Reiniciando (Resetando) ou Desligando o Computador Remotamente

Olá Amiguinhos!

Amiguinhos? Cara isso foi muito tanga frouxa...

Pois bem, vi nas estatísticas do blog que uma das pesquisas que trouxe o usuário aqui foi "reiniciar micro no dominio".


Na Verdade é muito simples:


UTILIZE O COMANDO "SHUTDOWN" !

Alguns parâmetros:

/m indica que será uma máquina remota que será reiniciada. Incluir o nome NetBios após um espaço em branco

/r reinicia a máquina

/s desliga a máquina

/t tempo em segundos para realizar o desligamento

/f força o desligamento da máquina, encerrando todos os processos

Exemplo: Para reiniciar a máquina CONTOSO1 após 40 segundos, digite no prompt de comando COM PRIVILÉGIO DE DOMAIN OU ENTERPRISE ADMIN:

shutdown /m contoso1 /r /t 45

Simples não? Caso queira saber os demais parâmetros, digite shutdown /?

No site http://www.microsoft.com/downloads/Search.aspx?displaylang=pt-br também tem a suite de ferramentas PSTOOLS que tem o PSSHUTDOWN que faz a mesma coisa, porém com mais opções, inclusive de mostrar um aviso ao usuário que você está desligando.

Bloqueando sites de Forma simples Utilizando GPO

Olá a todos! Faz tempo que não posto não é mesmo? A minha legião (...) de fãs já estavam desesperados aguardando alguma novidade.

Desde que mudamos o nosso escritório, coloquei o VoIP do Skype tanto para fazer como para receber chamadas. O custo das ligações caiu de R$ 650,00 por mês para meros R$ 170,00.

Porém de um tempo pra cá as ligações começaram a ficar ruins. Tivemos muita reclamação, principalmente que a pessoa do outro lado da linha não nos ouvia corretamente, sempre com a voz cortada ou com muito atraso, e algumas vezes que deste lado demorávamos para ouvir a pessoa.

Com a implantação do Skype, tive que habilitar as placas de som dos computadores. E aos pouquinhos nossos queridos ABOMINÁVEIS dos usuários passaram a usar Rádio UOL, Sonora do Terra e outros streamings. Pedi uma vez, pedi duas. E a PORCARIA do usuário continuava usando.

DEPOIS RECLAMA QUE O SKYPE ESTAVA LENTO! 80% da nossa banda de CINCO MEGA estava sendo utilizada para streamings de midia, NENHUM SKYPE QUE SE PREZA iria funcionar.

Como ainda não sei montar um ISA Server (temporariamente), achei uma solução muito mais simples, barata e rápida para evitar que os abomináveis continuassem abusando da nossa boa vontade.

Primeiramente proibi o acesso ao Windows Media Player através de GPO. Para tal, acesse USER CONFIGURATION | ADMINISTRATIVE TEMPLATES | SYSTEM | Dont Run Specified Windows Application.

Veja Imagem Abaixo.

Feito isso, os seus usuários não poderão mais acessar o Windows Media Player. Claro se algum espertinho mudar o nome do executável, ele terá acesso, mas aí, basta você não dar acesso de administrador para ele na máquina local. E mesmo assim se ele fizer isto, é caso de demissão certo?

Depois você precisará descobrir os nomes dos sites que voce não quer que o usuário acesse mais. Por exemplo sonora.terra.com.br ou radio.uol.com.br e assim por diante

Ou entäo voce poderá usar o Grande Google que tudo sabe e pesquisar listas de endereços dos sites indesejados, INCLUINDO PROXIES CONHECIDOS QUE BURLAM ESSE TIPO DE COISA.

Feito isto, crie um script: simples, que pode ser .BAT ou .CMD (procure usar CMD para arquivos grandes pois executa mais rápido) para editar o arquivo HOSTS da máquina. e adicione todos os endereços, conforme abaixo:

@echo off

echo 127.0.0.1 sonora.terra.com.br >> c:\windows\system32\drivers\etc\hosts

echo 127.0.0.1 sonora.com.br >> c:\windows\system32\drivers\etc\hosts

echo 127.0.0.1 radio.uol.com.br >> c:\windows\system32\drivers\etc\hosts

ipconfig /flushdns

ARQUIVO HOSTS

Este arquivo é utilizado quando o windows precisa resolver nomes. Quando ele não localiza no DNS em seguida ele vai procurar por outras fontes, e uma delas é o arquivo HOSTS, localizado na pasta %windir%\system32\drivers\etc

IPCONFIG /FLUSHDNS

Esta opção do IPCONFIG vai limpar o cache DNS da máquina, evitando assim que o usuário acesse o site através do que já tem guardado no cache. 

Criado o script, basta adicioná-lo como script de logoff em sua GPO em COMPUTER SETTINGS | WINDOWS SETTINGS | SCRIPTS | LOGOFF.

É batata.. Após ter feito isso, acabou o lag do Skype e voltou a funcionar perfeitamente. Esta solução foi testada e funciona em Windows XP, Windows 2003 e Windows 7.

Agora só escuto; A internet tá com problema? Não consigo acessar alguns sites, diz página não encontrada..... haha eu só falo:

Deve ser problema da internet....

CHUPPPPA ABOMINÁAAAVEEEEELLL

PS: Ah não esqueça de de proibir o acesso à pasta ETC por usuário normal. Assim nenhum mais espertinho vai tentar modificar o arquivo hosts.

ATUALIZADO EM 30/11/2010

Vi nas estatísticas a seguinte frase; "bloquear orkut no dns do windows server". A Solução acima apresentada também serve para bloquear orkut, e quaisquer outros sites, porém é uma forma simples, paliativa do problema. Se voce quiser realmente um super controle de acesso em sua rede, utilize o ISA Server ou o novo Forefront.

PROVA 70-680

OBA OBA!!

Marquei finalmente minha primeira prova na Prometric, a 70-680, Installing and Configuring Windows 7!!

Já fiz vários simulados e estou passando legal!!

Agora vamos ver o que vai dar! A prova está marcada para dia 19/11/2010!!

Internet Explorere 9 BETA

Olá Galera!! Vi hoje no site da Microsoft que já tem o I.E. 9 beta disponível para download.

Eu instalei e gostei muito. De cara, está a performance do Google Chrome com as funcionalidades do internet Explorer!!

Instale em seu micro, ou se não quiser misturar, faça uma máquina virtual e instale por ali!

http://windows.microsoft.com/en-US/internet-explorer/download/ie-9/worldwide

Utilizando Gpupdate SEM a intervenção do Usuário

As vezes você se depara com algumas situações onde você precisa atualizar as policies de suas estações, mas não quer intervenção do usuário.

Por exemplo, você quer colocar como script de logoff, ou atualizar uma política que pode esperar a próxima vez que o usuário reinicie seu computador.

Existem duas formas, uma super simples e a outra mais complexa.

Primeiro a simples:

gpupdate /force /wait:0

Este comando vai forçar a aplicação da política e irá aguardar indefinidamente sua aplicação, ou seja, somente da próxima vez que o usuário reiniciar a máquina.

Só que as vezes pode não funcionar, no caso de voce precisar adicionar a condição /sync, a opção /wait é suprimida.

Nestes casos, você deverá utilizar a solução mais complexa, que é editando um script .VBS:

'====================

'Script para aplicar GPUPDATE /sync /force sem a intervenção do usuário

'Desenvolvido por Felipe Gustavo Fiad

'====================

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objShell = CreateObject("WScript.Shell")
strInputFile = Replace(WScript.ScriptFullName, WScript.ScriptName, "") & "input.txt"

Set objInputFile = objFSO.CreateTextFile(strInputFile, True)
objInputFile.WriteLine "n"
objInputFile.WriteLine "n"
objInputFile.Close
Set objInputFile = Nothing

strInputFile = objFSO.GetFile(strInputFile).ShortPath

' PARA TESTAR, USE /k and 1, APOS REALIZAR OS TESTES, USE /c e 0
strCommand = "cmd /k gpupdate /sync /force < " & strInputFile objShell.Run strCommand, 1, True objFSO.DeleteFile strInputFile, True Set objFSO = Nothing Set objShell = Nothing

' A linha abaixo pode ser suprimida após os testes para manter o script totalmente em silêncio.

MsgBox "Script finished."

'====================

Espero ter ajudado! Se gostou, comente!

Resetar Senha de Admin Local de Todos Computadores do Dominio

Estive olhando as estatísticas do blog e vi que uma das pesquisas utilizadas para chegar até aqui foi "resetar senha de admin local de todos computadores do dominio sem usar script"

Achei meio esquisito, porém fui atrás para ver o que dava para fazer.

Primeiramente, qual o propósito que você quer fazer isto?

a) Transformou sua rede em Workgroup para rede Gerenciada (AD) e os Usuários que tinham a senha de administrador da máquia ainda a estao utilizando para sacanear a estação.

b) Você quer uma senha só para acessar a máquina localmente ou remotamente, diferente das de usuário restrito

Começando pela mais fácil: Opção B. A sua senha de administrador do domínio é superior a de administrador local. Então com sua senha voce consegue fazer na estação tudo o que o administrador local faria.

Não perca seu tempo, pois mudança de senha, PRINCIPALMENTE de administrador, é algo complicado, pois envolve uma gama de fatores de segurança do windows, e dificilmente dá para fazer via script (olhei vários e não achei nada), principalmente se existem arquivos criptografados por NTFS na estação.

Resumindo use sua senha de administrador de domínio ou administrador de enterprise (domain admin / enterprise admin respectivamente)

Agora para a OPÇÃO A:

Para evitar que o ABOMINÁVEL DO USUÁRIO fique sacaneando a estação só para colocar no orkut que conseguiu burlar o "faire-uó da rede to trampo" existem algumas opções para acabar com isso, sem script e sem sentar na frente das "trocentas" máquinas que voce tem em sua rede.

Para isso, proteja a conta de administrador, seguindo os procedimentos abiaxo:

Desative a conta de administrador - Esta é uma definição de política de grupo que permite que você desabilite essa conta dentro do domínio e SAMs locais do Windows XP e Windows Server 2003 computadores. A política está sob a configuração de GPO a seguir:

Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|Accounts: Administrator account status

Esta configuração de diretiva pode ser visto na figura 2, e só precisa ser definido como Ativado para fazer valer a definição.

Configuração GPO que permite desativar a conta de administrador

Renomeie a conta do administrador usando GPOs - Vai ser duro para desativar todas as contas de administrador em cada computador, devido aos pedidos e outros requisitos. Nestes casos, você pode ter uma abordagem mais fácil para garantir a conta de administrador é renomeado. Você pode configurar a configuração de GPO a seguir, que pode renomear a conta de administrador em qualquer Windows 2000, XP ou Server 2003.

Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|Accounts: Rename Administrator account

Proiba o acesso àquele computador através da rede - . Por padrão, a conta Administrador está agrupado em todos os grupos e Authenticated Users, que dá conta a capacidade de acesso a todos os computadores da rede. Uma vez que a conta de administrador não está sendo usado para a administração de rotina, não há realmente nenhuma necessidade para a conta ter acesso a qualquer dos recursos, em qualquer servidor, através da rede. Se você configurar o seguinte User Group Policy para a conta de administrador, pode percorrer um longo caminho para reduzir a superfície de ataque que os usuários teriam na conta de administrador.

Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment|Deny access to this computer from the network

Agora, para gerenciar determinado computador da rede através do console de gerencimento, acesse

INICIAR, Botão direito em MEU COMPUTADOR, e depois GERENCIAR, ou MANAGE.

Quando abrir o console vá em AÇÃO, e em seguida, CONECTAR A OUTRO COMPUTADOR. Digite o nome ou o endereço IP do computador que deseja acessar. (Só funcionará se voce estiver conectado com a senha do administrador do domínio ou administrador da Enterprise (domain ou enterprise admin)

Em seguida vá em USUÁRIOS E GRUPOS LOCAIS ou LOCAL USERS AND GROUPS e procure a conta com a qual o antigo usuário utilizava para conectar-se, e apague.

Pode apagar sem medo pois se o usuário que antes utilizava uma conta local para fazer logon, hoje usa uma conta de Active Directory, e o banco de dados fica guardado no servidor.

Apenas certifique-se que voce realmente conectou-se na estação antes de sair apagando conta, pois existem contas locais do Windows 2003 que se apagadas, ferram toda sua rede.

Abrindo Console VMWare Server

Olá pessoal! Vendo nas estatísticas do blog, vi que uma das mais procuradas chaves foi "COMO ABRIR O CONSOLE DO VMWARE SERVER"

Pois é, eu tive essa dificuldade no começo, mas na verdade é SUPER SIMPLES.

Primeiro vamos definir console.

Console é aquela tela inicial do server que você pode fazer as configurações de todo seu ambiente de máquinas virtuais.

Se for esta a definição, segue abaixo:

Quando voce acessa através de um web browser o local do seu VMWare server, ele pede um usuário e senha.

É simplesmente o SEU USUARIO e SUA SENHA. Isso mesmo! Aquela que voce usa para fazer login na sua máquina ou no seu domínio.

Agora, se voce está em sua máquina de casa, ou aquela de teste que não tem usuário e senha pra entrar, você terá que criar uma, pois o console do VMWare server necessitará de uma para ser acessado.

Agora se:

Console é a tela de sua máquina virtual, ou seja, como ver e configurar a máquina virtual através do web browser onde está instalado o VMWare server.

Para isso, clique na aba conforme a imagem acima e depois em qualquer lugar da parte preta com o timbre da VMWare. Ele vai instalar um plugin (Funciona só com IE ou Mozilla), e depois vai abrir o console parecido com o VMWare player.

NOTA: Você vai notar que ficará um pouco mais lento do que o VMWare player, mas é assim mesmo. A performance da Maquina virtual não é afetada.

NOTA2: Às vezes pode acontecer de seu browser dar um erro de certificado quando voce for acessar o console de gerenciamento de seu VMWare Server. Isso é normal, pois alguns browsers interpretam como tentativa de acesso malicioso. Se voce tiver certeza que está acessando a URL correta, vá em frente, sem medo.

The Scripting Fiad - Apagando Temporários do Outlook e Temporary Internet Files

Olá Rapaziada! Atendendo aos milhões de pedidos (...) dos fãs do meu super hiper blog, vai aqui um script que apaga os temporários dos arquivos .PST do Outlook e também todos os Temporary Internet Files.

No meu caso tive que desenvolver este script pois como eu uso perfil móvel, alguns perfis estavam com 5 ou até 8 Giga. Quando fui ver tinha uns 10 arquivos .TMP com o tamanho dao arquivo de dados do Outlook. Não sei porque ele fez isso, mas tudo indica que é quando dava algum problema, ele passava o Reparador de pasta do outlook e criava esses temporários.

Coloquei tanto na inicialização como no encerramento do Windows, e nunca mais tive esse problema.

Abaixo, o script

'Script para apagar arquivos com extensão .TMP do diretório Outlook - Computadores com Windows XP

'Editado em 03 Setembro 2010 - Adicionado apagar todos os Arquivos temporários da internet

'Desenvolvido por Felipe Gustavo Fiad

On Error Resume Next

Dim sDocsAndSettings

Dim strComputer

Dim oFolder

Dim fso

Dim oFolder1

Dim oFolder2

Dim oFolder3

Dim oSubFolder1

Dim oSubFolder2

Dim oSubFolder3

Dim colSubfolders1

Dim colSubfolders2

Dim colSubfolders3

Dim oFile

Dim userProfile

Dim Windir

' Deleta todos os temporários do outlook para evitar demora ao ler perfil

Set DeleteTmp = CreateObject("Scripting.FileSystemObject")

Set objUsuario = CreateObject("Wscript.Network")

Usuario = objUsuario.Username

DeleteTmp.DeleteFile("C:\Documents and Settings\" & Usuario & "\Outlook\*.tmp")

DeleteTmp.DeleteFile("\\srvadm\profiles$\" & Usuario & "\Outlook\*.tmp")

' Deleta todos os arquivos temporários da internet

strComputer = "."

Set fso = createobject("Scripting.FileSystemObject")

'USER PROFILES

sDocsAndSettings = "C:\Documents and Settings\" ' Probably there is an environment variable or other variable

Set colFolders = fso.GetFolder(sDocsAndSettings) 'Collection of all profiles

For Each oFolder In colFolders.SubFolders

Select Case LCase(oFolder.Name)

Case "admin", "administrator", "newuser", "all users", "default user.original", "localservice", "networkservice"

'DO NOTHING

Case Else

'Set up environment

Set WSHShell = CreateObject("WScript.Shell")

Set fso = createobject("Scripting.FileSystemObject")

userProfile = WSHShell.ExpandEnvironmentStrings("%userprofile%")

Windir = WSHShell.ExpandEnvironmentStrings("%windir%")

'start deleting files

Set oFolder1 = fso.GetFolder(userProfile & "\Local Settings\Temp\")

For Each oFile In oFolder1.files

oFile.Delete True

Next

'Delete folders and subfolders

Set colSubfolders1 = oFolder1.Subfolders

On Error Resume Next

For Each oSubfolder in colSubfolders1

fso.DeleteFolder(oSubFolder), True

Next

Set oFolder2 = fso.GetFolder(userProfile & "\Local Settings\Temporary Internet Files\")

For Each oFile In oFolder2.files

oFile.Delete True

Next

Set colSubfolders2 = oFolder2.SubFolders

For Each oSubfolder in colSubfolders2

fso.DeleteFolder(oSubFolder)

Next

Set oFolder3 = fso.GetFolder(Windir & "\Temp\")

For Each oFile In oFolder3.files

oFile.Delete True

Next

Set colSubfolders3 = oFolder1.Subfolders

For Each oSubfolder in colSubfolders3

fso.DeleteFolder(oSubFolder)

Next

End Select

Next

'Clear memory

Set fso = Nothing

Set oFolder1 = Nothing

Set oFolder2 = Nothing

Set oFolder3 = Nothing

Set oSubFolder1 = Nothing

Set oSubFolder2 = Nothing

Set oSubFolder3 = Nothing

Set colSubfolders1 = Nothing

Set colSubfolders2 = Nothing

Set colSubfolders3 = Nothing

Set oFile = Nothing

Set userProfile = Nothing

Set Windir = Nothing

WScript.Quit

Tá Prontinho! É só recortar e colar. Apenas atente ao perfil do Outlook, pode ser que em sua empresa ele esteja em outra pasta. Espero ter ajudado!!

Renomeando REMOTAMENTE um Computador no Domínio

Olá Pessoal!

Vira e mexe, todo mundo precisa trocar uma estação de lugar, ou pra substituir aquele micro que deu pau, você coloca no lugar aquele reserva que ninguém estava usando.

O Micro já estava todo configurado, não precisa fazer mais nada. Mais tarde, você vê no DNS ou no DHCP um nome nada a ver, e só então se lembra que é aquela máquina que voce substituiu.

Você pensa:

"Puxa, descer 04 andares só pra renomear uma máquina! Justo Hoje que o elevador quebrou!"

ou

"Ah, tá logo na mesa la da frente mas é que eu prefiro evitar a fadiga..."

Então indaga-se: "Caramba se é rede Gerenciada tem que ir na mesa mudar o nome da máquina, reiniciar o micro?"

Eu digo: SEUS PROBLEMAS ACABARAM! TEM COMO FAZER ISTO SEM LEVANTAR DA SUA CONFORTÁVEL CADEIRA DO SETOR DE T.I.!!

Vamos lá:

Para renomear um computador remotamente em sua rede, baixe o arquivo acima chamado “netdom.exe” (que voce encontra no Support Tools de seu CD do windows 2003 Server ou baixe ele aqui, para uma pasta de sua escolha. De preferência na pasta %systemroot%\system32\ pois qualquer arquivo executável que você guarda lá pode ser chamado de qualquer outra pasta, em um prompt de comando.

Vou ensinar a fazer um script em extensão .BAT ou então digite diretamente na linha de comando (Prompt do MS-DOS - Iniciar/Executar/cmd.exe)

Se for fazer o script, no bloco de notas (Iniciar/Executar/Notepad.exe), copie e cole a linha abaixo, alterando as informações em vermelho conforme necessário:

netdom RENAMECOMPUTER COMPUTADORANTIGO /Newname:COMPUTADORNOVO /ud:DOMINIO\USER /PasswordD:SENHA

Salve o arquivo dentro da mesma pasta do “netdom.exe” com extensão .BAT. Caso queira renomear mais de uma máquina, copie e cole a linha abaixo desta, em sequência, alterando somente o que for necessário.

Para executar o script não basta configurar a BAT com senha de administrador. Terá que logar no compuador com senha de administrador do domínio primeiro para depois executá-la.

Se quiser forçar o reboot da máquina, o argumento /REBOOT deverá ser adicionado ao script. Caso receba mensagem de que não foi possível executar devido a algum processo, use também o argumento /FORCE.

Dicas:

• Assim que reiniciar, o computador estará renomeado!
• Não precisa resetar a computer accont do seu domain controller, ele renomeia sozinho!

Mais uma peripécia resolvida e com a solução passo-a-passo! Aproveite e veja mais utilidades para o comando NETDOM.EXE em meu outro post!!

Microsoft KB 298593

ERRO 1058 o Confronto Final. E GANHEI!!

CONSEGUI! Depois de 02 semanas arrancado os pentelhos do.... digo, da cabeça, consegui arrumar o DC que estava com problemas.

Galera, DC não é DC Comics, é DOMAIN CONTROLLER. Já esqueceram?? Aquele lá que tava com problema, no antigo post que eu fiz.

Já Lembrou? Ótimo..

Pois é, no post do link acima eu redireciono para as KB's da Microsoft que ensinam a refazer as shares SYSVOL e NETLOGON e também acabar com um erro que dá quando você volta um backup do system state.

Porém o problema da replicação não havia funcionado.

Eu resolvi mais uma vez rebaixar o DC com defeito para Member Server para depois voltá-lo como controlador de domínio, porém desta vez, fiz algumas coisinhas diferentes.

Primeiro de tudo, rebaixei o domain controller, utilizando o comando dcpromo /forceremoval. depois que ele reiniciou corretamente, no DC principal eu fiz a limpeza dos arquivos de metadata (metadata files), para garantir que o DC com defeito fosse totalmente apagado de tudo que poderia identificá-lo como controlador de domínio.

Acessei a KB 216498 da Microsoft que ensina passo-a-passo a utilizar o utilitário ntdsutil que precisa ser instalado à parte através do SUPPORT TOOLS do CD do seu Windows Server 2003 R2.

Siga os passos Abaixo conforme a KB (Em inglês)

EM SEU CONTROLADOR DE DOMÍNIO PRINCIPAL:

Procedimento 1: Windows Server 2003 SP1 ou posterior SOMENTE

1. Click Start, point to Programs, point to Accessories, and then click Command Prompt.
2. At the command prompt, type ntdsutil, and then press ENTER.
3. Type metadata cleanup, and then press ENTER. Based on the options given, the administrator can perform the removal, but additional configuration parameters must be specified before the removal can occur.
4. Type connections and press ENTER. This menu is used to connect to the specific server where the changes occur. If the currently logged on user does not have administrative permissions, different credentials can be supplied by specifying the credentials to use before making the connection. To do this, type set credsDomainNameUserNamePassword, and then press ENTER. For a null password, type null for the password parameter.
5. Type connect to server servername, and then press ENTER. You should receive confirmation that the connection is successfully established. If an error occurs, verify that the domain controller being used in the connection is available and the credentials you supplied have administrative permissions on the server.
   
   Note If you try to connect to the same server that you want to delete, when you try to delete the server that step 15 refers to, you may receive the following error message:
   Error 2094. The DSA Object cannot be deleted0x2094
6. Type quit, and then press ENTER. The Metadata Cleanup menu appears.
7. Type select operation target and press ENTER.
8. Type list domains and press ENTER. A list of domains in the forest is displayed, each with an associated number.
9. Type select domain number and press ENTER, where number is the number associated with the domain the server you are removing is a member of. The domain you select is used to determine whether the server being removed is the last domain controller of that domain.
10. Type list sites and press ENTER. A list of sites, each with an associated number, appears.
11. Type select site number and press ENTER, where number is the number associated with the site the server you are removing is a member of. You should receive a confirmation listing the site and domain you chose.
12. Type list servers in site and press ENTER. A list of servers in the site, each with an associated number, is displayed.
13. Type select server number, where number is the number associated with the server you want to remove. You receive a confirmation listing the selected server, its Domain Name System (DNS) host name, and the location of the server's computer account you want to remove.
14. Type quit and press ENTER. The Metadata Cleanup menu appears.
15. Type remove selected server and press ENTER. You should receive confirmation that the removal completed successfully. If you receive the following error message, the NTDS Settings object may already be removed from Active Directory as the result of another administrator removing the NTDS Settings object or replication of the successful removal of the object after running the DCPROMO utility.
    Error 8419 (0x20E3)
    The DSA object could not be found

    
    

1. Note You may also see this error when you try to bind to the domain controller that will be removed. Ntdsutil has to bind to a domain controller other than the one that will be removed with metadata cleanup.
2. Type quit, and then press ENTER at each menu quit the Ntdsutil utility. You should receive confirmation that the connection disconnected successfully.

Como "melhores práticas" (best practices), em seu servidor de DNS, apague TUDO o que refere-se ao DC que voce excluiu do domínio do seu DNS, principalmente da zona _msdcs.dominio_raiz_da_floresta.com. De preferência, se possível exclua também o serviço de DNS do seu DC com problemas, que você acabou de rebaixar.

Veja em um post mais antigo meu, algumas dicas sobre limpar o DNS.

DAQUI PRA FRENTE, EM SEU DC DOENTE QUE VOCÊ ACABOU DE REBAIXAR:

Depois de fazer os passos acima, vá para seu DC com problemas e na pasta %systemroot% (Geralmente C:\Windows) apague totalmente a pasta SYSVOL, e renomeie a pasta NTFRS para old_NTFRS.

Antes de torná-lo novamente controlador de domínio, inclua-o no seu domínio como Member Server, caso ainda não o tenha feito, para que assim o seu DC principal reconheça-o como membro do domínio.

Procure quaisquer vestígios de que este servidor foi uma vez um Domain Controller. Se puder ou quiser, execute ferramentas de limpeza de registro tipo Marcos Velasco Security, ou CCleaner. No meu caso, utilizei os dois.

Após reiniciar o computador, eu finalmente utilizei o DCPROMO para torná-lo novamente controlador de domínio. Fiz todas as passagens normalmente.

Antes de reiniciar chequei na pasta %systemroot% e verifiquei que havia sido criada nova pasta NTFRS e também uma nova SYSVOL, com toda a estrutura correta.

Ao reiniciar o computador, vejo que lá estão os compartilhamentos e tudo voltou a ser replicado normalmente!!

Mais uma peripécia do Tibúrcio resolvida e com o passo a passo pra você!!

Erro 1058: A revanche. Do erro, não a minha. :P

EDITADO EM 27/09/2010 - ATENÇÃO!! ESTE ERRO PODE SER CAUSADO POR PROBELMAS DE REPLICAÇÃO ENTRE CONTROLADORES DE DOMÍNIO!!

LEIA NA INTEGRA ESTE ARTIGO E OS OUTROS DOIS QUE SÃO RELACIONADOS A ESTE PROBLEMA. O LINK PARA O SEGUINTE ENCONTRA-SE NO FINAL DESTE POST. O LINK PARA O PRIMEIRO POST ENCONTRA-SE NO INÍCIO DESTE, DESTACADO.

NO MEU POST ANTERIOR,procurando a solução para o Event 1058, me deparei com problemas cabeludos que sequer sonhava que existia. Perdeu as Shares NETLOGON e SYSVOL, voltei system state de fevereiro pra ver se resolvia e nada.

Cara, eu usei tanta KB que até perdi a pista de quais foram! Rsrs

Mas hoje consegui uma pequena proeza que foi recriar automaticamente as shares SYSVOL e NETLOGON, mas ainda não consigo replicar.

Veja as KBs que usei, que realmente foram úteis:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;288167 – quando eu voltei um backup do system state que era certeza que funcionava na esperança de que as coisas voltassem ao normal. Ele dava o erro "Target Principal Name is Incorrect", depois que fiz o que a KB mandou funcionou.

http://support.microsoft.com/kb/315457 - esta aqui foi a que me guiou a fazer novamente as shares SYSVOL e NETLOGON hoje de manha.

Ok o que ainda está errado:

Fuçando, descobri que o a pasta C:\windows\sysvol\sysvol\domain_name é uma cópia da pasta c:\windows\sysvol\. Tudo o que você fizer em uma, faz na outra automaticamente.

No meu DC com problema isto não está acontecendo. Acho que perdeu o junction point ou algo assim. Na KB 315457 diz pra usar um tal de LINKD que não tem no support tools. E na solução diz que se aplica a Win2K3 Enterprise, mas não diz se é o R2.

Talvez, assim que eu reparar estes junction points ele voltará a replicar. Caso não, eu vou fazer um DFS entre as pastas c:\windows\sysvol\, dos dois servidores com replicação.

Tá vendo? A rede é pequena mas com problemas de gente grande! Hahaha

Espero que se voce chegou aqui procurando solução para problema semelhante, consiga tê-los resolvido usando as KBs que postei aqui. Eu ainda vou resolver o erro que está dando na minha rede e tenho certeza que vou conseguir replicar.

Antes de mais nada NÃO VOLTE O SYSTEM STATE NEM DE DEMOTE DO SEU DC COM PROBLEMAS!! Se eu não tivesse feito isso, talvez agora, já estaria com o problema resolvido.

Caso voce precise de mais ajuda, deixe um coment, vou verificar com meus instrutores, TechNet, etc etc. Pois ninguem merece essa bucha.

ERRO RESOLVIDO! VEJA A SOLUÇÃO FINAL AQUI!

Erro na Aplicação de GPO Event 1058

Olá Pessoal! Faz um tempinho que não posto... estava com saudades.. Mas já mudamos, e as coisas estão começando a entrar nos eixos, e eu estou conseguindo dar uma manutenção na nossa rede.

EDITADO EM 27/09/2010 - ATENÇÃO!! ESTE ERRO PODE SER CAUSADO POR PROBELMAS DE REPLICAÇÃO ENTRE CONTROLADORES DE DOMÍNIO!!


LEIA NA INTEGRA ESTE ARTIGO E OS OUTROS DOIS QUE SÃO RELACIONADOS A ESTE PROBLEMA. O LINK PARA O SEGUINTE ENCONTRA-SE NO FINAL DESTE POST.

Hoje me deparei com alguns computadores que estão com o seguinte erro:

Tipo de evento: Erro
Fonte do evento: Userenv
Categoria do evento: Nenhuma
Identificação do evento: 1058
Descrição: O Windows não pode acessar o arquivo gpt.ini para GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domínio,DC=com. O arquivo deverá estar em <\\domínio\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Acesso negado. ). Processamento da diretiva de grupo cancelado. Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.
ou
Descrição: O Windows não pode acessar o arquivo gpt.ini para GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domínio,DC=com. O arquivo deverá estar em <\\domínio\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Caminho da rede não encontrado. ).

A Microsoft tem a seguinte KB com as possíveis soluções: KB 842804.

Porém, para mim, nenhuma das soluções apresentadas funcionou. Após muito procurar, verifiquei nesta KB uma frase que me guiou para a solução: Esse problema pode ocorrer se o processo do winlogon tenta processar as diretivas de grupo antes da execução dos outros componentes.

Legal! Então eu apliquei a solução de acrescentar a chave de registro:

1. Clique em Iniciar, em Executar na caixa Abrir, digite regedit e clique em OK.
2. No Editor do Registro, encontre a seguinte subchave do registro:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
3. Se a entrada WaitForNetwork estiver faltando, é necessário adicioná-la. Para fazer isto, execute as seguintes etapas:
   
   1. Clique com o botão direito do mouse na subchave Winlogon, clique em Novo e em Valor DWORD.
   2. Na caixa Nome do valor, digite WaitForNetwork.
4. Clique com o botão direito do mouse em WaitForNetwork e clique em Modificar.
5. Na caixa de diálogo Editar valor DWORD, na caixa Dados do valor, digite 1 e clique em OK.
6. Encerre o Editor do Registro

Em seguida, eu abri o controlador de conexões de rede. Vá em INICIAR>EXECUTAR>Ncpa.cpl

Sabia Dessa? Mais rápido que Painel de controle, Conexões de Rede.

Na própria Janela, vá em AVANÇADO, OPÇÕES AVANÇADAS. Ao abrir vá na aba ORDEM DOS PROVEDORES, e mova REDE MICROSOFT WINDOWS para cima até ser o primeiro provedor da lista. Clique OK.

Depois abra o prompt de comando (prefiro assim para ver possiveis mensagens de erro) e digite GPUPDATE /sync /force /boot

FUNCIONOU!!!

Depois, este erro voltou a acontecer. A Microsoft, na KB que eu comento neste post, dá um hotfix que não resolve algum dos casos.

Já a ponto de chutar o balde, resolvo fazer um teste. Vá no caminho: \\domínio\sysvol\domain\Policies E abra a guia da segurança desta pasta. Tá bom, aos com preguiça de pensar: Abra o windows explorer e digite \\dominio\sysvol\domain, depois clique com o botão direito do mouse, selecione Properties (propriedades) e na guia segurança, adicione os seguintes grupos:

DOMAIN USERS

DOMAIN COMPUTERS

Com as seguintes permissões:

Red & Execute

Read

List Folder Content

(Que geralmente são as padrão).

Rodei vários testes no GPMC e parou de dar o erro, mas estão dando outros que irei pesquisar e postar aqui assim que resolvido.

Espero que essa solução também lhe ajude em partes.

Na minha rede acho que é algo mais sério. Ao dar um "demote" no meu DC secundário, ao recriar ele nao fez as shares NETLOGON e SYSVOL e não replica estes arquivos.

Já fiz várias recomendações de KB's da microsoft, porém sem sucesso. Antes de formatar vou aguardar meus instrutores me darem alguma dica, ou vou formatar e instalar novamente.

Neste DC secundário a única coisa que terei que reconfigurar é o Print Server, Wsus (instalação) e WDS. Acho que vai demorar menos do que achar esta solução, mas vou fazer de tudo para encontrá-la pois me recuso a formatar qualquer computador antes de achar uma solução mais lógica para o problema.

Neste LINK você verá a continuação da solução deste problema, e ao final terá o link para a solução final. Vale a pena dar uma olhada.