Remote Desktop Services do Windows 2008 R2 em Domain Controller
Esta semana implantamos em uma empresa pequena o RDP do Windows 2008 R2, mas como a empresa utiliza apenas dois servidores (alem de firewall), obviamente os dois eram master e réplica do AD. O fato do servidor RDS ser um DC nos deu uma certa dor de cabeça.
SINTOMAS
- Não era possivel nenhum usuário se logar via RDP exceto o administrador. Os usuários já acessavam antes um servidor Windows 2003 que foi inutilizado, portanto não eram permissões.
- Não era possível imprimir pelo "Remote Desktop Easy Print" driver, a impressora era mapeada no servidor mas não saia na impressora fisica remota.
CAUSA
Obviamente, a causa era a mesma e fácil de se ver: As politicas de um Domain Controller não permitem acesso a usuários comuns nem no RDP nem na pasta SPOOL.
SOLUÇÃO
- Abra a GPO "Default Domain Controllers" Computer -> Windows Settings -> Local Policies -> User Rights e inclua o grupo "Remote Desktop Users" na politica Allow log...Remote Desktop Services. Com isso os usuários já poderão logar no servidor após executar o gpupdate /force no DC
- Resete as permissões na pasta de spooler (c:\Windows\System32\Spool) com o comando: Cacls.exe PRINTERS /e /g users:C
Pronto !!!! Os usuários agora podem se logar no RDP e imprimem normalmente.
Se quiser mais detalhes do funcionamento da impressão no Windows 2008, recomendo o posto do ASK of Performance Team em http://blogs.technet.com/askperf/archive/2008/02/17/ws2008-terminal-services-printing.aspx.
Licença de Software NFR (Not for Resale) pode ser usada na empresa?
No grupo de MCT Brasil surgiu esta duvida recentemente por causa das licenças de software que estão acompanhando o Windows 2008, SQL Server 2008 e o Windows 7 (http://www.marcelosincic.com.br/Blog/post/Cursos-de-Windows-2008-dao-copia-do-Windows-2008-Standart-full-(NFR).aspx) para quem faz cursos oficiais. Estas licenças são do tipo NFR, em bom portugues "não para revenda".
Achei interessante falar sobre isso porque mesmo entre os MCTs poucos souberam como funciona este tipo de licença, então seguem as informações que tenho e vale a pena prestar atenção para não correr o risco de ter a empresa multada:
1 A licença é NFR (Not For Resale), o que significa que é uma cópia integral mas não pode ser repassada, ou seja, não pode ser comprada ou vendida por distribuidores. Isso evita que o aluno ou até o CPLS tente comercializar.
2. NÃO PODE SER UTILIZADA em empresas, exceto para testes ou avaliação, o que se encaixaria muito bem no caso de utilização doméstica ou testes em ambiente da empresa.
3. Isso vale para produtos especificados como NFR, no caso o SQL Server e Windows 2008 e do Windows 7 que acompanha o curso 6292.
Verifique para detalhes a EULA do SQL Server: http://msdnaa.oit.umass.edu/Neula.asp “Not For Resale Software. Product identified as "Not for Resale" or "NFR" may not be resold, transferred, or used for any purpose other than demonstration, test, or evaluation.”
Lei geral de licenciamento de software: http://www.auditnet.org/articles/softwarelicenses.htm “Not for Resale (NFR) Software License. These very specific and restricted licenses are made available by Software Vendors directly to the distribution channel software and are typically marked NFR with explicit conditions that it is NOT FOR RESALE. The NFR software is distributed as a promotional or sample product not licensed for normal commercial distribution.”
Recriando o boot no Windows 2008 R2 e Windows 7 apos o Disk2VHD
Esta semana utilizamos o Disk2VHD da SysInternals (http://www.marcelosincic.com.br/Blog/post/Ferramenta-para-converter-HD-fisico-(em-uso)-para-VHD.aspx) que é uma ferramenta excepcional para clonar máquinas em uso e criar um VHD. Porem, o Windows 2008 e Windows 7 criam uma partição de boot de 100MB, e ao clonar esta partição não funcionará corretamente.
SINTOMA
Depois de utilizar o Disk2VHD selecionando tanto a partição de boot (100MB) quanto a partição de sistema (no meu caso de 80GB) ao iniciar o SO no Hyper-V acusava "disk error or boot missing Ctrl+Alt+Del to restart".
CAUSA
A partição de boot não contem os arquivos corretos, já que mudou a controladora. Ela indica uma controladora e partição que agora não batem mais com a controladora e partições clonadas.
SOLUÇÃO
Você irá recriar a partição de boot completa e refazer as configurações de inicialização do SO:
Utilize o cd do Windows 7 ou do Windows 2008 R2 e faça boot por ele
Na tela inicial escolha a opção "Repair your System"
Na tela seguinte escolha a primeira opção das duas apresentadas
Escolha a ferramenta "Command Prompt"
Execute os comandos a seguir:
dispart
select disk 1
list volume <verifique qual a partição de boot e a de SO pelo tamanho e anote as letras e numeros>
select volume 0 <0 = numero da partição de boot , CUIDADO PARA NÃO ERRAR>
format
select volume 1 <1 = numero da partição do SO>
active
exit
Voltando ao command prompt digite:
bcdboot c:\windows /s d: <onde c: é a letra atribuida ao SO e d: a letra da partição de boot>
Nota: O comando que formata a partição de boot não é obrigatório, mas é melhor para que funcione corretamente. Você pode tentar primeiro apenas o comando bcdboot e tentar reiniciar a máquina para ver se o boot estava ok.
O comando bcdboot neste caso está lendo os arquivos do SO que está no diretório C:\Windows mas ao invés de criar o boot no próprio drive C estará criando no drive D que é a partição para o boot.
BitLocker só funciona com o chip TPM. Verdade ou Mito?
MITO como afirmação, mas VERDADE como prática de uso.
Porque é Mito?
É possivel sim colocar o BitLocker em um hd onde o computador não tem implementado o chip TPM, mas exige uma série de passos que devem ser definidos em GPO. Abaixo vou colocar um passo a passo de como fazer isso.
Porque é Verdade?
Quando um computador não tem o chip TPM e mesmo assim vc habilitou o BitLocker será necessário dar boot na maquina utilizando um pen drive. É isso mesmo que você está pensando, o cara vai ter que colocar o pen drive com a maquina desligada e habilitar na BIOS boot por USB. E se o cara perder o pendrive ou esquecer ele em outro lugar? Que tenha uma cópia dele, porque a chave de recuperação não funciona para este caso.
Ou seja, é tecnicamente possível mas na prática desastroso !!!!!
Como habilitar o BitLocker em uma máquina sem chip TPM
Execute o aplicativo GPEDIT.MSC e altere a chave abaixo:

Ao abrir a chave habilite a politica e escolha a opção "without a compatible TPM", como mostrado abaixo:

Pronto !!!! Execute gpupdate /force e se prepare para ter sempre um pendrive amarrado ao braço e espetado na maquina.
Liberado hoje o Update Rollup 1 do System Center Operations Manager 2007 R2 (SCOM) em Portugues
Hoje foi liberado o Rollup 1 do SCOM 2007 R2. Ele já exisita para a versão em ingles desde 15 de janeiro e hoje foi liberado em portugues no link abaixo:
http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=05d30779-2ddc-48dc-aa91-a23167ee2cad
Esta atualização é importantissima pois houveram vários problemas com suporte para o Windows 7 e quando instalávamos o SCOM 2007 no Windows 2008 R2, principalmente o fato de alguns serviços não subirem de jeito nenhum ou os serviços paravam do nada, sem explicação nenhuma.
Quem precisar dos detalhes segue o link do KB: http://support.microsoft.com/kb/974144