MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Tags

Instalando o System Center Configuration Manager 2007 SP2 R2 no Windows 2008 R2

Atualizei um sistema com System Center esta semana para o Windows 2008 R2 e me deparei com um problema novo. Os serviços aparentemente subiam, o cliente instalava e localiza o site code. Porem, não havia comunicação entre o cliente e o servidor e nos logs a role Management Point (MP) acusava o erro abaixo. Alem desse erro também é necessário instalar algumas features especificas no IIS 7.5 para funcionar os relatórios.

SINTOMA 1 – Não comunica com o Management Point

No log do cliente acusa erro de comunicação com o IIS e no log do servidor acusa erro de instalação do WebDav.

CCMExec.log - <![LOG[[CCMHTTP] HTTP ERROR: URL=http://<server>/ccm_system/request, Port=80,

MPSetup.Log - Failed to get WebDAV settings on the machine (0x80070002)

Ao verificar o IIS a feature webdav está instalada e o site Default Web Site está em execução normalmente.

CAUSA

No Windows 2008 R2 o IIS não habilita o WebDav automaticamente, é necessário habilitá-lo. Alem disso o WebDav por padrão tem acesso anonimo desabilitado e no IIS 7.5 precisa ter uma definição por role de acesso explicito.

SOLUÇÃO

Siga os passos indicados abaixo para resolver o problema com o WebDav:

1- Abra o Default Web Site e clique sobre a feature WebDav:

 

2- Habilite o WebDav e inclua uma regra de autoria (Add Authoring Rule) permitindo acesso Read para All Users:

3- Altere as propriedades marcadas abaixo para permitir o acesso anonimo, desabilitar o customizado e permitir o list:

Referencia: http://technet.microsoft.com/en-us/library/cc431377.aspx

 

SINTOMA 2 – Relatórios não aparecem no Reports

O problema é mostrado na página principal do console ao tentar executar qualquer relatório:

http://servidor:80/SMSReporting_GRP/reports.asp  Erro 404.3

CAUSA

O IIS 7.5 por padrão instala a feature ASP.NET e não a feature ASP apenas.

SOLUÇÃO

Execute o Server Manager, clique sobre a role Web Server e escolha a opção Add Feature e proceda como na figura abaixo:

image

Basta entrar e executar agora os relatórios.

Posted: mar 07 2010, 20:09 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: System Center
Login
Marcelo de Moraes Sincic | All posts tagged 'acesso negado'
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Tags

Alteração no Kerberos do Windows 2012 pode causar Acesso Negado

Em uma reunião com os Microsoft PFEs Gilson Banin e Marcelo Ferratti foi comentado sobre uma alteração no método como o Windows 2012 gera um Ticket de autenticação pelo Kerberos, chamado de “KDC Resource SID Compression”.

Situação Atual

Como já é sabido, um Ticket de autenticação leva o SID do usuário e dos grupos do qual ele faz parte, além do SID History em casos de migração anterior. Em alguns casos, principalmente dominios muito grandes, o Ticket podia estourar o limite padrão de 12 Kb e gerar problemas na autenticação. Vale lembrar que pelo mesmo motivo um usuário não pode fazer parte de mais do que 1024 grupos.

Atuamente o Ticket (PAC) é composto por SIDs completos: Os valores padrão de identificação (S-1-5), o SID do dominio e o RID individual do objeto no ultimo bloco:

  • S-1-5-21-3419695430-3854377854-1234
  • S-1-5-21-3419695430-3854377854-1466
  • S-1-5-21-3419695430-3854377854-1675
  • S-1-5-21-4533280865-6432248977-6523
  • S-1-5-21-4533280865-6432248977-6578

Alteração no Windows 2012

A mudança no KDC consiste em não mais incluir no Ticket dados repetidos, com isso o Ticket gerado por um Domain Controller com Windows 2012 fica com menor tamanho e resolve o problema de ser necessário a alteração do tamanho do Ticket.

Assim, o mesmo exemplo anterior de Ticket ficaria:

  • S-1-5-21-3419695430-3854377854-1234
  • -1466
  • -1675
  • S-1-5-21-4533280865-6432248977-6523
  • -6578

O problema é que servidores anteriores ao Windows 2012 não “entendem” o novo Ticket e só permitirá acesso as ACEs que sejam completas, portanto o usuário conseguiria acessar locais onde a permissão foi concedida nos casos 1 e 4 do exemplo, mas não acessaria caso a permissão seja de um dos outros SIDs.

Conclusão

Em um dominio onde ainda existam servidores anteriores ao Windows 2012, o que inclui o Windows 2008 R2, o acesso ao servidor de arquivos, Exchange e qualquer outro que seja baseado no Kerberos terá problemas de acesso negado.

Remediação

Crie a chave de Registry Dword DisableResourceGroupsFields  em HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kdc\Parameters para desabilitar este recurso.

 

Mais Informações: http://support.microsoft.com/kb/2774190

Posted: out 28 2012, 23:20 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login