Jean Carlos Bormanieri :: Website

Após a implantação do System Center Configuration Manager, possivelmente você queira liberar acesso aos relatórios para algum usuário efetuar consultas. Imagine que você queira liberar o acesso a um usuário que apenas tenha os privilégios de consultar os relatórios e não tenha privilégios para criar novos.

Na console do SCCM você acessa a opção Site Database -> Security Rights -> Users e adiciona os privilégios de leitura na classe Report para o usuário.

Entretanto, se o usuário abrir a console se depara com um erro 500 no navegador:

Para corrigir este problema, além de dar privilégio de leitura nos relatórios para o usuário no SCCM (passo feito acima), ainda é necessário adicionar a conta deste usuário no grupo local chamado SMS Reporting Users.
Para isso, vá no gerenciamento do servidor e expanda a opção Configuration -> Local Users and Groups e de um duplo clique no grupo SMS Reporting Users. Então adicione a conta do usuário e clique OK.

Após isso, o usuário irá conseguir fazer as consultas nos relatórios do SCCM.

Bom pessoal, estou no meio da implantação do System Center Configuration Manager aqui na empresa. São aproximadamente 500 equipamentos, desde servidores, estações e equipamentos legados.
Com isso, com certeza alguns imprevistos acabam ocorrendo. Algumas máquinas acabam geranndo problemas ao fazer a implantação no modo Push-Install (disparadas remotamente pelo servidor).

Neste post descrevo um problema que aconteceu em algumas maquinas com o Windows XP SP3 instalado. Ao fazer a instalação remota pelo servidor do SCCM, acompanhei o log de instalação e o seguinte erro era apresentado no log do cliente.

Em resumo:

MSI: Module C:\windows\system32\ccm\VAppRegHandler.dll failed to register. HRESULT -2147221164. Contact your support personnel.

Após uma série de pesquisas na internet, encontrei um post em um fórum da Microsoft que recomendou a seguinte ação (a ser executada no cliente):

• Desinstalar o ccmsetup atual: executar o comando ccmsetup /uninstall. Lembrando que no cliente, este executavel deve estar na pasta c:\windows\ccmsetup ou c:\windows\system32\ccmsetup
• Registrar o módulo atl.dll: Para isso, execute o comando regsvr32 atl.dll

Após isso, reinicie a estação e dispare a instalação novamente. Se nenhum outro problema ocorrer, o cliente do SCCM será instalado.

Após configurar o envio de emails utilizando a console de Administração do MOM 2005, o seguinte erro começou a aparecer na console:

Failed to send SMTP message. The message could not be sent to the SMTP server. The transport error code was 0×80040217. The server response was not available hr=-2147220975

Esse erro acontece porque o MOM 2005 por padrão tenta enviar os emails utilizando como autenticação o protocolo NTLM. Para resolver este problem, é necessário criar uma chave no registro que habilita o MOM a enviar emails de notificação sem usar autenticação NTLM. Para isso, seguir os passos abaixo:

1. Abrir o regedit;
2. Localizar a chave HKEY_LOCAL_MACHINE\Software\Mission Critical Software\OnePoint\Configurations\<Configuration group name>\Operations\Consolidator
3. Criar um novo item chamado SendSmtpAnonymous;
4. Modificar o valor dele de 0 para 1;

Após isso, seu MOM conseguirá enviar os emails de notificações.

Como sabemos, o período de suporte ao Windows 2000 acabou. Ou seja, caso surja algum novo bug ou necessidade de implementação a este sistema e você o estiver usando, dançou.
Mas um momento. Você ainda possui algum servidor em produção rodando o Windows 2000 Server? Vergonha para você (rs).

Bom,  como não existe um mundo perfeito, talvez você possa ter alguma necessidade extrema e ainda ter em seu ambiente um Windows 2000 Server rodando. Em nossa realidade e nossa cultura, as empresas ainda pesam muito o custo X benefício entre fazer as migrações dos sistemas operacionais de servidores. Se hoje eles tem um servidor que atende muito bem a necessidade, para quê investir na instalação de um novo sistema operacional? Nós profissionais de TI sabemos da importância que um ambiente atualizado demanda, porém, ficamos a mercê dos administradores das empresas que nem sempre tem essa visão do negócio.

Esses dias, estava analisando a Console do Operador do Forefront Client Security e me deparei com a seguinte mensagem de erro:

Forefront Error Code: 0x8007007f Error description: The specified procedure could not be found.

Esse erro estava sendo remetido de um servidor rodando um sistema operacional Windows 2000 Server. Após uma investigação mais detalhada (e algumas pesquisas no Google é claro), encontrei essa página.

Aparentemente, em um dos updates de definições que a Microsoft fez para o FCS, comprometeu o forefront executado em ambientes com Windows 2000 de carregar e executar alguns drivers de filtros necessários para a execução do serviço de Antimalware. Com isso, este ambiente não estava conseguindo executar o serviço adequadamente e consequentemente submetia informações de erros ao servidor do Forefront.

Para corrigir a situação é necessário:

1. Remover o client do serviço de Antimalware: para isso, executar o comando:
   msiexec.exe /x {A22989EE-AE7A-42F8-A0C0-9C99CFB644FB} /qn
2. Depois, é necessário acessar o site http://catalog.update.microsoft.com/v7/site/Home.aspx e procurar pelo update 2394433. Após fazer o download dele, executar esse novo instalador no ambiente afetado.
3. Com isso será instalado novamente o serviço do Antimalware. Agora é só fazer uma nova atualização dos arquivos de definição e o problema está resolvido.

Situação: A sua empresa acaba de adquirir 248 novos equipamentos (todos com o mesmo hardware) e é seu trabalho fazer a instalação de todos os novos equipamentos. Usando a astúcia que somente um administrador de rede possui, obviamente você instala e configurar um servidor com o MDT 2010 Update 1 para facilitar essa tarefa.
Você elege um computador para ser sua matriz, faz a instalação do Windows 7 nele, atualiza, instala todos os drivers e outros aplicativos necessários e pronto, e só selar a instalação com o Sysprep.exe e capturar a imagem para o servidor de deployment, certo ?

Até aí tudo bem, entretanto, após você restaurar a imagem em um outro equipamento a seguinte mensagem de erro ocorre:

The Windows could not finish configuring your system. To attempt resume configuration, restart the computer.

ou

O Windows não pode terminar de configurar seu sistema. Para continuar a configuração, por favor reinicie seu computador.

Mesmo após reiniciar o equipamento, a mesma mensagem ocorre.

Após uma busca nas entranhas da internet, descobri que existe um bug no  Windows 7 que em determinadas ocasiões podem gerar esse comportamento. Essa correção será imbutida no SP1 do Windows 7, o que deverá estar disponível no início do ano que vem.

Para resolver o problema, instale o hotfix abaixo ANTES de selar a imagem com o Sysprep.exe;

Download do Hotfix.

Após a implantação do Forefront, analisando os logs de eventos do Windows, pude identificar que as seguintes mensagens de erros ocorriam todos os dias de madrugada:

Verificando o evento de Error para obter maiores detalhes:

Após fazer uma pesquisa encontrei um post que explica essa situação.

Aparentemente, a conta que está levantando o SQL Server e está executando o pakage do DTS não está tendo acesso ao diretório necessário. Para corrigir isso fazer o seguinte:

1. Abrir o SQL Server Management Studio
2. Conectar a seu servidor
3. Expandir Management->Legacy->Data Transformation Services
4. Botão direito em  ‘Microsoft Forefront Client Security’ e escolher ‘Open’
5. Clicar no menu ‘Package’ e escolher ‘Properties’
6. Navegar até a aba ‘Global Variables’ e verificar o valor do campo ‘ScriptFileDirectory’.
7. Agora abra este diretório usando o Windows Explorer e atribua direitos de leitura e gravação para a conta que esta subindo os serviços do SQL Server (no meu caso o NETWORK SERVICE) neste diretório
8. Pronto, o problema esta corrigido.
9. Para forçar a execução da tarefa, volte ao SQL Server Management Studio
10. Expandir SQL Server  Agent -> Jobs
11. Clicar com o botão direito em Microsoft Forefront Client Security e escolher Start Job at Step

A ferramenta Microsoft Forefront Client Security é a solução Microsoft para proteção contra vírus e spywares. Ela provê uma administração centralizada do ambiente, facilitando assim o trabalho dos administradores de rede.

Estou participando de um grande projeto de implantação dessa tecnologia  e estou estudando a fundo esta ferramenta. Já trabalhei com outras soluções de antivírus corporativo, dentre elas, Trend, Kaspersky e Symantec. Definitivamente, não existe uma solução perfeita. Cada uma delas tem seus pontos fortes e fracos e cabe a você identificar qual a melhor solução para seu ambiente. Em se tratando do Forefront (FCS) a grande vantagem é de ser um produto Microsoft, e como outros produtos da empresa, foca muito a integração entre todos os produtos. Você receberá as atualizações através do seu servidor WSUS, você fará seu deployment através de GPOs criadas pela console do FCS, etc.. Soma-se a isso o fato de contar com uma grande quantidade de documentação disponível, marca registrada dos produtos Microsoft.

Estarei montando uma série de posts aqui neste site informando algumas dúvidas pelas quais passei ao implantar essa ferramenta e as alternativas para corrigi-las.

Como primeiro caso, vou tratar de resolver um problema que na minha concepção é uma falha extremamente grave. Infelizmente, nativamente, a ferramenta não possue nenhum mecanismo que impeça os usuários que possuem privilégios de administradores de pararem os serviços do FCS, ficando desta maneira desprotegidos. Outras soluções de Antivírus permitem que o administrador da rede configure uma senha para isso e somente com essa senha o usuário pode parar a proteção em sua máquina.
Sabemos que os usuários são leigos e muitos, ao perceberem que seu equipamento fica lento, acabam culpando o antivírus pela lentidão e então fecham a aplicação.

Para corrigir essa situação, podemos criar uma GPO que impeça os usuários de parar os serviços do FCS. Para isso:

01: Em um servidor abra a ferramenta Group Policy Management.

02:  Edite uma GPO aplicada a seus usuários (no meu caso a Default Domain Policy, porém você pode criar uma nova). Para isso, clique com o botão direito em cima da GPO e selecione Edit

03: Agora navegue até o caminho Computer Configuration \ Windows Settings \ Security Settings \ System Services

04: Agora para cada um dos 3 serviços do FCS (Microsoft Forefront Client Security Antimalware  Service, Microsoft Forefront Client SecurityManagement Service e Microsoft Forefront Client Security State Assessment Service) clique duas vezes no serviço. Habilite a opção Define this policy setting e marque a opção Automatic. Clique no botão Edit Security e selecione o grupo Administrators (que é o grupo de administradores locais). Desmarque a permissão de Start, stop and pause para este grupo. Adicionalmente, como boa prática, você pode incluir um determinado grupo com privilégios de poder fazer essas alterações, no meu caso, incluí o grupo JEANBLU\Domain Admins. Após isso confirme as alterações clicando duas vezes no botão OK.

05: Após fazer essas mudanças nos três serviços, como podemos observar na imagem abaixo, a segurança para esses três serviços foi definida. Agora, após a GPO ser aplicada nas estações (você pode forçar isso executando o comando gpupdate /force) os usuários não poderão mais parar os serviços do FCS.

06: Desta maneira, os usuários ainda poderão fechar o aplicativo que fica no systray do windows, mas mesmo assim eles continuarão protegidos.

Ontem fiz a prova 70-648. Fui muito bem e gabaritei ela (1000 pontos).

Essa prova é na verdade composta de 2 sub-provas. Na primeira parte, são 27 questões e na segunda foram 30. Essa prova é uma espécie de junção das provas 70-640 e 70-642, tanto que após passar nelas você ganha o título de Techology Specialist em Active Directory e Technology Specialist em Network Infraestructure.

Comentários sobre a prova:

Eu achei extremamente fácil, nem parece uma prova de upgrade de um sistema operacional server. Surpreendemente não houveram questões relacionadas a DNS, porém caiu muitas perguntas RRAS. Achei estranho também cair tantas perguntas relacionadas a DHCP.
Outro tópico bastante abordado foi o de backup. Das roles novas do Windows 2008, sugiro estudar profundamente NAP e ADFS.
Sugiro também a vocês montarem um ambiente de testes para implementarem soluções de IPSEC, pois é um tópico que também é muito abordado no exame. Adicionalmente, monte uma infraestrutura de PKI com o ADCS.

Próximo passo:

A próxima prova que irei fazer será a 70-646 (Pro: Windows Server 2008, Server Administrator). Com essa prova receberei o título de MCITP – Server Administrator

Em breve, uma série de posts descrevendo o processo de implantação de um farm do Sharepoint 2010 visando alta disponibilidade.

Eventualmente você pode precisar alterar a conta que instancia os serviços do Team Foundation Build Services. Fácil?
Bom, alterar as credenciais que levantam o serviço é realmente muito fácil. O difícil é fazer o serviço iniciar após fazer essa alteração. Essa é o tipo de trabalho que os administradores de rede pensam: “Fácil, resolvo em 2 minutos!”. Neste caso, vale aquela história do parafuso, onde o que importa não é saber que você vai ter que apertar um parafuso, mas sim, qual o parafuso que vai ter apertar.
Após saber, fica fácil!!!

Se você alterou as credenciais do serviço, ao tentar iniciá-lo, deve ter percebido que o serviço não inicia e o seguinte erro é gerado no Visualizador de Eventos:

Detailed Message: TF224004: The Visual Studio Team Foundation Build service failed to start because “account” does not have the required access permissions for address http://”server”:9191/Build/v2.0/AgentService.asmx.
Exception Message: HTTP could not register URL http://+:9191/Build/v2.0/AgentService.asmx/. Your process does not have access rights to this namespace (see http://go.microsoft.com/fwlink/?LinkId=70353 for details). (type AddressAccessDeniedException)

Obviamente , o problema aqui trata-se de falta de privilégios para acessar esse webservice. Para corrigir o problema, execute a sequencia abaixo:

• No servidor do TFS, abrir um prompt de comando e acessar o diretório “c:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\PrivateAssemblies”
• Executar o comando:  wcfhttpconfig.exe reserve DOMAIN\UserAccount 9191 obviamente incluindo a conta com a qual você esta configurando o serviço de Build
• Após isso, é possível iniciar o serviço de Build novamente.