O Evento de Erro 10016 de Origem DistributedCOM, é no mínimo irritante. Já vi servidores instalados absolutamente do zero, sem nenhum software ou serviço com o log de Eventos inundado deste erro. A mensagem é basicamente assim:
Esta pode aparecer tanto no Windows 2003 como no 2008.
The application-specific permission settings do not grant Local Launch permission for the COM Server application with CLSID
{24FF4FDC-1D9F-4195-8C79-0DA39248FF48
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (Using LRPC). This security permission can be modified using the Component Services administrative tool
No Windows 2008 R2 a Microsoft foi benevolente em informar também o APPID, que já minimiza um pouco do trabalho. No 2008 R2, a mensagem fica parecida com esta:
The application-specific permission settings do not grant Local Launch permission for the COM Server application with CLSID
{24FF4FDC-1D9F-4195-8C79-0DA39248FF48}
and APPID
{B292921D-AF50-400C-9B75-0C57A7F29BA1}
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (Using LRPC). This security permission can be modified using the Component Services administrative tool.
Vamos tentar resolver este erro. O primeiro ponto é descobrir o APPID da aplicação que está dando erro. Se você usar o 2008 R2, o APPID já está no evento portanto, pule os 3 passos abaixo e vá para o próximo parágrafo, se você não usa, faça o seguinte:
1 - Execute o regedit
2 - Navegue para HKCR\CLSID\{24FF4FDC...} ou a chave que aparece no seu evento:
3 - Ao selecionar a chave, no painel da esquerda vc vai ver o valor, o AppID. Este é o seu AppID.
Agora que você já tem o APPID, o certo seria abrir o dcomcnfg e dar a permissão que você precisa. Mas no 2008 e no 2008 R2, se vc tentar fazer isso, toda a tela de edição da segurança estará desabilitada. Um administrador, por padrão não tem privilégio para mudar esta permissão. Alías, só quem teria este acesso é o usuário TrustedInstaller. Portanto, faça o seguinte:
1 - Execute o regedit
2 - Navegue para HKLM\SOFTWARE\Classes\AppID\{B292921D...} O seu AppID vai aqui
3 - Clique com o botão da direita na chave do AppID, vá em Permissions
4 - Clique em Avançado, vá para a página Owner
5 - Selecione o Grupo "Administrators", marque a caixa "Replace owner on subcontainers and objects"
6 - Clique em Appy e depois em OK
7 - Marque o privilégio de Full Control para o grupo Administrators
8 - Clique em Apply e depois em OK
Pronto, agora é só dar a permissão no dcomcnfg:
1 - Execute dcomcnfg;
2 - Navegue para Component Services\computers\My Computer\DCOM Config
3 - Ao selecionar DCOM Config, à esquerda vai aparecer todos os objetos de DCOM
4 - Mande exibir os objetos em formato de Detalhes, para aparecer o nome e o AppID
5 - Localize o seu AppID
6 - Xingue a vontade por não ter opção de pesquisa ou para ordenar por AppID. Vc tem que localizar no olho mesmo;
7 - O AppID que eu usei no meu exemplo é muito comum de dar erro. Para facilitar sua vida, o {B292921D-AF50-400c-9B75-0C57A7F29BA1} refere-se ao NAP Agent Service;
8 - Clique com o botão da direita no objeto correto, veja propriedades e vá para a página de segurança;
9 - Teoricamente, agora você deve conseguir editar as permissões.
10 - Para cada permissão, selecione "Customize" e edite as permissões conforme necessário. Se a reclamação do evento é para o usuário SYSTEM, dê o privilégio de Launch e Activation, local e remoto, aplique e os erros devem parar.
Boa Sorte
Prezados, hoje tive a felicidade de vivenciar um problema em um dos servidores Windows Server 2008 x64. A falha inicialmente foi física, trata-se de um servidor Dell PorwerEdge 6850, com uma controladora RAID cuja memória conheceu a grande luz. Sem a memória da controladora, o cache de escrita nos discos foi perdido e com isso o arquivo de registry foi corrompido. Após a troca da memória, recebemos o erro do arquivo de registry corrompido, no meu caso foi o arquivo:
c:\windows\system32\config\system
Poderia ter sido outro arquivo de registro, como o security, software e etc.
Se este arquivo tiver algum problema, o Windows não sobe nem na base da porrada. São nestes arquivos que são armazenados os dados da registry do Sistema Operacional.
Uma boa notícia: ainda há uma luz no fim do túnel.
Coloque o CD de instalação do Windows 2008 e na primeira tela, selecione a opção para Reparar o seu computador. Ele deve exibir logo depois uma tela pendido para você escolher a instalação do Windows que você deseja restaurar.
Se aparecer duas ou mais instalações, selecione aquela que apresenta o erro na incialização. Se não aparecer nenhuma, é porque aquela luz no fim do túnel ficou um pouco mais distante. Você precisa dos drivers da sua controladora de disco, carregue-os que tudo deve ficar bem.
Se você já conseguiu ver seu sistema operacional e selecionou-o, deve cair numa tela com 3 opções, abra o prompt de comando.
execute os seguintes comandos, troque o "system" para o seu registro que foi corrompido:
copy c:\windows\system32\config\system c:\windows\tmp\system.bak (copia o registro bichado, só pra fazer um backup por desencargo de consciência)
delete c:\windows\system32\config\system (mata o arquivo original da copia que vc acabou de fazer)
copy c:\windows\system32\config\RegBack\system c:\windows\system32\config
Isso vai recuperar algum backup que o seu sistema operacional tenha feito automaticamente. Teoricamente, a cada alteração no registro, o seu SO faz um backup da versão anterior e salva na pasta RegBack. Caso já tenha um backup, ele salva a versão anterior como .OLD e faz novamente o backup, ou seja, você tem sempre as duas ultimas versões.
Pronto: basta reiniciar o servidor que o sistema operacional deve ser carregado e aquele luz no fim do túnel iluminou a sua vida.
Se não existir a pasta RegBack ou se a versão que estiver lá for inválida ou inexistente, vc acabou de descobrir que aquela luz no fim do túnel era na verdade um trem.
Espero ter ajudado.
Hoje li um artigo do Justin James no TechRepublic que achei legal. Trata-se de dicas para uma entrevista de emprego, não para o candidato, que já tem muito material na internet, mas para o entrevistador. O grande desafio de quem esta entrevistando alguém não é descobrir o nível de conhecimento técnico, mas descobrir sobre o perfil do candidato. O conhecimento tecnico pode ser resolvido com um treinamento, mas o perfil é algo que ja vem com o profissional e muito mais dificil de mudar. Vou traduzir aqui as perguntas que o Justin James escreveu, não estou dizendo que são as melhores, que não podem ser adaptadas ou que vão achar o que você precisa, mas dão uma idéia legal sobre um caminho ou opções que podem ser escolhidas. Ele foca em assuntos que são unânimes lá fora para os "geekys", mas que aqui talvez precise ser adaptado:
Jornada nas Estrelas ou Guerra nas Estrelas?
Se existe uma maneira de julgar o verdadeiro caráter de um candidato, é determinar a preferência dele entre Jornada nas Estrelas ou Guerra nas Estrelas. Certifique-se de que quando fizer a pergunta, você não vai dar nenhuma dica sobre qual vc prefere. Alguns candidatos vão tentar uma posição política ou não se comprometer, 'Eu gosto igualmente dos dois'. Essa resposta não faz o menor sentido só mostra uma fraqueza em uma área determinada do intelecto de quem nao consegue tomar decisões. Independente da resposta, peça que eles fortaleçam a opinião com argumentos. Isso vai mostrar a capacidade de defender uma idéia, de lembrar de um alto nível de detalhes e de atribuir uma lógica rasoável em um mundo de fantasia, talentos que podem ser cruciais para sobreviver no mundo de uma TI corporativa.
Quem atirou primeiro, Han Solo ou Greedo?
Essa vai ser entendida mais pelos fãs de Guerra nas estrelas O candidato tem que ter responder esta quesão com precisão: Han Solo atirou primeiro. Trata-se de uma cena que foi alterada na versão remasterizada de 1997, que foi alterada para mostrar que Greedo atirou primeiro. Mas na versao original, quem atirou primeiro foi Han Solo. A idéia seria descobrir quem tem em seu perfil a dedicação para pesquisar completamente um assunto, que não gosta de ficar com dúvidas, nem que para isso ele seja obsessivo o suficiente para ir atrás de locadoras em busca de um VHS ou cópias originais de um filme.
O filme ou a versão original?
Muitos profissionais são melhor sucedidos em determinadas vagas quando são capazes de detectar diferenças sutis. Por exemplo, dois roteadores podem ter configurações quase idênticas com apenas uma pequena diferença em uma configuração, e profissionais que nao conseguirem achar este tipo de diferenças podem ficar batendo cabeça enquanto a rede está fora. Na minha experiência (do Justin James), a maneira mais eficiente de julgar a habilidade do candidato em ver estas diferenças é na pergunta "filme ou original? As produtoras de filmes são obrigadas a fazer certas mudanças quando lançam um filme baseado em um livro, série, quadrinhos ou qualquer outra coisa. A versão do diretor do filme "Dune" é um clássico, com quase 8 horas de duração. Fazer o candidato detalhar a diferença de clássicos deste tipo (Senhor dos Anéis, X-men, Spiderman, Batman ... ) você está realmente testando a capacidade do candidato de ver detalhes.
Lembra quando Steve Jobs abriu a KoalaSoft?
Todo entrevistador deve ter a habilidade de levar o candidato a uma situação embaraçosa. Uma maneira de conseguir é mensionar alguns "fatos" errados propositalmente. Steve Jobs, o fundador da Apple, foi afastado de sua empresa em 1985 e abriu a NEXT. Então você pode tentar algo como: "... isso me faz lembrar quando o Steve Jobs abriu a companhia KoalaSoft...". Preste atenção na reação do candidato, veja como ele se comporta mesmo quando achar que alguém esta falando a maior besteira do mundo, mesmo sendo um superior. Se ele não reagir de forma alguma, por não saber do que você está falando, ele no mínimo é um cara mal informado, principalmente se você escolher um fato que todo mundo sabe. Mas a situação fica realmente interessante quando ele tenta te contradizer sem te ofender. Se ele tentar te corrigir, experimente insistir. "Você realmente acha que o Steve Jobs ia montar uma empresa com o nome de NeXT?".
Por que o primeiro processador Pentium da Intel ficou mais famoso?
Se o candidato não tiver idéia da resposta ("erros matemáticos") ou outras falhas tecnicas historias, bugs, entre outros, ele já perde uma certa porção de credibilidade. Perguntas assim mede a capacidade humana de se lembrar de falhas. Também vai lembrar ao candidato que os erros deles são sempre lembrados.
Quem foi Gary Gygax?
O inventor de Dungeons and Dragons. Isso é conhecimento obrigatório, sem desculpas.
Artigo original (com mais perguntas): http://blogs.techrepublic.com.com/10things/?p=1609&tag=nl.e101
Requisitos:
- O RODC não requer que a floresta ou o domínio estejam em nível funcionando 2008, porém exige que exista um Writeble Domain Controller 2008 com Global Catalog habilitado, que será usado como servidor de origem para replicar a base para o RODC.
- Antes de fazer a instalação do primeiro RODC, a floresta deve ser preparada para isso. Para isso, usando o Adprep.exe localizado no CD de instalação do 2008, execute: adprep /rodcprep
- Pronto, agora execute: dcpromo
- Marque a opção de Modo de instalação avançado;
- Passe pela tela de aviso de compatibilidade;
- Adicione um Domain Controller a um domínio existente em uma floresta existente;
- informe o nome do domínio;
- Informe as credenciais;
- Selecione o site em que o RODC irá atuar;
- Na tela de "Addition Domain Controller Options" lembre-se de marcar a opção "Read Only Domain Controller RODC);
- Conforme planejado em sua política de segurança, verifique se você quer permitir a replicação de senhas ou não. Esta configuraçào pode ser alterada depois.
- Na tela de delegação de instalação /Administração você tem a opção de delegar a alguém a administração deste servidor sem contudo dar o privilégio para ele administrar o AD. Esta configuração também pode ser mudado depois;
- Na tela "Install from Media", você tem a opção de replicar os dados diretamente do servidor de origem. Caso esteja em um link muito lento em que esta replicação pode demorar muito, você tem a opção de criar a partir de um backup feito do servidor de origem em alguma mídia. O backup é gerado a partir do ntdsutil
- Se for selecionado para replicar do servidor, selecione qual o servidor de origem e depois onde os arquivos serão armazenados. Se sua base for grande, é recomendado que os dados estejam em um disco ou RAID Grupo diferente dos arquivos LOGs. ;
- Digite a senha de Restore do serviço de diretório. Atenção, se algum dia o seu DC der problema e você precisar logar localmente e modo de restauração, esta é a senha que você vai usar. Confirme as configurações selecionadas e clique em "Next"
- O AD será instalado neste servidor com as partições marcadas como "Somente Leitura". Ao terminar a instalação será solicitado um boot para que as alteraçoes surtam efeito. Basta confirmar.
Sintomas
- A base existente em um RODC está muito desatualizada. Um objeto criado, alterado ou apagado de um DC na sede (Writeble) não replicada para o RODC na Filial
- Os eventos referentes ao serviço de diretório lotado de erros:
Evento 2845: "O KCC (Knowledge Consistency Checker) localizou uma conexão de replicação para o serviço de diretório local somente leitura, mas o servidor de origem não está respondendo nem replicando. Um novo servidor de origem adequado não foi encontrado entre os parceiros de replicação atuais. Esta operação será repetida. "
Evento 1865: "O KCC (Knowledge Consistency Checker) não pôde formar uma topologia de rede de árvore de abrangência completa . Como resultado, a lista de sites a seguir não pode ser acessada do site local. "
Evento 2042 "Faz muito tempo que esta máquina replicou com a máquina de origem nomeada. O tempo entre as replicações com essa origem excedeu o prazo da marca para exclusão. A replicação foi interrompida com essa origem. "
- O comando repadmin /showreps mostra o seguinte erro:
O sistema remoto não está disponível. Para obter informações sobre a
solução de problemas de rede, consulte a 'Ajuda' do Windows.
- Ao tentar forçar uma replicação manual, ou via repadmin ou via Active Directory Sites and Service, recebemos o erro:
O contexto de nomenclatura está sendo removido ou não é replicado do servidor especificado.
Causa
Os erros mostram que o RODC não está tendo conectividade com um DC de origem (Writeble) para replicar a base. Na instalação de um RODC, o KCC cria uma conexão no Controlador de Domínio de somente leitura para fazer a conexão intra e inter sites. Esta conexão diz para o RODC de onde ele deve puxar a base do AD para manter seus dados atualizados. Por algum motivo, o RODC não está tendo êxito nesta conexão.
Resolução
- Abra a console "Serviços e Sites do Active Directory";
- Por padrão a console é aberta em um DC de Escrita (onde no geral os dados estão atualizados), clique com o botão da direita em "Serviços e Sites do Active Directory" e clique em "Alterar Controlador de Domínio"
- Selecione na lista o RODC que não está sendo atualizado;
- Clique em OK na mensagem que informa que nenhuma informação poderá ser feita (Claro, o DC é de somente leitura, lembra?)
- Abra o site específico do RODC, abra Server, abra o RODC (nome do servidor) e selecione no painel da esquerda o NTDS Settings;
- Deve existir dois objetos de conexão um para tramitação da base do AD e outra para o FRS que faz a sincronia do SYSVOL. Observe nas duas conexões o Campo "Do Servidor". Este campo mostra da onde o RODC está tentando baixar a base.
7. Teste a conectividade do seu RODC para o DC. Neste momento, teste para ter certeza que você está conseguindo chegar corretamente no servidor. Se existir um firewall separando os dois servidores, é necessário o protocolo ICMP (usado para identificar link lento) e as portas comuns de conectividade entre os DCs. Veja a documentação no seguinte link como referência das portas necessárias: http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&displaylang=en
Opção 2. Resolução de Nome
8. Certifique-se de que o RODC consegue chegar no DC de Escrita através do nome;
9. Certifique-se de que a zona _msdcs está populada corretamente. Veja que existe um alias referente ao GUID do objeto DSA cadastrado na zona _msdcs como um alias, apontando para o servidor de origem. Este registro é algo no formato: 6be0c672-8ae4-46fd-b497-8840654b2ee4
10. Se for o caso, crie novamente sua zona _msdcs. No DC de Escrita, limpe a zona _msdcs e reinicie o serviço "Netlogon" em todos os DCs.
Opção 3. Nome do servidor de Origem Inválido (o meu caso)
11. Ao verificar o servidor de origem foi verificado que o RODC estava apontando para um servidor de Origem que não existe mais. O servidor foi desativado sem que o RODC criasse uma nova conexão para um servidor alternativo. Neste caso, ele fica indefinidamente tentando se conectar ao servidor de origem antigo;
12. Rebaixe o RODC a Member Server rodando o dcpromo para remover o serviço de Active Directory dele;
13. Rode novamente o DCPromo para promover o servidor novamente a RODC. Na instalação ele vai forçar a replicação do servidor atual e com isso o problema de replicação está corrigido;
