windows update vs Crypto Pro

Столкнулись с проблемой. Терминальные сервера с установленной CryptoPro перестали обновляться.  Оказалось что CryptoPro знают о проблеме и вывесили своей странице специальный патч.

windows 2012 TS mystical shutdown

Завели мы терминальный сервер на платформе windows 2012. Подключили к нему тонких клиентов и вроде бы все хорошо, но стал этот терминальник изредка выключатся. Пользователи в правах ограничены — кнопок «выключить» у залогиненого юзера нет. Но оказалось что в домене есть политика — которая позволяет пользователю не прошедшему авторизацию выключать компьютер.

Чтобы найти локальную политику нужно запустить gpedit.msc и в дереве выбрать — «конфигурация windows — Параметры безопасности — Локальные политики — Параметры безопасности».  И найти политику «Завершение работы: Разрешить завершение работы системы без выполнения входа в систему».

У меня эта политика была запрещена для редактирования. rsop.msc показал что ее переопределяет default domain policy. И действительно — на контроллере домена политика «shutdown: allow system to be shut down without having to log on» была определена в состоянии enable.

снял галку, обновил политики и смог отредактировать локальную политику сервера как надо — т.е. отключить пользователям возможность shutdown. Правда дальнейшее исследование показало что непривелигерованный пользователь все равно может выполнить команду shutdown -s и она сработает. Но с этой историей разбираться будем в следующий раз.

https://social.technet.microsoft.com/Forums/ru-RU/4eee9b6e-611e-4b3d-a56f-c48b3deac084/-?forum=WS8ru

windows ts event-id 4105

Случилось так, что на одном из моих терминальных серверов перестали раздаваться лицензии на подключение. В логах event 4105.

A warning event occurred. EventID: 0xC9001009

Time Generated: 03/15/2012 06:43:56

Event String:

The Remote Desktop license server cannot update the license attributes for user «<login>»

in the Active Directory Domain «rums.bis». Ensure that the computer account for the license server is a member of Terminal Server License Servers group in Active Directory domain «rums.bis».

If the license server is installed on a domain controller, the Network Service account also needs to be a member of the Terminal Server License Servers group.

If the license server is installed on a domain controller, after you have added the appropriate accounts to the Terminal Server License Servers group, you must restart the Remote Desktop Licensing service to track or report the usage of RDS Per User CALs.

Win32 error code: 0x80070005

Сервер лицензий (он же терминальный сервер) присутствовал в группе Terminal Server License Servers.  Поиск показал что проблема связана с правами сервиса.

http://www.eventid.net/display.asp?phase=1&eventid=4105&eventno=10491&source=Microsoft-Windows-TerminalServices-Licensing

Убедитесь что доменная группа Terminal Server License Servers имеет следующие разрешения на AD пользователей. Для этого

  • открыть Active Directory Users And Computers
  • Tick View -> Advanced
  • Right click on the root of your domain and select properties.
  • Select the Security tab.
  • Check if «Terminal Server License Servers» is listed with special permissions. If not, click on «Advanced» and add the domain group «Terminal Server License Servers», select «Applies onto» «User objects», then tick the permissions «Read Terminal Server License Servers» and «Write Terminal Server License Servers».

В моем случае как раз нужной группы в списке не было. И данные действия помогли. Лицензии стали раздаваться всем — ошибка из логов исчезла.