Relatório de Administradores Locais usando o SCCM

UPDATE: Os arquivos mencionados nesse artigo foram movidos para o GitHub. Os links atualizados estão no fim do post.

Recentemente precisei criar um relatório de administradores locais em computadores gerenciados pelo SCCM. Como isso não é suportado naivamente pelo SCCM, foi necessário fazer duas coisas:

  • Inventariar os administradores locais com o SCCM.
  • Criar os relatórios que utilizarão a informação coletada

A seguir detalharei como fiz isso:

Continuar lendo Relatório de Administradores Locais usando o SCCM

SCCM Current Branch – Falha no Backup

Problema: 

O SCCM Current Branch apresenta erro para fazer backup.

Erro:

No log smsbkp.log o seguinte erro é apresentado:

Failed to backup \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\PROGRAM FILES\MICROSOFT CONFIGURATION MANAGER\CD.LATEST up to \\<SCCMBackupPath>\CD.Latest: ERROR: CTool::TreeCopy to \\SCCMBackup\CD.Latest failed. Error = [error code: 5, error message: Access is denied.].

Failed to copy file(s) Backup\CD.Latest.

Error: Backup Failed  for Component – Backup\CD.Latest.

After BackupComplete SMS Writer status = FAILED_AT_PREPARE_SNAPSHOT.

Error: VSS_E_WRITERERROR_TIMEOUT. Error Code = 0x80,042,3f2.

WARNING: SMS backup failed for atleast one component. Please check previous errors.

SMS_SITE_BACKUP failed. Please see previous errors.

______________________________________________________________

Info: Asynchronous BackupComplete finished.

After BackupComplete SMS Writer status = STABLE.

WARNING: SMS backup failed for atleast one component. Please check previous errors.

SMS_SITE_BACKUP failed. Please see previous errors.

______________________________________________________________

Solução: 

O antivírus (no meu caso McAfee) estava bloqueando a criação do arquivo “autorun.ini” no diretório de destino do Backup. No Log “On Acess Scan” era possível ver a seguinte mensagem:

Bloqueio por regra de proteção de acesso NT AUTHORITY\SYSTEM SYSTEM:REMOTE D:\***\BR5BACKUP\CD.LATEST\AUTORUN.INF Proteção padrão do antivírus: Impedir a criação remota de arquivos executados automaticamente Ação bloqueada: Criar

Configuramos uma exclusão de varredura para esse processo / arquivo e tudo voltou a funcionar

Erro ao configurar o ADFS no Windows Server 2012 R2

Sintoma:

Depois de instalar a Role de Active Directory Feredation Services (ADFS) no Windows Server 2012 R2 é necessário executar as tarefas de configuração pós-deployment.

Durante a configuração é necessário especificar um usuário com membro do grupo “Domain Admins” para configurar o ADFS e outro usuário de serviço para iniciar o serviço do ADFS.

Depois de especificar as credencias corretamente o seguinte erro é apresentado:

“You do not have sufficient privileges to create another container in Active Directory at location CN=<cn-id-code>,CN=ADFS,Microsoft,CN=Program Data,DC=domain,DC=my for use with shared ceritifcates. Verify that you are logged on as a Domain Admin or have sufficient privileges to create this container, and try again.

 

Diagnóstico:

Conecte-se no Active Directory Users and Computers (ADUC) e certifique-se que a opção “Advanced Features” está habilitada no menu “View“.

Certifique-se que a pasta “Program Datanão está criada.

 

Resolução

Inicie o ADSIEdit e conecte-se no domínio no contexto de “Default Naming Context

Navegue em “Default Naming Context” > “DC=my,DC=domain

Clique com o botão direito sobre “DC=my,DC=domain“, aponte para “new” e selecione “Object

Selecione container, clique em Next e digite “Program Data” no campo value:

Finalize o wizard com o padrão.

Confirme que o grupo “Domain Admins” tem acesso Full Control neste container

Tente configurar o ADFS novamente.

 

Microsoft Certification Authority apresentando Erro “Win32: 13” ao iniciar o serviço

Após a renovação do certificado do Root CA o seguinte erro pode ocorrer ao iniciar o serviço do Microsoft AD CA:

No Event Viewer ocorrem os erros Application Event ID 100 e System Event ID 7023:


A Microsoft disponibiliza um artigo com a solução para esse tipo de problema: https://support.microsoft.com/en-us/help/969302/certificate-server-service-does-not-start-and-you-receive-the-error-th

Para corrigir esse problema abra o mmc.exe e adicione a console de certificados. Navegue no painel à esquerda em Certificates > Personal > Certificates. Localize os certificados que são referentes à root CA.

Dica: procure pelo certificado cujo o valor de “Intendend Purposes” é “All” ou verifique o Certificate Template:

Para cada um dos certificados relacionados, clique duplo sobre eles e anote dois valores: “Thumprint” e “Previous CA Certificate Hash“.


O “Previous Certificate Hash” é o “Thumbprint” do certificado anterior. Deste modo, se o certificado foi renovado 3 vezes, você terá uma cadeia de certificados similar ao exemplo abaixo:

Anote o thumbprint do certificado mais recente.

Inicie o regedit.exe e naveguem em: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\<root-ca-name>\CACertHash

Faça um backup dessa chave, just in case, e edite a entrada CACertHash

Cada linha no valor equivale a 1 certificado e a última linha deve conter o thumbprint do certificado atual (o mais novo). Insira “-” para cada certificado anterior gerado.

Por exemplo, se houveram 3 renovações de certificado CA, o valor de CACertHash será:

2e db 30 24 cd 2b 50 55 b7 42 54 aa a8 e0 8b 30 3f 43 d4 db

 

Depois disso deve ser possível iniciar o serviço do Certification Authority