SCCM Current Branch – Falha no Backup

Problema: 

O SCCM Current Branch apresenta erro para fazer backup.

Erro:

No log smsbkp.log o seguinte erro é apresentado:

Failed to backup \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\PROGRAM FILES\MICROSOFT CONFIGURATION MANAGER\CD.LATEST up to \\<SCCMBackupPath>\CD.Latest: ERROR: CTool::TreeCopy to \\SCCMBackup\CD.Latest failed. Error = [error code: 5, error message: Access is denied.].

Failed to copy file(s) Backup\CD.Latest.

Error: Backup Failed  for Component – Backup\CD.Latest.

After BackupComplete SMS Writer status = FAILED_AT_PREPARE_SNAPSHOT.

Error: VSS_E_WRITERERROR_TIMEOUT. Error Code = 0x80,042,3f2.

WARNING: SMS backup failed for atleast one component. Please check previous errors.

SMS_SITE_BACKUP failed. Please see previous errors.

______________________________________________________________

Info: Asynchronous BackupComplete finished.

After BackupComplete SMS Writer status = STABLE.

WARNING: SMS backup failed for atleast one component. Please check previous errors.

SMS_SITE_BACKUP failed. Please see previous errors.

______________________________________________________________

Solução: 

O antivírus (no meu caso McAfee) estava bloqueando a criação do arquivo “autorun.ini” no diretório de destino do Backup. No Log “On Acess Scan” era possível ver a seguinte mensagem:

Bloqueio por regra de proteção de acesso NT AUTHORITY\SYSTEM SYSTEM:REMOTE D:\***\BR5BACKUP\CD.LATEST\AUTORUN.INF Proteção padrão do antivírus: Impedir a criação remota de arquivos executados automaticamente Ação bloqueada: Criar

Configuramos uma exclusão de varredura para esse processo / arquivo e tudo voltou a funcionar

Erro ao configurar o ADFS no Windows Server 2012 R2

Sintoma:

Depois de instalar a Role de Active Directory Feredation Services (ADFS) no Windows Server 2012 R2 é necessário executar as tarefas de configuração pós-deployment.

Durante a configuração é necessário especificar um usuário com membro do grupo “Domain Admins” para configurar o ADFS e outro usuário de serviço para iniciar o serviço do ADFS.

Depois de especificar as credencias corretamente o seguinte erro é apresentado:

“You do not have sufficient privileges to create another container in Active Directory at location CN=<cn-id-code>,CN=ADFS,Microsoft,CN=Program Data,DC=domain,DC=my for use with shared ceritifcates. Verify that you are logged on as a Domain Admin or have sufficient privileges to create this container, and try again.

 

Diagnóstico:

Conecte-se no Active Directory Users and Computers (ADUC) e certifique-se que a opção “Advanced Features” está habilitada no menu “View“.

Certifique-se que a pasta “Program Datanão está criada.

 

Resolução

Inicie o ADSIEdit e conecte-se no domínio no contexto de “Default Naming Context

Navegue em “Default Naming Context” > “DC=my,DC=domain

Clique com o botão direito sobre “DC=my,DC=domain“, aponte para “new” e selecione “Object

Selecione container, clique em Next e digite “Program Data” no campo value:

Finalize o wizard com o padrão.

Confirme que o grupo “Domain Admins” tem acesso Full Control neste container

Tente configurar o ADFS novamente.

 

Microsoft Certification Authority apresentando Erro “Win32: 13” ao iniciar o serviço

Após a renovação do certificado do Root CA o seguinte erro pode ocorrer ao iniciar o serviço do Microsoft AD CA:

No Event Viewer ocorrem os erros Application Event ID 100 e System Event ID 7023:


A Microsoft disponibiliza um artigo com a solução para esse tipo de problema: https://support.microsoft.com/en-us/help/969302/certificate-server-service-does-not-start-and-you-receive-the-error-th

Para corrigir esse problema abra o mmc.exe e adicione a console de certificados. Navegue no painel à esquerda em Certificates > Personal > Certificates. Localize os certificados que são referentes à root CA.

Dica: procure pelo certificado cujo o valor de “Intendend Purposes” é “All” ou verifique o Certificate Template:

Para cada um dos certificados relacionados, clique duplo sobre eles e anote dois valores: “Thumprint” e “Previous CA Certificate Hash“.


O “Previous Certificate Hash” é o “Thumbprint” do certificado anterior. Deste modo, se o certificado foi renovado 3 vezes, você terá uma cadeia de certificados similar ao exemplo abaixo:

Anote o thumbprint do certificado mais recente.

Inicie o regedit.exe e naveguem em: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\<root-ca-name>\CACertHash

Faça um backup dessa chave, just in case, e edite a entrada CACertHash

Cada linha no valor equivale a 1 certificado e a última linha deve conter o thumbprint do certificado atual (o mais novo). Insira “-” para cada certificado anterior gerado.

Por exemplo, se houveram 3 renovações de certificado CA, o valor de CACertHash será:

2e db 30 24 cd 2b 50 55 b7 42 54 aa a8 e0 8b 30 3f 43 d4 db

 

Depois disso deve ser possível iniciar o serviço do Certification Authority

Tela azul no Windows 10 com Cisco AnyConnect

Problemas ocorrendo com o Windows 10 (build 1511) e o Cisco AnyConnect , que causam BSoD durante a reconexão com a VPN.

Segundo esse artigo da Microsoft  esse erro pode ocorrer devido a conflito entre o Cisco AnyConnect e o Credential Guard: https://docs.microsoft.com/pt-br/windows/access-protection/credential-guard/credential-guard-known-issues

Neste artigo a Cisco indica que o problema não ocorre com o Windows 10 em versões mais novas: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvc66692/?referring_site=bugquickviewclick

No meu caso atualizar a build do Windows 10 não era uma opção então contornei o problema desabitando o Credential Guard. Para isso executei o “Passo 1” desse procedimento da VMWare: https://kb.vmware.com/s/article/2146361.

Não cheguei a executar os demais passos do procedimento, mas avalie se isso é necessário em seu ambiente.

Reproduzo abaixo os passos descritos no procedimento da VMWare:

To disable Device Guard or Credential Guard:

1. Disable the group policy setting that was used to enable Credential Guard.

   a. On the host operating system, click Start > Run, type gpedit.msc, and click Ok. The Local group Policy Editor opens.
   b. Go to Local Computer Policy > Computer Configuration > Administrative Templates > System > Device Guard > Turn on Virtualization Based Security.
   c. Select Disabled.

2. Go to Control Panel > Uninstall a Program > Turn Windows features on or off to turn off Hyper-V.
3. Select Do not restart.
4. Delete the related EFI variables by launching a command prompt on the host machine using an Administrator account and run these commands:

  mountvol X: /s
  copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
  bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
  bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
  bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
  bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
  bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition= mountvol X: /d

Note: Ensure X is an unused drive, else change to another drive.

5. Restart the host.
6. Accept the prompt on the boot screen to disable Device Guard or Credential Guard.