Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] MMC оснастка RRaS - отказано в доступе (http://forum.oszone.net/showthread.php?t=275955)

RUVATA 17-01-2014 12:04 2290802

MMC оснастка RRaS - отказано в доступе
 
Всем доброго времени суток!

После суток гугления, проб и ошибок, обращаюсь за советом к коллективному разуму.
Ситуация:
Windows Server 2003 R2 SP2 - контролер домена
Сервер вынуждено торчит в интернет, потому приходится постоянно следить за обновлениями системы и регулярно их ставить (сколько горя уже было...), после появления сообщений о доступных обновлениях я выжидаю где-то недельку, периодически почитывая гуголь по запросу "w2k3 проблемы после обновления". Так было и на этот раз, где-то 05-06 января сервак затянул несколько обновлений
а именно:
Код:

Обновление для системы безопасности Windows Server 2003 (KB2893294)
Обновление для системы безопасности Windows Server 2003 (KB2892076)
Обновление для системы безопасности Windows Server 2003 (KB2893984)
Обновление для системы безопасности Windows Server 2003 (KB2898715)

В течении недели - тем по проблемам не появилось, решил поставить.
(все нижеописанное проявляется при работе как под встроенным локальным администратором, так и при логине под любым пользователем входящим в группу "Администраторы" и "Администраторы домена")
Проблема:
Первое) Ряду служб, таких как "Служба времени" и т.д. установлен запуск от имени NT AUTHORITY \ LocalService с заполненным полем "пароль". После перезагрузки (которую вежливо попросили обновы) эти службы встали раком в "позицию №3", в системном журнале краснуха.
- первоначально решено добавлением NT AUTHORITY \ LocalService в группу "Админитсраторы"
(потом Process Explorer помог определить какие службы бегут не "От имени системы", и данное недоразумение поправлено ручками)

Второе)
1) Не запускается MMC-оснастка управления RRaS, с ошибкой "Отказано в доступе", причем весьма странно, интерфейс оснастки таки открывается, в нем видно дерево серверов в частности локальный компьютер, но этот узел не разворачивается, но над самим узлом через его свойства можно совершать все доступные манипуляции - перезапустить, остановить и т.д.
Сама же RRaS отлично работает, и без проблем управляется через netsh, ни в каком доступе ему не отказано :)
(после перестроения списка серверов - попытка раскрытия поддерева сервера)
(всё контекстное меню работает)

2) Средство сбора информации о системе выдает "ужасное"
(Нет доступа к средствам WMI...)

3) Результирующая политика не работает вот так


Гугленя и собственные домыслы - возможно сбиты права на реестр, возможно права на некоторые каталоги ФС,
но корень зла - RPC и настройки безопасности COM

Что было предпринято:
1) Востановление заведомо работоспособных прав на реестр
Код:

subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=Администраторы=f /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=Администраторы=f /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=Администраторы=f /grant=system=f
subinacl /subdirectories %SystemDrive% /grant=Администраторы=f /grant=system=f

2) Сброс настроек локальных безопасности
Код:

secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
3) Настройки безопасности СOM (оснастка "Службы компонентов"), выставлены следующим образом:

1 и 2 группам "Администраторы", "SYSTEM" - выставлены полные права)

Все вышеописанные действия - проблему не решили.
Более того, на данном сервере идет ежедневная архивация штатными средствами - "System State"
Откат на System State (до обновления), сбрил обновления т.е. их снова предлагается скачать и установить
но проблема - осталась.


PS: Все службы сервера функционируют нормально, других связанных проблем не проявляется, я уже и не знаю что делать господа.
Уж очень хочется вернуть к жизни RRaS оснастку, частенько приходится реконструировать сеть - netsh конечно скажите вы, и я отвечу - да. Но это "какая-то нездоровая х@#$я", да и "спортивный интерес" :)

PPS: Я проф.программист, админство - по совместительству и временной необходимости да и то преимущественно Unix-like, а тут сами понимаете - винда, еще и "старая" :( хнык,хнык

Petya V4sechkin 17-01-2014 16:49 2290946

RUVATA, сделайте лог Process Monitor следующим образом:
  1. запустите Process Monitor;
  2. запустите оснастку и спровоцируйте ошибку "Отказано в доступе";
  3. сохраните лог: меню File -> Save -> PML-формат;
  4. заархивируйте и выложите на любой файлообменник, например http://rghost.ru

RUVATA 17-01-2014 18:16 2290995

https://drive.google.com/file/d/0B0w...it?usp=sharing

В фильтр добавлен фокус по Process name "mmc.exe"
мониторинг включен до вызова оснастки и отключен после закрытия сообщения об ошибке.

Petya V4sechkin 17-01-2014 19:49 2291050

Цитата:

Цитата RUVATA
В фильтр добавлен фокус по Process name "mmc.exe"

Не надо фильтр добавлять.

RUVATA 18-01-2014 13:50 2291567

ОК :) I'am sorry, инициатива как говорится - е@#$т инициатора
https://drive.google.com/file/d/0B0w...it?usp=sharing
Мониторинг активирован за несколько секунд до открытия оснастки и остановлен сразу после закрытия сообщения об ошибке. (ни каких фильтров, только дифолтовые)

Petya V4sechkin 18-01-2014 17:00 2291659

RUVATA, попробуйте удалить параметр DefaultAccessPermission (по умолчанию его нет) в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
и перезагрузиться.

Перед удалением сохраните копию.
Выложите содержимое (в Regedit -> меню Файл -> Экспорт).

RUVATA 21-01-2014 09:35 2293219

Экспорт ветки
Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
https://drive.google.com/file/d/0B0w...it?usp=sharing (до удаления параметра DefaultAccessPermission)

Параметр удален, система перезагружена - безрезультатно.

Petya V4sechkin 21-01-2014 10:14 2293237

RUVATA, к сожалению, у меня нет под рукой Server 2003, поэтому сами сравните остальные параметры в этой ветке с рабочим сервером.

RUVATA 21-01-2014 13:18 2293318

Удалось найти эталонную конфигурацию узла реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
(Рабочий сервер, подобных проблем не наблюдается, несмотря на установку последних обновлений)

Вот результат сравнения, имеются несущественные различия

Стоит ли произвести слияние с эталоном ?

PS: собственно эталон https://drive.google.com/file/d/0B0w...it?usp=sharing

RUVATA 22-01-2014 20:25 2294360

Слияние не приносит результата, а вот удаление узла HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
и последующий импорт "эталона" с последующей перезагрузкой - полностью решает проблему.

PS: по скольку файлы на гуглодрайве - явление возможно непостоянное, выкладываю здесь содержание reg-файла эталонной конфигурации узла, надеюсь
вновь столкнувшимся это сильно упростит жизнь :)

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,64,00,00,00,80,00,00,00,00,00,00,00,\
  14,00,00,00,02,00,50,00,03,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,\
  00,00,05,12,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,00,\
  00,05,04,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,5f,84,1f,\
  5e,2e,6b,49,ce,12,03,03,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,\
  5f,84,1f,5e,2e,6b,49,ce,12,03,03,f4,01,00,00
"MachineLaunchRestriction"=hex:01,00,04,80,60,00,00,00,70,00,00,00,00,00,00,00,\
  14,00,00,00,02,00,4c,00,03,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
  00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
  00,01,00,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,00,00,05,20,00,00,\
  00,32,02,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,\
  00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,5c,00,00,00,6c,00,00,00,00,00,00,00,\
  14,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,\
  00,00,05,07,00,00,00,00,00,18,00,07,00,00,00,01,02,00,00,00,00,00,05,20,00,\
  00,00,32,02,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,00,\
  00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,\
  20,00,00,00,20,02,00,00
"EnableDCOM"="Y"
"DefaultAccessPermission"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
  14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,\
  00,00,05,0a,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,05,12,00,\
  00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00
"LegacyImpersonationLevel"=dword:00000002
"LegacyAuthenticationLevel"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"
"{9da0e0ea-86ce-11d1-8699-00c04fb98036}"="1"
"{CA6C8347-120F-4122-873F-F89138694AC8}"="1"
"{E8494122-79AD-11D2-909C-00A0C9AFE0AA}"="1"
"{A373F3DA-7A87-11D3-B1C1-00C04F68155C}"="1"
"{A373E5C7-7A87-11D3-B1C1-00C04F68155C}"="1"
"{C7310557-AC80-11D1-8DF3-00C04FB6EF4F}"="1"
"{C73106E0-AC80-11D1-8DF3-00C04FB6EF4F}"="1"
"{835BEE60-8731-4159-8BFF-941301D76D05}"="1"
"{D9F260BC-EE6A-4c66-A5C3-30B2ECF4C368}"="1"
"{91BC037F-B58C-43cb-AD9C-1718ACA70E2F}"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\Eventlog]
"SuppressDuplicateDuration"=dword:00015180

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\Instrumentation]
"InstrumentationLogFileDir"="C:\\WINDOWS\\system32\\com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]
"System.EnterpriseServices.Thunk.dll"=""

PPS: Petya V4sechkin, если не сложно объясните в двух словах как Вы по логу Process Monitor выявили именно этот раздел реестра как проблемный ?

Petya V4sechkin 22-01-2014 21:36 2294399

Цитата:

Цитата RUVATA
если не сложно объясните в двух словах как Вы по логу Process Monitor выявили именно этот раздел реестра как проблемный ?

Других вариантов не видел:
  1. ошибок ACCESS DENIED в логе нет;
  2. в ветках Policies ничего особенного;
  3. локальные политики безопасности тоже ни при чем, поскольку вы уже сбрасывали все параметры с помощью secedit.
Оставались только разрешения DCOM.

RUVATA 22-01-2014 21:54 2294406

Цитата:

ошибок ACCESS DENIED в логе нет;
а я долго и упорно "курил" этот лог Process Monitor, пытаясь понять как же Вы пришли к проблеме с HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole :dont-know

Хорошо, что таки решился спросить :) а то бы ковырял и ковырял еще долго, "спортивный интерес" такая штука :)
PS: Интересно только как OLE влияет на WMI (там вроде как чистые интерфейсы, а не COM-компонента/ты), так как проблема ощущалась на оба фронта, а решение вроде как касается только OLE/DCOM/COM security... вот


Время: 13:04.

Время: 13:04.
© OSzone.net 2001-