Плагин госуслуг на сервере RDP

В 2020 году Ростелеком выпустил плагин для госуслуг IFCPlugin, с тех пор он не обновлялся.
Плагин устанавливается в контексте пользователя, но требует прав администратора
В 2022 году сертификат, которым подписан инсталлятор, был отозван.

На 2023 год ситуация не изменилась по всем трем пунктам. В общем, на большинстве ПК, даже бухгалтерских, это не проблема, а вот в управляемых сетях и терминалах очень большая заноза.

Начнем с первой же ошибки:

Ошибка 1718. Файл отвергнут политикой цифровой подписи

Да, у меня включен AppLocker, но политика по подписям отключена 

В исключения AppLocker также добавлена. Попробовал добавить сам сертификат в доверенные в правилах AppLocker. В итоге помог только запуск через msiexec /i IFCPLUGIN-X64.MSI от имени администратора.

MSoft RDCMan глюк Logitech

"Но у программы есть косяк - она не сразу освобождает мышь при переключениях между окнами, например перешли из окна RDCMan в окно браузера и пытаетесь прокрутить страницу, первые секунд 5 ноль реакции. Такая же ситуация с функциональными клавишами мыши (громкость), переходишь на другое окно за пределами RDCMan и сразу они не работают ((("

Ха, оказывается глюк скорее в самой мышке. В отличии от старой A4Tech G10 дополнительные клавиши не работают без приложения. А глюк с прокруткой уходит, если отключить "плавную прокрутку", но глюк с изменением громкости сохраняется.

P.S.

После установки Logi Options+ глюк исчез

RDCman размытый шрифт

В январе 2023 sysinternals обновили свой инструмент Remote Desktop Connections Manager, наконец появилась поддержка папок в дереве. Но проблема с размытым шрифтом не решена, еще в старой версии я где то откопал конфиг (манифест), который исправляет размытие, собственно привожу его содержимое:

<?xml version="1.0"?>
<configuration>
  <configSections>
    <section name="rdcman" type="RdcMan.Configuration.RdcManSection, RDCMan"/>
  </configSections>

  <startup>
    <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.0"/>
  </startup>
  
  <rdcman>
    
    <!-- Size options for client size and remote desktop size. Only the first ten are used. -->
    <displaySizes>
      <add size="800 x 600"/>
      <add size="1024 x 768"/>
      <add size="1280 x 1024"/>
      <add size="1366 x 768"/>
      <add size="1440 x 900"/>
      <add size="1600 x 1200"/>
      <add size="1920 x 1200"/>
    </displaySizes>

  </rdcman>
</configuration>

Нужно сохранить в файл с именем "назавание исполняемого файла + .xml" и положить в одну папку с исполняемым файлом

MS Outlook автонастройка подставляет неправильные данные

 После переноса почты к другому хостеру выявилась неприятная проблема - автонастройка постоянно возвращает сервера яндекса. Используется imap, поэтому autodiscover.xml не рассматривался, но для imap он тоже подходит.

Начал расследование, провел тестирование и выяснилось что распространять настройки можно по разному (заходим к Дмитрию Моску):

• autodiscover
• SRV записи DNS

Первый вариант мне не подходит из-за того, что нужно иметь свой web-сервер, а второй вариант прильстил своей простотой. Но не прокатило, записи анонсировались, но outlook их игнорировал. Проверил что говорит автонастройка (ПКМ с ctrl по значку в трее), она пытается подключаться по mail/imap/pop/smtp.mydomen.hz и ничего не получает. В связи с чем, по приколу, создал CNAME записи на соответствующие сервера поставщика (идея такая себе, т.к. серт для защищенного соединения будет не для нашей записи и оутлуку он не понравится). В итоге нашел информацию о том, что сам по себе Outlook проверяет некий кэш и подставляет данные оттуда, кладя болт на все остальное. Проверить себя там можно так:

$headers = @{
    "Accept-Encoding" = 'gzip'
    "User-Agent"      = 'Outlook-Android'
    "X-Email"         = 'info@mydomen.hz'       
}
$Response = Invoke-WebRequest  "https://prod-global-autodetect.acompli.net/autodetect/detect" -Headers $headers
$Response.Content | ConvertFrom-Json | select -ExpandProperty protocols

Обновить данные в кэше практически нереально.

Одно из решений - отключить упрощенную настройку параметром в реестре:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Setup]
"DisableOffice365SimplifiedAccountCreation"=dword:00000001

Источники:

2018 год

Свежак - февраль 2023

FileZilla error virtual path must be absolute

 Надо забивать правильно пути, слева - ftp, права windows

MSerror Litemanager белое окно

Описание проблемы:

• При подключении к серверу, превью - белый квадрат
• Клик по превью не разворачивает подключение

Дополнительные наблюдения:

• Проявляется на ПК при отключении от внешнего монитора, куда ранее выводилось данное подключение
• Переустановка не помогает (ни сервер, ни клиент) или помогает, но не надолго

MSerror RDP не пробрасывается буфер обмена

 Описание проблемы:

• Буфер обмена между RDP сервером и клиентом не синхронизируется
• Буфер обмена работает по отдельности на сервере и клиенте
• В настройках подключения разрешена передача горячих клавиш (на случай использования)
• В настройках подключения включена передача буфера обмена

Дополнительные наблюдения:

• Сеанс RDP активен давно
• Проблема решается выходом (не отключением сеанса) и повторным входом
• Процесс rdpclip.exe пользователя потребляет много больше (>20Мб), в сравнении с другими пользователями удаленного рабочего стола (~5 Мб)

Решение проблемы:

Собственно решений два - либо перезайти нормально или перезапустить процесс rdpclip.exe у пользователя с проблемой. 

taskkill /F /FI "USERNAME eq %username%" /IM rdpclip.exe && ping -n 5 127.0.0.1 >null && rdpclip.exe

Также может помочь перезапуск explorer.exe

MSError Синхронизация времени в домене

Так, собственно моя история борьбы с этой штукой

Проблема возникла давно (года три назад), время расходилось на некоторых ПК аж на час, при этом kerberos ничуть не смущался и спокойно пускал куда надо. Когда начал лечение, делал по различным инструкциям при помощи GPO, программ NetTime, пытался указать насильно сервер обновления времени (роутер) и т.д. Понятно что некоторые варианты прокатывали, но под одной из статей я увидел гневный коммент пользователя, который сетовал на горе-админов, у которых руки из жопы и они настраивают время при помощи GPO. Распространение времени должно работать из коробки силами контроллера домена, единственная задача админа - настроить DC с ролью FSMO - PDC на получение времени снаружи.

MSError Не удалось запросить журнал событий DFS Replication на сервере

Банальная ошибка, решается также банально - проверь настройки брандмауэра:
Eng: Remote Event Log Management (RPC) и Remote Event Log Management (RPC-EPMAP)
Rus: Удаленное управление журналом событий (RPC) и Удаленное управление журналом событий (RPC-EPMAP)

В принципе оно не обязательно, т.к. запрашивает только лог, но я иногда смотрю журнал событий другого ПК через оснастку "Управление компьютером", поэтому в групповой политике FireWall добавил данные правила (предопределенные "Удаленное управление журналом")

MSError Некоторые подразделения (OU) в этом домене не защищены от случайного удаления.

Алерт ясен как божий день, но не ясно как определить проблемные OU и установить им автоматически параметр в Истину. Собственно для ручного варианта включаем дополнительные параметры и смотрим в свойствах OU

Для автоматического варианта (выполняется на контроллере домена через PowerShell)

MSError Пробрасываются только принтеры Microsoft

Решения здесь нету, сказ лишь о том, что верить пользователям нельзя, и проверять все нужно лично.

Говорит работало - принтер в RDP сеансе, да вроде я и сам видел...

Уточним:

• клиент - Windows 7 x64
• сервер Windows server 2019
• принтер HP M125rnw (USB)
• политика сначала EasyPrint, потом дрова
• не пробрасывается на сервер

Собственно, если не обращать внимания на "раньше работало", решается установкой драйвера версии идентичной на клиенте (иногда и язык должен быть такой же). Что я благополучно сделал и отрапортовал об этом пользователю. 

- Не печатает с сервера - пишет на следующий день

- Вчера же работало

- Нет, я просто не стала писать сразу

- Но я же проверял - ага, проверял он, я просто отправил и увидел что ничего нигде не зависло

Т.о. подведем итог:

• принтер работает локально
• принтер пробрасывается на сервер
• задание передается с сервера на клиент и уходит на принтер (задание не зависает в очереди)
• принтер не печатает удаленно

Далее я решил использовать универсальный драйвер, который, по какой-то причине отсутствовал на страничке принтера на сайте производителя. Попробовал 3 разных принтера и на обоих получил интересный результат:

• принтер не работает локально
• задание улетает на принтер
• принтер пробрасывается
• принтер не работает удаленно
• задание передается с сервера на клиента и уходит на принтер

Также были проверены: версия NetFramework >3.5, RDC version >6.1, настройки подключения

Дальше я решил проверить, а не в сервере ли проблема (хостер божился что нововведений не было). Открыл подключение с другого ПК с ОС Windows 10, и результат был такой же, пробросились только принтеры MS и те, драйвера которых, были установлены на сервере. Проверка еще на двух машинах дала ту же картину. Проверка  с больного клиента на другом сервере, того же хостера дала ту же картину, плюс пробросились принтеры с установленными драйверами.

В итоге отправил запрос хостеру на включение EasyPrint, ибо моих правей недостаточно.

Хостер включил EasyPrint, принтер установился с драйвером EasyPrint и работает

MSError Ошибка 80244019 на клиентах WSUS

 Сдох WSUS на базе WinSrv 2008R2, решили передать роль новому WinSrv2019.

Установил, изменил запись DNS, чтобы имя сервера обновлений передаваемое через GPO не менять. Клиенты в консоли появляться не стали, пробовал выполнять сброс wuauclt /resetauthorization и wuauclt /detectnow, ноль внимания, при этом на всех ПК при попытке запустить поиск выскакивает ошибка 80244019. Начал копать:

• проверил что реестре сервер указан правильно (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate)
• проверил что имя резолвится, указывал не полное имя без домена
• Поменял имя в записях DNS и в настройках GPO (с wsus на wsus2)
• Проверил настройку WSUS что тачки падают в группы сразу (консоль WSUS - параметры -компьютеры- использовать на компьютерах групповую политику или параметры реестра)
• Проверил в GPO куда складываются компьютеры (Разрешить клиенту присоединение к целевой группе)
• открыл лог на стороне клиента и увидел забавную строчку:
  WARNING: DownloadFileInternal failed for http://wsus2/selfupdate/wuident.cab: error 0x80190194

Собственно тут пошел проверять и действительно, браузер возвращает 404. Поясню, я не переделывал с нуля, поэтому не обратил внимание на отсутствие порта в "Указать размещение службы  обновлений Майкрософт в интрасети". Проверил что файл скачивается с портом 8530, исправил политику и поиск запустился и тачки начали появляться в консоли WSUS

Далее примитивный скрипт обновления политик и перезапуска регистрации на сервере WSUS, не без изъянов, но в моем случае его достаточно, чтобы по быстрому увидеть изменения в консоли WSUS

Cobian Backup задание с красным крестом

Если задание помечено красным крестом:

MSSoft Outlook точный поиск

Двойные кавычки не работают.
На фразу без пробела работает одинарная кавычка

Для решения проблемы воспользуемся гайдом от мелкомягких здесь

Или добавим параметр в реестр:

ветка - "HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\xx.0\Outlook\Search"
xx.0 - версия Оутлука
Раздел Search придется создать ручками

Параметр "AllowPhraseMatch" DWORD со значением 1

[MSError] 0x80131049 Ошибка установки MS Office

Решается переименовыванием/удалением ветки:
HKLM\Software\Microsoft\AppModel

Связана ошибка чаще с удалением приложения Micrsofot Office 365

[MSSOFT] NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)

Есть Samba сервер с доменной авторизацией на winbind. Произошла авария на линии электропередачи, из-за чего вырубилась вся серверная. Сервер самба врубился до контроллеров домена и не подключился к ним. При попытке подключиться к шаре - требует пароли и не принимает их. Перезавел в домен - ноль реакции.

net ads join -U username -D domainName

Проверяю команду 

winbind -t 

получаю сабж

решение нашел на просторах рунета:

остановить winbind

service winbind stop

очистить папку с кэшем samba

rm -rf /var/cache/samba

запустить сервис

service winbind start

[MSSoft] Импорт/Экспорт профилей WiFi сетей

При смене ноутбука так не хочется снова вводить миллион паролей от WiFi сетей, как это автоматизировать?
Можно выгрузить со старого ноутбука (командная строка):
netsh wlan export profile folder=C:\WIFI key=clear

Перенести папку C:\WiFi на другой ПК

И из PowerShell`a выполнить следующую команду:
Get-ChildItem C:\WIFI\ | foreach {$fname=$_.Fullname;netsh.exe wlan add profile filename=$fname}

Она переберет все файлы в папке и на каждый создаст профиль.

Если где то ошиблись, эта команда удалить все профили
netsh.exe wlan delete profile *

[MSoft] Сетевой принтер - Автономная работа и SNMP

Не буду расписывать.
Если сетевой принтер в состоянии отключен, в очереди пишет "Автономная работа", но он пингуется/есть связь с вэб-интерфейсом, то проверяем настройки порта и SNMP:

Не правильное имя сообщества приводит к этой ошибке, по мимо запрета SNMP траффика на уровни сети.

Excel Копирование ячеек с условием без макросов

Всем добра.

Задача:

В некую таблицу скопировать все значения из столбца другой таблицы где значение справа равно некоторому.

Мысли:

Когда у меня первый раз спросили про такое, я ответил- фигушки, без макроса никак, по крайней мере для неопределенного количества найденных строк.

 Спустя время мне задали этот вопрос повторно и тут меня осенило - это не невозможно.

MS GPO Printers 0x80070002 "Не удается найти указанный файл."

Всем бобра.

Давно ничего не писал, много работы.
Сегодня я решил рассказать про одну ошибку, на решение которой я потратил сверхмного времени, а когда нашел ответ - меня бомбануло "неподецки".
А теперь по порядку.

Первый раз я столкнулся с ошибкой еще год назад, но не придал ей значения, просто установил принтер по шаре из AD.
Обращаю внимание, ошибка с принтерами никак не связана, только с политиками.