alteração do tamanho do Ticket.

Assim, o mesmo exemplo anterior de Ticket ficaria:

  • S-1-5-21-3419695430-3854377854-1234
  • -1466
  • -1675
  • S-1-5-21-4533280865-6432248977-6523
  • -6578

O problema é que servidores anteriores ao Windows 2012 não “entendem” o novo Ticket e só permitirá acesso as ACEs que sejam completas, portanto o usuário conseguiria acessar locais onde a permissão foi concedida nos casos 1 e 4 do exemplo, mas não acessaria caso a permissão seja de um dos outros SIDs.

Conclusão

Em um dominio onde ainda existam servidores anteriores ao Windows 2012, o que inclui o Windows 2008 R2, o acesso ao servidor de arquivos, Exchange e qualquer outro que seja baseado no Kerberos terá problemas de acesso negado.

Remediação

Crie a chave de Registry Dword DisableResourceGroupsFields  em HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters para desabilitar este recurso.

 

Mais Informações: http://support.microsoft.com/kb/2774190

Posted: out 28 2012, 23:20 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Utilizando Robocopy para Sincronizar Dados do Windows 2012 com NAS (Linux)

Esta semana precisei migrar dados de um servidor Linux para Windows e passei por um problema que já conhecia, onde em todas as execuções o Robocopy copia novamente os arquivos não alterados com a situação “Modified” ou “Never”.

Possuo um Netgear ReadyNAS Duo para executar VMs e backup de arquivos e na época da compra montei um script para sincronizar dados entre o notebook e o NAS que utiliza ext3, compativel com FAT32.

O problema é que o FAT32 utiliza timestamp nos arquivos com precisão de 2 milisegundos diferentes do NTFS, como mostra o print abaixo. Note que o arquivo da esquerda é o local (S:) e o da direita do NAS e veja a diferença nas tags “Created” e “Modified”:

Print

Para resolver isso existe uma solução muito simples: acrescente o parametro /FFT no final do comando.

Agora a sincronização ocorrerá com sucesso, ainda irá mostrar a mensagem “Changed” nos arquivos na saida do comando, mas ele não irá mais copiar estes arquivos não alterados.

Fonte: http://technet.microsoft.com/pt-br/library/cc733145%28v=ws.10%29.aspx

Posted: out 16 2012, 18:59 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Upgrade do Windows 2008 R2 (com SQL Server and AD) para Windows 2012

Já realizei diversas migrações de Windows 2008 R2 para Windows 2012 no modelo de migração, onde ele gera o diretório C:\Windows.old com os dados anteriores e reconfiguro o servidor, também chamado de upgrade side-by-side.

Importante: Não deixe de verificar se os aplicativos instalados no Windows 2008 R2 estão atualizados e são compativeis com o Windows 2012. Por exemplo, o Exchange 2010 e System Center 2012 ainda não estão suportados.

Hoje resolvi fazer alguns testes de upgrade in-place (atualização) do Windows 2008 R2 para o Windows 2012, direto com a maquina no ar. E o detalhe que a maquina que migrei é um Domain Controller com as FSMOs ativas, SQL Server 2008 R2 com Reporting Services para suportar todo o meu laboratório de System Center 2012.

O resultado foi positivo, o AD subiu como esperado, o SQL Server 2008 R2 (que estava atualizado) e o SRSS funcionaram perfeitamente como mostra o print abaixo:

Migrado

E quando algo dá errado?

Isso me aconteceu, no meio da migração o HD externo que utilizo para as VMs perdeu conexão. A instalação já estava no terceiro boot quando é realizada a migração das configurações e ao reiniciar a VM tive acesso a este menu:

Boot

Escolhi a opção Windows Setup Rollback e o resultado foi excepcional. O Windows 2008 R2 retornou com todas as features funcionando, como se nada tivesse acontecido e mostrou a mensagem abaixo:

Retorno

Notem que o SQL e o restante das aplicações continuaram funcionando após o rollback, demonstrando a maturidade do processo de upgrade in-place disponivel no Windows 2012.

Conclusão

Obviamente faça backup (imagem) da maquina antes de fazer o upgrade, mas coloque o upgrade de servidores com Windows 2008 R2 SP1 para Windows 2102 como uma possibilidade segura e vantajosa!

Posted: out 02 2012, 17:19 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Monitorando Servidores Windows 2008 R2 com o Windows 2012 Server Manager

Atualizado em 20/12/2012: Alguns produtos como Exchange 2007/2010 e SCCM 2012 apresentam problemas após instalação do WMF 3.0 (http://www.marcelosincic.com.br/blog/post/WMF-30-Causa-Problemas-com-Exchange-e-SCCM.aspx)

Uma das novidades do Windows 2012 foi a possibilidade de gerenciar e visualizar por meio dos dashboards a situação de todos os servidores da empresa.

Uma informação importante é que também é póssivel monitorar servidores Windows 2008 e Windows 2008 R2, sendo que para isso é necessário instalar o WinRM 3.0 (Windows Remote Management) que não é o padrão destes SOs que utilizam a versão WinRM 2.0

Porem, esta semana a Microsoft liberou o WMF (Windows Management Framework) que atualiza o WinRM, WMI (Windows Management Instrumentation) e PowerShell para as versões 3.0, possibilitando o gerenciamento no Server Manager do Windows 2012 de servidor com Windows 2008.

Para baixar o pacote acesse http://www.microsoft.com/en-us/download/details.aspx?id=34595

Após baixar e instalar o update para o WMF 3.0 execute o command prompt como administrador e digite “WINRM Quickconfig” para habilitar o acesso remoto:

image

Na sequencia poderá incluir o servidor Windows 2008 na lista de monitoração do Windows 2012 e todas as informações já estarão disponiveis:

image

image

Posted: set 12 2012, 12:52 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Windows 2008 | Windows 2012

Problema de Conexão com o Remote Desktop Eventos 1000 e 7031

Esse erro é comum após a instalação de um novo servidor, principalmente quando instalamos o Windows 2008 R2 e depois o SP1 com midias separadas, normalmente nesta ordem ou similar:

  • Instalação do Windows 2008 R2 sem o SP1 (RTM)
  • Ingressa a máquina no dominio
  • Habilita o Remote Desktop
  • Instalação do Service Pack 1 do Windows 2008 R2

SINTOMA

Ao se conectar com o Remote Desktop o servidor remoto derruba a conexão logo após o logon e o serviço de RDP cai registrando os eventos 1000, 1001, 7031 e 7036 (não necessariamente todos eles).

Event ID: 1000
Faulting application name: svchost.exe_TermService, version: 6.1.7600.16385, time stamp: 0x4a5bc3c1
Faulting module name: rdpcorekmts.dll, version: 6.1.7600.16952, time stamp: 0x4f1f9e66
Exception code: 0xc0000005
Fault offset: 0x000000000000a793
Faulting process id: 0x64c
Faulting application start time: 0x01cd849427006890
Faulting application path: C:\Windows\System32\svchost.exe
Faulting module path: C:\Windows\system32\rdpcorekmts.dll
Report Id: 8edb6c0f-f087-11e1-b956-f04da207fb81

Event ID: 7031
The Remote Desktop Services service terminated unexpectedly.  It has done this 1 time(s).  The following corrective action will be taken in 60000 milliseconds: Restart the service.

CAUSA

Uma GPO de dominio está obrigando o modo de autenticação seguro, enquanto a configuração local foi configurada para permitir conexões não seguras. A primeira imagem abaixo mostra como foi configurado localmente o RDP no servidor e a segunda as GPOs que forçam o modo de autenticação seguro:

image

image

RESOLUÇÃO

Para resolver este problema, o primeiro passo é logar localmente no servidor e alterar o Remote Desktop para permitir apenas conexões seguras, compativel com a GPO (terceira opção na primeira imagem acima).

Caso ainda tenha problemas, instale o Hotfix disponivel em http://support.microsoft.com/kb/2672601

Posted: ago 28 2012, 14:30 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Windows 2008
Login