Problema: 

O SCCM Current Branch apresenta erro para fazer backup.

Erro:

No log smsbkp.log o seguinte erro é apresentado:

Failed to backup \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\PROGRAM FILES\MICROSOFT CONFIGURATION MANAGER\CD.LATEST up to \\<SCCMBackupPath>\CD.Latest: ERROR: CTool::TreeCopy to \\SCCMBackup\CD.Latest failed. Error = [error code: 5, error message: Access is denied.].

Failed to copy file(s) Backup\CD.Latest.

Error: Backup Failed  for Component – Backup\CD.Latest.

After BackupComplete SMS Writer status = FAILED_AT_PREPARE_SNAPSHOT.

Error: VSS_E_WRITERERROR_TIMEOUT. Error Code = 0x80,042,3f2.

WARNING: SMS backup failed for atleast one component. Please check previous errors.

SMS_SITE_BACKUP failed. Please see previous errors.

______________________________________________________________

Info: Asynchronous BackupComplete finished.

After BackupComplete SMS Writer status = STABLE.

WARNING: SMS backup failed for atleast one component. Please check previous errors.

SMS_SITE_BACKUP failed. Please see previous errors.

______________________________________________________________

Solução: 

O antivírus (no meu caso McAfee) estava bloqueando a criação do arquivo “autorun.ini” no diretório de destino do Backup. No Log “On Acess Scan” era possível ver a seguinte mensagem:

Bloqueio por regra de proteção de acesso NT AUTHORITY\SYSTEM SYSTEM:REMOTE D:\***\BR5BACKUP\CD.LATEST\AUTORUN.INF Proteção padrão do antivírus: Impedir a criação remota de arquivos executados automaticamente Ação bloqueada: Criar

Configuramos uma exclusão de varredura para esse processo / arquivo e tudo voltou a funcionar

Sintoma:

Depois de instalar a Role de Active Directory Feredation Services (ADFS) no Windows Server 2012 R2 é necessário executar as tarefas de configuração pós-deployment.

Durante a configuração é necessário especificar um usuário com membro do grupo “Domain Admins” para configurar o ADFS e outro usuário de serviço para iniciar o serviço do ADFS.

Depois de especificar as credencias corretamente o seguinte erro é apresentado:

“You do not have sufficient privileges to create another container in Active Directory at location CN=<cn-id-code>,CN=ADFS,Microsoft,CN=Program Data,DC=domain,DC=my for use with shared ceritifcates. Verify that you are logged on as a Domain Admin or have sufficient privileges to create this container, and try again.

 

Diagnóstico:

Conecte-se no Active Directory Users and Computers (ADUC) e certifique-se que a opção “Advanced Features” está habilitada no menu “View“.

Certifique-se que a pasta “Program Data” não está criada.

 

Resolução

Inicie o ADSIEdit e conecte-se no domínio no contexto de “Default Naming Context”

Navegue em “Default Naming Context” > “DC=my,DC=domain”

Clique com o botão direito sobre “DC=my,DC=domain“, aponte para “new” e selecione “Object”

Selecione container, clique em Next e digite “Program Data” no campo value:

Finalize o wizard com o padrão.

Confirme que o grupo “Domain Admins” tem acesso Full Control neste container

Tente configurar o ADFS novamente.

 

Após a renovação do certificado do Root CA o seguinte erro pode ocorrer ao iniciar o serviço do Microsoft AD CA:

No Event Viewer ocorrem os erros Application Event ID 100 e System Event ID 7023:

A Microsoft disponibiliza um artigo com a solução para esse tipo de problema: https://support.microsoft.com/en-us/help/969302/certificate-server-service-does-not-start-and-you-receive-the-error-th

Para corrigir esse problema abra o mmc.exe e adicione a console de certificados. Navegue no painel à esquerda em Certificates > Personal > Certificates. Localize os certificados que são referentes à root CA.

Dica: procure pelo certificado cujo o valor de “Intendend Purposes” é “All” ou verifique o Certificate Template:

Para cada um dos certificados relacionados, clique duplo sobre eles e anote dois valores: “Thumprint” e “Previous CA Certificate Hash“.

O “Previous Certificate Hash” é o “Thumbprint” do certificado anterior. Deste modo, se o certificado foi renovado 3 vezes, você terá uma cadeia de certificados similar ao exemplo abaixo:

Anote o thumbprint do certificado mais recente.

Inicie o regedit.exe e naveguem em: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\<root-ca-name>\CACertHash

Faça um backup dessa chave, just in case, e edite a entrada CACertHash

Cada linha no valor equivale a 1 certificado e a última linha deve conter o thumbprint do certificado atual (o mais novo). Insira “-” para cada certificado anterior gerado.

Por exemplo, se houveram 3 renovações de certificado CA, o valor de CACertHash será:

 

Depois disso deve ser possível iniciar o serviço do Certification Authority