Рубрика: server

Доменные службы на новом контроллере домена, развернутом на Hyper-V не доступны в сети

У меня происходит только при новых развертываниях на Windows Server 2022 хостах

  1. KDC имеет старую версию пароля для исходного контроллера домена.
net stop KDC
Repadmin /replicate имя_старого_dc имя_НОВОГО_dc DN=firm,DN=local
net start KDC

  1. Проверить статус репликации SYSVOL:

у всех DC должен быть статус: 4

For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state
  1. Если на предыдущем шаге получили статус «2»:

How to perform an authoritative synchronization of DFSR-replicated sysvol replication (like D4 for FRS)

  1. Если на НОВОМ DC отсутствуют общие ресурсы SYSVOL и/или NETLOGON

дополнительно dcdiag будет показывать:

Запуск проверки: Advertising
Внимание: DsGetDcName вернул сведения для \\имя_dc
при попытке получения доступа к имя_dc.
СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ.
......................... имя_dc - не пройдена проверка

в реестре Windows параметр:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysvolReady

последовательно: установить в 0 -> применить -> установить в 1 -> применить

Источники:

https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/identity/replication-error-2146893022

https://learn.microsoft.com/en-GB/troubleshoot/windows-server/group-policy/force-authoritative-non-authoritative-synchronization#how-to-perform-an-authoritative-synchronization-of-dfsr-replicated-sysvol-replication-like-d4-for-frs

https://learn.microsoft.com/ru-ru/troubleshoot/windows-server/identity/netlogon-share-not-present-after-install-ad-ds-on-full-read-only-domain-controller#workaround

Настройка WSUS на Windows Server 2022 завершается ошибкой:

5) Restore ownership, if cant the make «Everyone» owner

6) Re-run post install config

C:\Program Files\Update Services\Database\VersionCheck.sql
C:\Program Files\Update Services\Database\VersionCheck.sql

DECLARE @scriptMinorVersion int = (11)

Заменить на

DECLARE @scriptMinorVersion int = (11)

Источник:

комментарий PedroHerrera-9437 на сайте

https://https://learn.microsoft.com/en-us/answers/questions/754982/windows-server-2022-wsus-fatal-error-the-schema-ve.html.com/dsquery-sredstvo-udaleniya-staryx-zapisej-iz-ad

Удаления старых записей из AD

Просмотреть список неактивных компьютеров (цифра = количество недель)

dsquery computer -inactive 10

Удалить компьютеры, неактивные более 10 недель

dsquery computer -inactive 10 | dsrm -noprompt

Просмотреть список неактивных пользователей (цифра = количество недель)

dsquery user -inactive 5

Удалить пользователей, неактивных дольше 5 недель

dsquery user -inactive 5 | dsrm -noprompt

Если надо произвести поиск только в определенном подразделении:

dsquery computer "OU=Имя_подразделения,DC=domain,DC=com" -inactive 5

Источник:

https://notessysadmin.com/dsquery-sredstvo-udaleniya-staryx-zapisej-iz-ad

Перевод Windows Server 2016/2019 Evaluation в полноценную

После установки Windows Server 2016/2019 начинается отсчет дней пробного периода.

Решение:

  1.  в командной строка от имени администратора:
  2. 2016:
Dism /online /Set-Edition:ServerStandard /ProductKey:WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY /AcceptEula

2019:
Dism /online /Set-Edition:ServerStandard /ProductKey:WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY /AcceptEula
Dism /online /Set-Edition:ServerDatacenter /ProductKey:WMDGN-G9PQG-XVVXX-R3X43-63DFG /AcceptEula

Источник:

http://forum.ru-board.com

Не удается получить доступ к программе установки Windows.

После очередного обновления Windows 10 на запуск любой установки получаем:

Не удается получить доступ к программе установки Windows. Обратитесь в службу поддержки для подтверждения регистрации и подключения.

Решение:

Проблема в несовместимости определенных версий КриптоПро с определенными билдами Windows.

  1.  Удаляем КриптоПро с помощью: Утилита очистки следов установки продуктов КриптоПро
  2. Подбираем версию КриптоПро посвежее.

 

Источник:

http://itnotepad.ru/2015/12/03/pri-ustanovke-programm-v-windows-10-poluchaem-oshibku-ne-udaetsya-poluchit-dostup-k-programme-ustanovki-windows-obratites-v-sluzhbu-podderzhki-dlya-podtverzhdeniya/

Сохранение учетных данных при подключении по RDP в домене

В редакторе групповых политик:

  • «Конфигурация компьютера» (Computer Configuration)
    • «Политики»
      • «Административные шаблоны» (Administrative Templates)
        • «Система»
          • «Передача учетных данных»
            • ВКЛЮЧАЕМ «Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера ″только NTLM″» (Allow Delegating Saved Credentials with NTLM-only Server Authentication)
            • жмем [Показать]
            • добавляем одну из строк:
              • TERMSRV/удаленный_пк — разрешаем сохранять учетные данные для одного конкретного компьютера;
              • TERMSRV/*.contoso.com — разрешаем сохранять данные для всех компьютеров в домене contoso.com;
              • TERMSRV/* — разрешаем сохранять данные для всех компьютеров без исключения.

Источник:

http://windowsnotes.ru/other/razreshaem-soxranenie-uchetnyx-dannyx-pri-podklyuchenii-po-rdp/

Настройка сервера терминалов

  1. Диспетчер серверов: «Управление» -> «Добавить роли и компоненты»:

    • Роль:
      • Службы удаленных рабочих столов,
    • Службы ролей:

      • Лицензирование удаленных рабочих столов
      • Узел сеансов удаленных рабочих столов

  2. Редактор групповых политик:

    • «Конфигурация компьютера» (Computer Configuration)
      • «Административные шаблоны» (Administrative Templates)
        • «Компоненты Windows» (Windows Components)
          • «Службы удаленных рабочих столов» (Remote Desktop Services)
            • «Узел сеансов удаленных рабочих столов» (Remote Desktop Session Host)
              • «Лицензирование» (Licensing)
                • «Использовать указанные серверы лицензирования удаленных рабочих столов» (Use the specified Remote Desktop license servers) — переключаем во ВКЛЮЧЕНО
                  • Использовать серверы лицензий — вписываем имя или адрес сервера, куда поставили  «Лицензирование удаленных рабочих столов«
                • «Задать режим лицензирования удаленных рабочих столов» (Set the Remote licensing mode) — переключаем во ВКЛЮЧЕНО
                  • указываем режим (при «999 лицензиях» — без разницы-) )

  3. Диспетчер серверов: «Средства» (Tools) -> «Terminal Services» -> «Диспетчер лицензирования удаленных рабочих столов» (Remote Desktop Licensing Manager)

    правой кнопкой по имени сервера -> «Активировать сервер» (Activate Server)

    1. Метод активации сервера — Авто
    2. Сведения об организации 1 — Заполняем
    3. Сведения об организации 2 — Пропускаем

  4. Мастер установки лицензий

    1. Программа лицензирования — «Соглашение «Enterprise Agreement»
    2. Номер соглашения — Вводим один из следующих: 6565792, 5296992, 3325596, 4965437, 4526017
    3. Версия продукта и тип лицензии — Заполняем

Источник:

http://tavalik.ru/ustanovka_servera_terminalov_windows_server_2012/

wuauclt.exe

  • Запустить немедленный опрос сервера WSUS на наличие обновлений 
    /DetectNow
  • Сбросить авторизацию на сервере и клиенте. Фактически это новая регистрация на сервере WSUS. 
    /resetAuthorization

    — полезно, когда клиент подглюкивает, удаляем его на сервере и командой:

    wuauclt /detectnow /resetAuthorization

    заново регистрируем на сервере с одновременным запросом списка обновлений.

  • Сбросить статистику на сервер 
    /reportnow 
  • Показывает диалог настройки расписания установки обновлений 
    /ShowSettingsDialog
  • Сбросить соглашение EULA для обновлений 
    /ResetEulas
  • Немедленно запускает процесс обновления, аналогичен клику кнопки в окне уведомлений о наличии обновлений. 
    /UpdateNow
  • Запускает принудительное скачивание обновлений. 
    /DownloadNow

Источник:

http://antonborisov.ru/2011/10/20/wuauclt-exe-klyuchi-parametry-komandnoj-stroki-i-sekrety-ispolzovaniya/

WSUS, Upgrade to Windows 10 и KB3159706

KB3159706 включает в WSUS поддержку обновлений, распространяемых в виде *.esd.

Без него WSUS бесконечно пытается скачать такие файлы, но после каждой загрузки выкидывает ошибку:

364: Ошибка при скачивании файла содержимого. 
Причина: File cert verification failure.
Исходный файл: /d/upgr/2016/08/14393.0.160715-1616.rs1_release_clientprofessionalvl_vol_x64fre_ru-ru_0d3ce57f7eb3a8690935150a5109a21d1cf3ae1b.esd
Конечный файл: d:\WSUS\WsusContent\1B\0D3CE57F7EB3A8690935150A5109A21D1CF3AE1B.esd

Проблема:

после установки KB3159706, не запускается служба WSUS, оснастка не может подключиться к службе.

в журнале событий [Приложение] записи:

507: Служба Update Services не смогла выполнить инициализацию и была остановлена.
18456: Ошибка входа пользователя "NT AUTHORITY\NETWORK SERVICE". Причина: не удалось открыть явно указанную базу данных "SUSDB". [КЛИЕНТ: <named pipe>]

Решение:

Проблема в обновлении KB3159706, для завершения его установки необходимо выполнить дополнительные шаги:

  1.  Выполнить: 
    > C:\Program Files\Update Services\Tools\wsusutil.exe postinstall /servicing
  2. Установить компонент:
    [Функции .NET Framework 4.5] -> [Службы WCF] -> [HTTP Activation].
  3. Перезапустить [Служба WSUS].

Источник:

https://social.technet.microsoft.com/Forums/windowsserver/en-US/59ad21be-7514-46df-adf3-fdf6ec15e132/wsus-breaks-after-kb3159706-released-552016?forum=winserverwsus

Передача ролей FSMO

  • Просмотр текущих хозяев: 
    netdom query fsmo
  • Передача
    На любом контролере домена.

    ntdsutil
roles
connections
connect to server <Имя_сервера>
q
transfer naming master
transfer infrastructure master
transfer RID master
transfer schema master
transfer PDC

    В Windows предшествующих Windows Server 2008R2 хозяин доменных имен называется [domain naming master].

    При захвате меняется только transfer на seize.

Источник:

http://kyrych.ru/windows/37-upravlenie-setyu-ad-gpo/86-perenos-rolej-fsmo