Erro ao configurar o ADFS no Windows Server 2012 R2

Sintoma:

Depois de instalar a Role de Active Directory Feredation Services (ADFS) no Windows Server 2012 R2 é necessário executar as tarefas de configuração pós-deployment.

Durante a configuração é necessário especificar um usuário com membro do grupo “Domain Admins” para configurar o ADFS e outro usuário de serviço para iniciar o serviço do ADFS.

Depois de especificar as credencias corretamente o seguinte erro é apresentado:

“You do not have sufficient privileges to create another container in Active Directory at location CN=<cn-id-code>,CN=ADFS,Microsoft,CN=Program Data,DC=domain,DC=my for use with shared ceritifcates. Verify that you are logged on as a Domain Admin or have sufficient privileges to create this container, and try again.

 

Diagnóstico:

Conecte-se no Active Directory Users and Computers (ADUC) e certifique-se que a opção “Advanced Features” está habilitada no menu “View“.

Certifique-se que a pasta “Program Datanão está criada.

 

Resolução

Inicie o ADSIEdit e conecte-se no domínio no contexto de “Default Naming Context

Navegue em “Default Naming Context” > “DC=my,DC=domain

Clique com o botão direito sobre “DC=my,DC=domain“, aponte para “new” e selecione “Object

Selecione container, clique em Next e digite “Program Data” no campo value:

Finalize o wizard com o padrão.

Confirme que o grupo “Domain Admins” tem acesso Full Control neste container

Tente configurar o ADFS novamente.

 

Microsoft Certification Authority apresentando Erro “Win32: 13” ao iniciar o serviço

Após a renovação do certificado do Root CA o seguinte erro pode ocorrer ao iniciar o serviço do Microsoft AD CA:

No Event Viewer ocorrem os erros Application Event ID 100 e System Event ID 7023:


A Microsoft disponibiliza um artigo com a solução para esse tipo de problema: https://support.microsoft.com/en-us/help/969302/certificate-server-service-does-not-start-and-you-receive-the-error-th

Para corrigir esse problema abra o mmc.exe e adicione a console de certificados. Navegue no painel à esquerda em Certificates > Personal > Certificates. Localize os certificados que são referentes à root CA.

Dica: procure pelo certificado cujo o valor de “Intendend Purposes” é “All” ou verifique o Certificate Template:

Para cada um dos certificados relacionados, clique duplo sobre eles e anote dois valores: “Thumprint” e “Previous CA Certificate Hash“.


O “Previous Certificate Hash” é o “Thumbprint” do certificado anterior. Deste modo, se o certificado foi renovado 3 vezes, você terá uma cadeia de certificados similar ao exemplo abaixo:

Anote o thumbprint do certificado mais recente.

Inicie o regedit.exe e naveguem em: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\<root-ca-name>\CACertHash

Faça um backup dessa chave, just in case, e edite a entrada CACertHash

Cada linha no valor equivale a 1 certificado e a última linha deve conter o thumbprint do certificado atual (o mais novo). Insira “-” para cada certificado anterior gerado.

Por exemplo, se houveram 3 renovações de certificado CA, o valor de CACertHash será:

2e db 30 24 cd 2b 50 55 b7 42 54 aa a8 e0 8b 30 3f 43 d4 db

 

Depois disso deve ser possível iniciar o serviço do Certification Authority

Tela azul no Windows 10 com Cisco AnyConnect

Problemas ocorrendo com o Windows 10 (build 1511) e o Cisco AnyConnect , que causam BSoD durante a reconexão com a VPN.

Segundo esse artigo da Microsoft  esse erro pode ocorrer devido a conflito entre o Cisco AnyConnect e o Credential Guard: https://docs.microsoft.com/pt-br/windows/access-protection/credential-guard/credential-guard-known-issues

Neste artigo a Cisco indica que o problema não ocorre com o Windows 10 em versões mais novas: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvc66692/?referring_site=bugquickviewclick

No meu caso atualizar a build do Windows 10 não era uma opção então contornei o problema desabitando o Credential Guard. Para isso executei o “Passo 1” desse procedimento da VMWare: https://kb.vmware.com/s/article/2146361.

Não cheguei a executar os demais passos do procedimento, mas avalie se isso é necessário em seu ambiente.

Reproduzo abaixo os passos descritos no procedimento da VMWare:

To disable Device Guard or Credential Guard:

1. Disable the group policy setting that was used to enable Credential Guard.

   a. On the host operating system, click Start > Run, type gpedit.msc, and click Ok. The Local group Policy Editor opens.
   b. Go to Local Computer Policy > Computer Configuration > Administrative Templates > System > Device Guard > Turn on Virtualization Based Security.
   c. Select Disabled.

2. Go to Control Panel > Uninstall a Program > Turn Windows features on or off to turn off Hyper-V.
3. Select Do not restart.
4. Delete the related EFI variables by launching a command prompt on the host machine using an Administrator account and run these commands:

  mountvol X: /s
  copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
  bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
  bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
  bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
  bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
  bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition= mountvol X: /d

Note: Ensure X is an unused drive, else change to another drive.

5. Restart the host.
6. Accept the prompt on the boot screen to disable Device Guard or Credential Guard.

 

Problema com pedal de Sustain Roland DP10

Estou escrevendo esse post pois tive um problema com o meu pedal de sustain Roland DP10 e não consegui encontrar muita ajuda sobre o tema na internet.

Para quem não sabe o Roland DP10 é esse pedal de sustain aqui:

Pedal Roland DP10
Pedal Roland DP10

Recentemente o meu apresentou o seguinte problema: ou ele nunca sustentava o som ou ele fica num sustain eterno. Não adiantava alterar a chave da posição “control” para a posição “continuous“, nem reconectar o pedal para inverter a polaridade.

Embora eu ache esses pedais Roland bem caros, eu já estava me conformando com a ideia de ter que comprar um novo, quando me deparei com esse vídeo no youtube:

 

Não gostei muito da solução, pois matar a placa secundária do pedal faz com que ele perca o fade-out do sustain. Em todo caso o vídeo me deu uma pista sobre o problema, então resolvi abrir o meu pedal. Com um multímetro eu identifiquei que os fios soldados à placa estavam sem continuidade com o conector.

Eu decidi substituir o cabo inteiro do pedal por um novo cabo de duas vias + terra.

Placa secundária do Roland DP10
Placa secundária do Roland DP10

No plug eu soldei os fios seguindo esse esquema:

Roland-Soldering Schema.png

 

Bom, é isso… essa manutenção me custou pouco mais de R$10,00 em componentes e mais ou menos 1 hora… bem abaixo do preço de um pedal novo e bem mais rápido que mandar pra uma assistência técnica.

Ativando KMS Host Server

Instalar o Volume Licensing Activation Services
Ativar o chave de Host KMS
Aguardar a replicação do DNS

Para configurar novos clients Windows não é necessário fazer nada!

Para converter clients de MAK para KMS:

REM Este comando remove chaves instaladas. Com ele vamos remover a chave MAK
cscript slmgr.vbs /upk
REM Este comando instala uma nova chave. Utilize uma das GVLK disponibilizadas pela Microsoft no link abaixo.
cscript slmgr.vbs /ipk:XXXX-XXXX-XXXX-XXXX-XXXX

GVLK para Windows: https://technet.microsoft.com/en-us/library/jj612867(v=ws.11).aspx

Habilitar o KMS Host para ativar instalações de Microsoft Office 2016

Para habilitar o KMS Host para ativar instalações do Office 2016 é necessário rodar o script de configuração do KMS Host para Office.

Para isso, acesse o Microsoft Volume Licensing Service Center (VLSC), em “Downloads e Chaves” localize e faça download do aplicativo “Office Professional Plus 2016 Key Management Service Host”.

KMS_IMG_1.PNG

Ele é uma ISO com pouco mais de 1MB que você deve copiar e montar no seu KMS Server. Ao fazer isso, você deve enxergar os seguintes arquivos:

KMS_IMG_2.PNG

Depois abra um prompt de comando com permissões elevadas e execute o seguinte comando:

wscript.exe kms_host.vbs

O script irá configurar o Volume Activation Services instalado no servidor e abrirá a janela de administração.  Insira a chave de KMS Host para Office Professional Plus 2016 nesse servidor e finalize o Wizard.

KMS_IMG_3.PNG

Nota: se você precisar habilitar o KMS Host para ativar instalações de Project ou Visio, basta repetir este processo, inserindo as chaves KMS correspondentes.

Configurando os Clients para utilizar o novo KMS Host

Assim como para ativações do Windows, no caso de novas instalações do Office 2016 o computador buscará por padrão um servidor KMS na rede e o ativará.

No entanto, caso precise converter uma instalação existente que ja esteja ativada com chave MAK utilize o seguinte procedimento:

No computador cliente abra um prompt de comando com permissões elevadas.

Execute o seguintes comandos:

cd "C:\Program Files\Microsoft Office\Office16"
REM Este comando instala uma nova chave. Utilize uma das GVLK disponibilizadas pela Microsoft no link abaixo.
cscript ospp.vbs /inpkey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx

GVLK para Office: https://technet.microsoft.com/en-us/library/dn385360(v=office.16).aspx

Validando a configuração

Para validar que tudo funcionou execute no prompt de comando com permissões elevadas os seguintes comandos:

cscript OSPP.VBS /dcmid

O resultado desse comando deve indicar que o Office foi ativado utilizando  o KMS Host