Archive for the ‘Windows Server’ Category

Automatic certificate enrollment for local system failed (0x80070005). Access is denied.

Приводя в рабочее состояние Active Directory у одного из клиентов, установил дополнительный контроллер домена.

Установка прошла успешно, сервер стал Global Catalog. (Почему это важно — можно прочесть здесь — http://blogs.technet.com/b/vladygin/archive/2008/11/13/ad-fsmo.aspx)

В логах только одна ошибка с EventID 13:

Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80070005). Access is denied.

Небольшой поиск показал два варианта:

1. Нужно включить группу Domain Controllers в доменную группу  CERTSVC_DCOM_ACCESS

2. На контроллере домена с установленным Центром Сертификации — Certification Authority (CA), нужно выполнить следующие команды:

certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG

net stop certsvc

net start certsvc

Выполнение пункта номер два решило ситуацию — после перезагрузки новый сервер показал:

Automatic certificate enrollment for local system successfully received one Domain Controller certificate from certificate authority Main CS on dc.
Статья базы знаний Майкрософт на тему:

How To Force Adding Of Domain Admin Group to Local Admin Group

How To Force Adding Of Domain Admin Group to Local Admin Group

A common problem in Windows domain management is the removing of Domain Admin group from Local Admin group by users. This operation prevent from the Domain Admin group to connect to Administrative shares (like c$), log on to user workstation/server, track on user activity and so on.
Using «Restrict Groups» option from Windows 2000/2003 GPO impose some solution for this problem, but if there local users on the workstation/server, this option inefficient, and may harm the workstation/server users.

Machine Script Solution:

By combine Windows 2000/2003 GPO and creating a machine script, we can get
A good Solution to this problem, and by avoiding the problems that «Restrict Groups» option from Windows 2000/2003 GPO create.

The script structure:

Script Name: Machine_Startup_Script.vbs (You can use any name that you like,
But you need to verify that the file name suffix end with

Operation Interval: Each machine startup or/and shutdown.

‘Beginning Of the Script

On Error Resume Next

‘get main objects/variables
Set ws = WScript.CreateObject ( «WScript.Shell» )
compname = ws.ExpandEnvironmentStrings ( «%COMPUTERNAME%» )
Set adGrp = GetObject ( «WinNT://» & compname & «/Administrators,group» )

‘add domain groups to local admin group
adGrp.Add ( «WinNT://mywindowsdomain/Domain Admins,group» )

‘End of the Script

mywindowsdomain = The NetBIOS name of the Domain that the user workstation log into.

Sentence that begin with » ‘ » use for a comment only.

After creating the script, we need add this script to Domain Default GPO – as
Computer startup or/and shutdown script and we done.


Script Center

Windows 2000 Computer Startup Scripts:

Active Directory Services and Group Policy in Windows Server 2003:

Windows 2000 Group Policy:

Installing and Configuring Windows Server 2008 SMTP

Installing SMTP Server Feature on Windows 2008 is an easy process requiring only few steps to complete. On this article we will describe a step by step configuration and installation of the SMTP Server feature and how to enable the smtp to relay from local server.

Step 1:

Opening Server Manager Console and under Features select Add Features

Тег «Далее»

Рубрики:Server 2008 Метки:

Windows Server 2008 SMTP Service logging

Если установленная SMTP на Windows Server 2008 не пишет лог, то:

1) Install ODBC Logging module (role service in Server Manager)

2) Stop / Start the SMTP Service

3) Verify your SMTP service is configured for logging.  It’s not on by default.

4) Try a local telnet test (assuming the telnet client is installed)

5) Look at your log folder.

To Reproduce the logging ‘behavior’

1) Install Windows Server 2008 (obvious step)

2) Install the basic web server components. (static content with anonymous user)

3) Install telnet client and SMTP services

4) Enable logging on SMTP instance

5) try a telnet test locally

6) Verify the smtpsvc folder isn’t in the location you configured for logging (default is c:\windows\system32\logfiles)

7) Add the ODBC logging module (no iisreset is required) *Or in my tests there wasn’t

8) Stop / Start the SMTP service (net stop smtpsvc && net start smtpsvc)

9) Try another telnet test

10) Verify the SMTPSVC folder is present.


Steve Schofield
Microsoft MVP — IIS.


Рубрики:Server 2008 Метки:

проблема с Normal.dot на терминальном сервере

MS Word 2003, установленный на терминальном сервере Windows 2003 Server, начал через раз выдавать предложение создать новый файл шаблонов Normal.dot в связи с его повреждением.

Выглядело это так:

Word has detected a problem with the existing Normal.dot. Would you like to create a new Normal.dot?

Полное удаление существующих шаблонов и временныз файлов никак не влияло — Word стабильно выдавал свое предупреждение, есть шаблон или его нет.

Помогло выполнение действий, описанных в статьях базы знаний Microsoft:

Every other time that you open a document in Word, the document opens in recovery mode or you receive an error message
You are prompted to save the changes to the Normal.dot or Normal.dotm or Normal.dotm global template every time that you quit Word
Тег «Далее»

How to Run Programs as a Domain User from a Non-domain Computer

In most cases, not being joined to a client’s domain doesn’t make one iota of difference. You need to access a network share or printer, browser to it and you will be prompted for domain credentials. The fact that you’re using different domain credentials to access the resource from those that you logged in with doesn’t matter one bit. If you want to expedite the process and not wait for an authentication time-out, you can utilize NET USE from the command line to tell Windows which credentials you want to use when accessing certain computers. You can even make them persistent or roll the whole thing into a batch script that you can execute whenever at a particular client.

net use \\server /user:domain\username /persistent:yes

Unfortunately this doesn’t work in all cases. One of my longstanding development pet peeves has been certain tools – I’m looking at you SQL Server Management Studio and SQL Query Analyzer – that don’t allow you to specify alternate domain credentials for authentication. For example, SQL Server Management Studio allows you to log into a SQL Server instance using Windows Authentication or SQL Server Authentication. If the SQL instance requires Windows Authentication – the recommended configuration – SQL Server Management Studio uses your logged in credentials. This works well if your computer is part of the domain, but fails horribly if not. It doesn’t let you specify alternate credentials or even prompt you for alternate credentials if the log-in fails.

Тег «Далее»

Рубрики:Active Directory, Microsoft Метки: ,

Как добавить доменного пользователя в локальную группу

Иногда нужно добавить пользователя в локальнуюю  группу — например, дать ему административные права на компьютер.

Это можно сделать следующей командой:

net localgroup Administrators "DOMAIN\username" /ADD

С помощью команды net можно также добавить пользователя и в доменную группу:

net group LocalAdmins "DOMAIN\username" /ADD

Тег «Далее»

Как подключить Samba 3 сервер к домену Active Directory

Как упавший контроллер домена поднять


хорошая статья — что делать, если упал один из контроллеров домена

Тег «Далее»

Как подружить Vista и Samba

4 ноября, 2008 1 комментарий

Установив Microsoft Vista обнаружил, что с компьютера невозможно получить доступ к сетевым ресурсам на сервере Samba под Linux. Быстрый поиск показал, что причиной является отсутствие поддержки NTLMv2 на нашем Samba сервере. В Microsoft Vista по умолчанию отключены более старые протоколы аутентификации. 

Исправить эту ситуацию можно так:

1. Открыть окно «Run» для выполнения команд и запустить «secpol.msc»:

Vista and Samba

2. Выбрать «continue» когда Vista выведет предупреждение

3. Выбрать «Local Policies» —> «Security Options»:

Vista and Samba

4. Найти «Network Security: LAN Manager authentication level» и открыть. 

5. Изменить значение по-умолчанию «NTVLM2 responses only» на «LM and NTLM – use NTLMV2 session security if negotiated»:

Vista and Samba

Теперь Vista сможет работать с Samba нормально. Однако лучшим вариантом, пожалуй, является обновление Samba до 3-ей версии, где уже реализована поддержка NTVLM2. 

Нас ведь интересует безопасная работа 🙂