RUVATA
17-01-2014, 12:04
Всем доброго времени суток!
После суток гугления, проб и ошибок, обращаюсь за советом к коллективному разуму.
Ситуация:
Windows Server 2003 R2 SP2 - контролер домена
Сервер вынуждено торчит в интернет, потому приходится постоянно следить за обновлениями системы и регулярно их ставить (сколько горя уже было...), после появления сообщений о доступных обновлениях я выжидаю где-то недельку, периодически почитывая гуголь по запросу "w2k3 проблемы после обновления". Так было и на этот раз, где-то 05-06 января сервак затянул несколько обновлений
а именно:
Обновление для системы безопасности Windows Server 2003 (KB2893294)
Обновление для системы безопасности Windows Server 2003 (KB2892076)
Обновление для системы безопасности Windows Server 2003 (KB2893984)
Обновление для системы безопасности Windows Server 2003 (KB2898715)
В течении недели - тем по проблемам не появилось, решил поставить.
(все нижеописанное проявляется при работе как под встроенным локальным администратором, так и при логине под любым пользователем входящим в группу "Администраторы" и "Администраторы домена")
Проблема:
Первое) Ряду служб, таких как "Служба времени" и т.д. установлен запуск от имени NT AUTHORITY \ LocalService с заполненным полем "пароль". После перезагрузки (которую вежливо попросили обновы) эти службы встали раком в "позицию №3", в системном журнале краснуха.
- первоначально решено добавлением NT AUTHORITY \ LocalService в группу "Админитсраторы"
(потом Process Explorer помог определить какие службы бегут не "От имени системы", и данное недоразумение поправлено ручками)
Второе)
1) Не запускается MMC-оснастка управления RRaS, с ошибкой "Отказано в доступе", причем весьма странно, интерфейс оснастки таки открывается, в нем видно дерево серверов в частности локальный компьютер, но этот узел не разворачивается, но над самим узлом через его свойства можно совершать все доступные манипуляции - перезапустить, остановить и т.д.
Сама же RRaS отлично работает, и без проблем управляется через netsh, ни в каком доступе ему не отказано :)
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/e2f/740/5bbd7b40893302354b798c39bf4d3aef76a71e39.jpg (http://joxi.ru/C9PYUv3JTJDiLeRtXGc)(после перестроения списка серверов - попытка раскрытия поддерева сервера)
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/264/1f3/1f152f57c75b37c35a54bcbe9aa353eddab3e3e2.jpg (http://joxi.ru/LNPYUv3JTJDcLTSyA2w)(всё контекстное меню работает)
2) Средство сбора информации о системе выдает "ужасное"
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/dac/67f/c55d945c5f051ed2b7ea824c1e33178049ef72be.jpg (http://joxi.ru/69PYUv3JTJDlLePNqqQ)(Нет доступа к средствам WMI...)
3) Результирующая политика не работает вот так
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/134/34b/fb1bc4ec43d75987c57bbeadfb036fb106007df5.jpg (http://joxi.ru/qdTYUhjKTJD_EuUh_pQ)
Гугленя и собственные домыслы - возможно сбиты права на реестр, возможно права на некоторые каталоги ФС,
но корень зла - RPC и настройки безопасности COM
Что было предпринято:
1) Востановление заведомо работоспособных прав на реестр
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=Администраторы=f /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=Администраторы=f /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=Администраторы=f /grant=system=f
subinacl /subdirectories %SystemDrive% /grant=Администраторы=f /grant=system=f
2) Сброс настроек локальных безопасности
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
3) Настройки безопасности СOM (оснастка "Службы компонентов"), выставлены следующим образом:
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/ea1/c0b/ec94fce01fe292ec999c378329a905c325c45b20.jpg (http://joxi.ru/cd_YUhjKTJDROtbrNFE)
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/630/28d/9eda60a07d5cce3f904695cd2406a8b3c5375f3d.jpg (http://joxi.ru/ud_YUv3JTJDiSXEnfUA) (в 1 и 2 группам "Администраторы", "SYSTEM" - выставлены полные права)
Все вышеописанные действия - проблему не решили.
Более того, на данном сервере идет ежедневная архивация штатными средствами - "System State"
Откат на System State (до обновления), сбрил обновления т.е. их снова предлагается скачать и установить
но проблема - осталась.
PS: Все службы сервера функционируют нормально, других связанных проблем не проявляется, я уже и не знаю что делать господа.
Уж очень хочется вернуть к жизни RRaS оснастку, частенько приходится реконструировать сеть - netsh конечно скажите вы, и я отвечу - да. Но это "какая-то нездоровая х@#$я", да и "спортивный интерес" :)
PPS: Я проф.программист, админство - по совместительству и временной необходимости да и то преимущественно Unix-like, а тут сами понимаете - винда, еще и "старая" :( хнык,хнык
После суток гугления, проб и ошибок, обращаюсь за советом к коллективному разуму.
Ситуация:
Windows Server 2003 R2 SP2 - контролер домена
Сервер вынуждено торчит в интернет, потому приходится постоянно следить за обновлениями системы и регулярно их ставить (сколько горя уже было...), после появления сообщений о доступных обновлениях я выжидаю где-то недельку, периодически почитывая гуголь по запросу "w2k3 проблемы после обновления". Так было и на этот раз, где-то 05-06 января сервак затянул несколько обновлений
а именно:
Обновление для системы безопасности Windows Server 2003 (KB2893294)
Обновление для системы безопасности Windows Server 2003 (KB2892076)
Обновление для системы безопасности Windows Server 2003 (KB2893984)
Обновление для системы безопасности Windows Server 2003 (KB2898715)
В течении недели - тем по проблемам не появилось, решил поставить.
(все нижеописанное проявляется при работе как под встроенным локальным администратором, так и при логине под любым пользователем входящим в группу "Администраторы" и "Администраторы домена")
Проблема:
Первое) Ряду служб, таких как "Служба времени" и т.д. установлен запуск от имени NT AUTHORITY \ LocalService с заполненным полем "пароль". После перезагрузки (которую вежливо попросили обновы) эти службы встали раком в "позицию №3", в системном журнале краснуха.
- первоначально решено добавлением NT AUTHORITY \ LocalService в группу "Админитсраторы"
(потом Process Explorer помог определить какие службы бегут не "От имени системы", и данное недоразумение поправлено ручками)
Второе)
1) Не запускается MMC-оснастка управления RRaS, с ошибкой "Отказано в доступе", причем весьма странно, интерфейс оснастки таки открывается, в нем видно дерево серверов в частности локальный компьютер, но этот узел не разворачивается, но над самим узлом через его свойства можно совершать все доступные манипуляции - перезапустить, остановить и т.д.
Сама же RRaS отлично работает, и без проблем управляется через netsh, ни в каком доступе ему не отказано :)
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/e2f/740/5bbd7b40893302354b798c39bf4d3aef76a71e39.jpg (http://joxi.ru/C9PYUv3JTJDiLeRtXGc)(после перестроения списка серверов - попытка раскрытия поддерева сервера)
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/264/1f3/1f152f57c75b37c35a54bcbe9aa353eddab3e3e2.jpg (http://joxi.ru/LNPYUv3JTJDcLTSyA2w)(всё контекстное меню работает)
2) Средство сбора информации о системе выдает "ужасное"
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/dac/67f/c55d945c5f051ed2b7ea824c1e33178049ef72be.jpg (http://joxi.ru/69PYUv3JTJDlLePNqqQ)(Нет доступа к средствам WMI...)
3) Результирующая политика не работает вот так
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/134/34b/fb1bc4ec43d75987c57bbeadfb036fb106007df5.jpg (http://joxi.ru/qdTYUhjKTJD_EuUh_pQ)
Гугленя и собственные домыслы - возможно сбиты права на реестр, возможно права на некоторые каталоги ФС,
но корень зла - RPC и настройки безопасности COM
Что было предпринято:
1) Востановление заведомо работоспособных прав на реестр
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=Администраторы=f /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=Администраторы=f /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=Администраторы=f /grant=system=f
subinacl /subdirectories %SystemDrive% /grant=Администраторы=f /grant=system=f
2) Сброс настроек локальных безопасности
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
3) Настройки безопасности СOM (оснастка "Службы компонентов"), выставлены следующим образом:
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/ea1/c0b/ec94fce01fe292ec999c378329a905c325c45b20.jpg (http://joxi.ru/cd_YUhjKTJDROtbrNFE)
http://cdn.joxi.ru/media/cache/thumbnail/uploads/prod/2014/01/17/630/28d/9eda60a07d5cce3f904695cd2406a8b3c5375f3d.jpg (http://joxi.ru/ud_YUv3JTJDiSXEnfUA) (в 1 и 2 группам "Администраторы", "SYSTEM" - выставлены полные права)
Все вышеописанные действия - проблему не решили.
Более того, на данном сервере идет ежедневная архивация штатными средствами - "System State"
Откат на System State (до обновления), сбрил обновления т.е. их снова предлагается скачать и установить
но проблема - осталась.
PS: Все службы сервера функционируют нормально, других связанных проблем не проявляется, я уже и не знаю что делать господа.
Уж очень хочется вернуть к жизни RRaS оснастку, частенько приходится реконструировать сеть - netsh конечно скажите вы, и я отвечу - да. Но это "какая-то нездоровая х@#$я", да и "спортивный интерес" :)
PPS: Я проф.программист, админство - по совместительству и временной необходимости да и то преимущественно Unix-like, а тут сами понимаете - винда, еще и "старая" :( хнык,хнык