Blog of Khlebalin Dmitriy

(Записки из мира IT…)

WSUS Windows Updates Failed Error 0x80244022.

Если разливаете обновления с помощью WSUS (а WSUS еще со второй версии, для меня остается неким «котом в мешке», живущим какой-то своей известной только ему самому, жизнью. Не понимаю, что мешает сделать продукт более, логичным и информативным, ведь есть много удачных примеров…), то вроде бы при его стабильной работе, и полностью благополучно скачанных обновлениях,

на некоторых компах и серверах при обновлении выпадает ошибка Error 0x80244022.

В этом случае рекомендации типа:

https://answers.microsoft.com/en-us/protect/forum/mse-protect_updating/error-code-0x80244022-when-attempting-definitions/4958f996-08a3-46bb-b8a7-69ca6fee7032

или

https://ugetfix.com/ask/how-to-fix-windows-update-error-code-0x80244022/

в нашем случае, оказались бесполезными, исправление на ПК вроде выполняется, но обновления, как не накатывались, так и не накатываются.

На одном из форумов наткнулся на интересный совет, который и стал ключом к решению проблемы:

На сервере WSUS, открываем настройки IIS и запускаем или рестартуем св пулах приложений WSUSPool

После чего обновления начинают благополучно находиться и устанавливаться

Но есть в этом случае интересный момент, ответа на который, я пока так и не нашел: через некоторое время, служба снова останавливается сама по себе, и пока снова не запустить её руками, снова выпадает аналогичная ошибка. Если есть варианты прошу написать в комментариях?

Всем хорошей работы!!!

21.06.2017 Posted by | ms windows 2016 | Оставьте комментарий

Переносим файл-сервер. Интересный баг.

Миграция виртуальной инфраструктуры плавно подходит к своему завершающему этапу. Последним из виртуалок должен был мигрировать файл-сервер, так как он имеет некую засаду в плане миграции. Диск С: это vmdk раздел, а диски D: и E: это примапенный  RDM диск  (старая корзина Netgear презентованная по iscsi). В общем корректно мигрировать файл-сервер в целом не удалось, по сему приняли решение развернуть виртуальный сервер сразу на Windows 2016, нарезать ему vmdk разделов и перенести файл-сервер «руками», банально скопировав папки с с действующими NTFS разрешениями со старого сервера на новый. Так собственно и поступили. Ранее эту процедуру делали с помощью моего любимого Total Commander, в этот раз решили пойти по проверенному пути. Переименовали старый файл-сервер, закрыли доступ к шаре, дабы никто не вносил никаких изменений  и можно копировать.

В процессе копирования появлялись некие ошибки, мол длинное название файлов или каталогов, но все это обычное дело, не страшно, продолжили копирование.

Потребовалось около 12 часов чтобы перелить 2ТБ файлов по гигабитному каналу. И вроде бы все прошло в штатном режиме, пришло время дать доступ пользователям и продолжить работу, но в определенный момент мой коллега Данила, заметил интересную особенность, что он не может удалить папку, которую ему необходимо удалить.

Несколько озадачились, стали разбираться. В итоге, в ходе детального анализа выяснили интересную особенность, с которой  ранее никто никогда из нас не сталкивался за всю практику, далее напишу, что произошло, если кто знает причину происхождения, пожалуйста напишите в комментариях.

А произошло буквально следующее:

Все каталоги и файлы нормально перенеслись с действующими NTFS разрешениями, как пользовательскими, так и админскими. И все пользователи благополучно имеют доступ согласно указанных прав. Но «косяк» заключается в том, что обладая правами, как локального, так и доменного администратора и имея полные права над папкой и подпапками, буквально ничего не можешь с ней сделать (ни добавить прав кому либо, ни отнять их), выскакивает сообщение «Отказано в доступе«. При том самое интересное, что можно сменить владельца папки и легко самому стать владельцем (это как не странно без проблем удается), но далее при попытке перераздать права или просто удалить каталог выскакивает надпись: «Обратитесь к владельцу папки Хлебалину Дмитрию». Очень интересно, сам под собой я вообще никак не управляю файл-сервером, аналогично и другие админы, в итоге перенесенный файл-сервер превратился в кирпич.

Это стало непредвиденной проблемой. Ситуация осложнялась тем, что те 2ТБ, которые перенесли невозможно было удалить. А времени уже не оставалось вовсе.

Приняли решение, что переименовываем текущий диск D: в G: создаем новый vmdk раздел и делаем его диском D: и начинаем все сначала.

Далее начали пробовать штатными рекомендованными утилитами типа Robocopy:

https://technet.microsoft.com/ru-ru/library/cc733145(v=ws.10).aspx

https://habrahabr.ru/post/261359/

или Xcopy:

http://xn—-ttbkadddjj.xn--p1ai/cmd/kopirovanie-papok-xcopy.html

но с ними что-то не сложилось, копирование никак не работало (вероятно есть проблемы с правами на старом сервере, а может и еще что-то, причина не ясна), коллега Роман из компании интегратора посоветовал утилиту от EMC Emcopy (за что ему огромное спасибо).

Скачать утилиту можно здесь: http://my-files.ru/eip9ot

Пример ключей для инкрементального копирования: emcopy.exe e:\upk \\csco-vnx-fs01\data\robocopy /xjd /sdd  /o /s /purge /secforce /de /u /th 4 /log:C:\log.txt

Пользователь, от которого запускается утилита, должен иметь привилегии Power User и Backup Operator, local Administrator.

Но есть нюанс. Это всего лишь наш пример, но может быть по другому, например Вам необходимо полное наследование.

  • Перед копированием в папку назначения создаем ее на новом сервере с таким же названием, как она называлась на старом сервере в ручную.
  • Наследование с верхней папки включено по умолчанию, если необходимо добавляем необходимые разрешения, далее заходим в раздел «Дополнительно» жмем «Отключить наследование» 

Преобразовать унаследованные разрешения в явные

Далее ставим галку «Заменить все записи разрешений….»

Эти манипуляции дают нам готовую папку для копирования с необходимыми разрешениями.

Далее запускаем саму утилиту в командной строке с правами Администратора и запускаем копирование, например так:

C:\emcopy_4_17\emcopy64.exe «\\GOFS-OLD\d$\user_public» «G:\user_public» /xjd /sdd  /o /s /purge /secforce /de /u /th 4 /log:C:\log.txt

полный список ключей можно посмотреть здесь: http://knowledgeascent.com/2015/02/emcopy-tool/

Сама утилита сильно не информативна, не пишет даже проценты копирования (узнать о том, сколько скопировалось можно посмотрев размер папки или сравнивать каталоги в тоже Total Commander), но дело все знает четко (пишет ошибки но все равно продолжает копировать), копирование  с помощью нее в нашем тяжелом случае как раз выполнилось без проблем с необходимыми правами NTFS без предыдущего бага.

Благодарю Данилу Кузнецова за помощь в написании поста, поиск и отладку багов.

Всем хорошей работы!!!

25.05.2017 Posted by | ms windows 2016 | Комментарии к записи Переносим файл-сервер. Интересный баг. отключены

Radius на Windows server 2016.

Наконец «Долгая дорога в дюнах» закончилась, и мы пришли к корпоративному управляемому Wi-fi решению. В начале думали про решение Cisco или Aruba, но к сожалению текущий бюджет никак не располагает к решениям подобного плана. В итоге, в ходе долгих поисков истины и раздумий, решили остановиться на решении Ubnt (отдельно благодарю Александра за нужные советы). Конечно, это не одного поля ягоды с решением Cisco или Aruba, но в текущей ситуации, что есть, то есть.

Как говорил мой командир: «На пожаре и Х… водопровод» (да простят меня за мой русский).

Итак, решение выбрано, задача настроить корпоративный внутренний и гостевой сегменты Wi-fi с авторизацией на Radius сервере.

VPN сервер уже готов, осталось настроить RADIUS, сегодня как раз об этом. На первый взгляд, развернуть и настроить RADIUS сервер, не такая уж сложная задача, но немного загнались с сертификатом, пришлось «поплясать с бубном», ну об этом далее по порядку.

Для начала необходимо запросить сертификат с Центра сертификации, центр сертификации у нас уже есть, поэтому его установку в этом посте я пропущу.

MMC-Файл-Добавить или удалить оснастку-Добавляем Сертификаты-Учетной записи компьютера-Локальным компьютером.

Находим наш центр сертификации

snap1

Запрашиваем сертификат (*.p12), сохраняем его на диск, далее устанавливаем его в Личные сертификаты на будущий радиус сервер

snap2

Далее добавляем роль самого RADIUS сервера

snap3

Далее запускаем Сервер политики сети

snap4

snap5

Добавляем в раздел RADIUS-клиенты свои Wi-fi точки доступа или сервер управления точками доступа если он поддерживает эту возможность (в этом случае он будет выполнять роль RADIUS клиента)

snap6

Общий секрет, указываем тот, который в последствии укажем на Wi-fi точке (IP адрес точки в той подсети, где она находится).

Переходим к политике запросов на подключение

snap7

snap8

snap9

Вот тут, если нажать на:защищенные EAP(PEAP)-Изменить, мы должны видеть свой сертификат, если он был правильно запрошен и установлен.

snap10

Далее настраиваем Сетевые политики

snap11

snap12

snap13

На первый взгляд настройка RADIUS сервера на этом закончена, но это еще не все.

На эту тему есть четкие рекомендации, про которые я совсем забыл (спасибо Александру, что он напомнил):

https://technet.microsoft.com/en-us/library/cc754198.aspx?f=255&MSPPError=-2147217396

если сервер не включен в группу RAS and IAS, то его надо туда добавить:

https://msdn.microsoft.com/en-us/library/cc754878(v=ws.11).aspx

На всякий случай проверяем, что все так, как должно быть, открываем на сервере локальную политику (gpedit.msc)

И проверяем следующий пункт

snap14

Далее на точке или точках Wi-fi указываем авторизацию WPA Enterprise.

snap15

Здесь же хотел поблагодарить Романа, за подробные разъяснения по неясным моментам по серверу управлению Wi-fi и настройкам непосредственно Wi-fi.

И получаем далее авторизуем с доменными учетными данными, пользователей подключаемых к корпоративному Wi-fi.

Почитать по теме можно здесь:

https://www.gypthecat.com/how-to-configure-windows-2012-nps-for-radius-authentication-with-ubiquiti-unifi

или здесь:

https://habrahabr.ru/post/142070/

Всем хорошей работы!!!

06.12.2016 Posted by | ms windows 2016 | Комментарии к записи Radius на Windows server 2016. отключены